Gekwalificeerde handtekeningen uitgelegd

Spec Spec: ETSI EN 319 411-2 ETSI EN 319 411-2 Spec Spec: ETSI EN 319 411-1 ETSI EN 319 411-1 Spec Spec: ETSI EN 319 421 ETSI EN 319 421 Evidence § Standard-backed Evidence: Standard-backed

In een oogopslag

“Gekwalificeerd” is een juridische status onder de EU-verordening eIDAS, geen eigenschap die een bibliotheek kan toekennen. Verschillende partijen leveren elk een specifiek onderdeel om die status tot stand te brengen: een gekwalificeerd certificaat, een gekwalificeerd middel voor het aanmaken van handtekeningen, een gekwalificeerde vertrouwensdienstverlener en gepubliceerde vertrouwenslijsten. Deze pagina brengt die rollen in kaart en maakt ondubbelzinnig duidelijk welk beperkte deel NextPDF speelt — en welke grotere delen niet.

Waarom dit van belang is

Een qualified electronic signature heeft binnen het toepasselijke rechtsgebied het juridische effect dat de wet eraan toekent. Dat maakt “gekwalificeerd” aantrekkelijk. Het maakt die status ook gevaarlijk om losjes te claimen. Stel dat een workflow wordt omschreven als in staat om gekwalificeerde handtekeningen te produceren, maar dat één rol in de keten ontbreekt — het certificaat is niet gekwalificeerd, het middel is geen QSCD, of de dienstverlener staat niet op een vertrouwenslijst. Dan zijn de handtekeningen niet gekwalificeerd. Dat hiaat komt doorgaans aan het licht op het meest ingrijpende moment: bij een geschil, een audit of een grensoverschrijdende acceptatiecontrole.

De moeilijkheid is dat een volkomen geldige geavanceerde handtekening en een gekwalificeerde handtekening er in een PDF-viewer identiek kunnen uitzien. Het verschil zit in het certificaat, het middel, de dienstverlener en de vertrouwenslijst — die geen van alle door een ondertekeningsengine worden geleverd. De opgave is dus om precies te weten welke partij welke garantie draagt.

De korte versie

• Gekwalificeerd is een keten, geen functie. Het vereist een gekwalificeerd certificaat, ondertekening op een QSCD, uitgifte door een gekwalificeerde vertrouwensdienstverlener en vindbaarheid via vertrouwenslijsten. Ontbreekt één ervan, dan is het resultaat niet langer gekwalificeerd.
• Een QSCD is verplicht. Onder het beleid voor gekwalificeerde certificaten mogen handtekeningen uitsluitend worden aangemaakt door een gekwalificeerd middel voor het aanmaken van handtekeningen. Spec Spec: ETSI EN 319 411-2, §6.3.5 ETSI EN 319 411-2 §6.3.5
• De uitsluitende controle ligt bij de ondertekenaar en het middel. De privésleutel moet onder de uitsluitende controle van de ondertekenaar staan en worden bewaard in een middel dat hem beschermt en namens de gebruiker ondertekent. Spec Spec: ETSI EN 319 411-1, §6.3.5 ETSI EN 319 411-1 §6.3.5
• De rol van NextPDF is beperkt en helder. Het stelt een structureel correcte PDF-handtekening samen en kan een vertrouwd tijdstempel en validatiemateriaal voor de lange termijn insluiten. Het is geen QSCD, geen (gekwalificeerde) vertrouwensdienstverlener, en het geeft geen certificaten uit, beheert geen vertrouwenslijsten en verleent geen gekwalificeerde status.

Hoe NextPDF het aanpakt

De rollen, benoemd

Een qualified electronic signature onder eIDAS is opgebouwd uit afzonderlijke verantwoordelijkheden. NextPDF vult precies één vak in; de andere vakken behoren toe aan partijen en standaarden buiten de engine.

1. Step 1 of 5: eIDAS Regulation (EU) 910/2014 defines "qualified" and its legal effect — the legal frame eIDAS Regulation (EU) 910/2014 defines "qualified" and its legal effect — the legal frame
2. Step 2 of 5: ETSI EN 319 411-1 / 411-2 qualified certificate policy; QSCD mandatory; sole control ETSI EN 319 411-1 / 411-2 qualified certificate policy; QSCD mandatory; sole control
3. Step 3 of 5: ETSI EN 319 412-5 qualified-certificate profile — the QC statements ETSI EN 319 412-5 qualified-certificate profile — the QC statements
4. Step 4 of 5: ETSI EN 319 421 / RFC 3161 trusted time from a TSP issuing time-stamps ETSI EN 319 421 / RFC 3161 trusted time from a TSP issuing time-stamps
5. Step 5 of 5: ISO 32000-2 §12.8 the PDF signature carrier NextPDF builds ISO 32000-2 §12.8 the PDF signature carrier NextPDF builds

De keten die een qualified electronic signature achtereenvolgens doorloopt, en wie elke schakel bezit: het gekwalificeerde certificaat en de QSCD en de gekwalificeerde vertrouwensdienstverlener en de vertrouwenslijst zijn niet de ondertekenings-engine — NextPDF stelt alleen de PDF-handtekeningdrager samen en kan vertrouwde tijd en validatiemateriaal toevoegen.

• Het gekwalificeerde certificaat. Uitgegeven aan de ondertekenaar, met de QC-verklaringen die het machineleesbaar aanmerken als een gekwalificeerd certificaat voor een elektronische handtekening en die de gekwalificeerde vertrouwensdienstverlener identificeren die het heeft uitgegeven. Spec Spec: ETSI EN 319 412-5, §4.2 ETSI EN 319 412-5 §4.2 NextPDF geeft het niet uit.
• De QSCD. Een gekwalificeerd middel voor het aanmaken van handtekeningen — in de terminologie van ETSI een beveiligd cryptografisch middel dat de privésleutel van de gebruiker bewaart, hem beschermt tegen compromittering en namens de gebruiker de ondertekening uitvoert. Spec Spec: ETSI EN 319 411-1, §3.1 ETSI EN 319 411-1 §3.1 NextPDF is software die via zo’n middel ondertekent; de engine is zelf geen QSCD, en het eigen softwarematige sleutelpad evenmin.
• De gekwalificeerde vertrouwensdienstverlener. De QTSP geeft het gekwalificeerde certificaat uit en staat zelf onder toezicht; het beleid vereist dat handtekeningen onder deze certificaten uitsluitend door een QSCD worden aangemaakt. Spec Spec: ETSI EN 319 411-2, §6.3.5 ETSI EN 319 411-2 §6.3.5 NextPDF is geen vertrouwensdienstverlener.
• Vertrouwenslijsten. Het gepubliceerde bewijs waarmee een vertrouwende partij vaststelt dat de dienstverlener en de dienst gekwalificeerd waren. NextPDF beheert geen vertrouwenslijsten en staat er niet voor in.

Het beperkte deel dat NextPDF speelt

Binnen die keten is de taak van NextPDF afgebakend en concreet. Het stelt de PDF-handtekening samen: het plaatst het handtekeningveld, berekent het bytebereik en bouwt de CMS SignedData die de standaard voorschrijft voor de Contents-vermelding. Spec Spec: ISO 32000-2, §12.8 ISO 32000-2 §12.8 Wanneer de ondertekeningssleutel op een QSCD staat, ondertekent NextPDF daarmee via dezelfde hardwarekoppeling die wordt beschreven in HSM-backed signing, en blijft de sleutel op het middel.

NextPDF kan ook de twee ingrediënten insluiten die een handtekening duurzaam maken: een vertrouwd tijdstempel van een tijdstempelautoriteit en validatiemateriaal voor de lange termijn dat de handtekening verifieerbaar houdt. Een tijdstempel is bewijs van een Trusted Third Party dat een gegeven vóór een bepaald tijdstip bestond Spec Spec: RFC 3161, §1 RFC 3161 §1 ; binnen het EU-kader opereert die autoriteit onder een beleid voor vertrouwensdienstverleners die tijdstempels uitgeven. Spec Spec: ETSI EN 319 421, §1 ETSI EN 319 421 §1 NextPDF vraagt het token aan en sluit het in. Het beheert de tijdstempelautoriteit niet, en het insluiten van een tijdstempel maakt een handtekening op zichzelf niet gekwalificeerd.

Wat het bewijs zegt

Evidence § Standard-backed Evidence: Standard-backed De QSCD-eis staat expliciet in het beleid voor gekwalificeerde certificaten: de verplichtingen voor de abonnee (of de beherende TSP) vereisen dat digitale handtekeningen uitsluitend door een QSCD worden aangemaakt. Spec Spec: ETSI EN 319 411-2, §6.3.5 ETSI EN 319 411-2 §6.3.5 Het middel zelf is gedefinieerd als een middel dat de privésleutel van de gebruiker bewaart, hem beschermt tegen compromittering en namens de gebruiker de ondertekening uitvoert Spec Spec: ETSI EN 319 411-1, §3.1 ETSI EN 319 411-1 §3.1 ; voor een natuurlijke persoon moet de privésleutel onder de uitsluitende controle van de ondertekenaar staan. Spec Spec: ETSI EN 319 411-1, §6.3.5 ETSI EN 319 411-1 §6.3.5 Een ondertekeningsbibliotheek kan geen van deze verplichtingen namens de keten vervullen.

Evidence § Standard-backed Evidence: Standard-backed Wat een certificaat gekwalificeerd maakt, ligt besloten in de QC-verklaringen van het certificaat, waaronder een machineleesbare aanduiding dat het is uitgegeven als een gekwalificeerd certificaat voor een elektronische handtekening en gegevens die de gekwalificeerde vertrouwensdienstverlener identificeren die het heeft uitgegeven. Spec Spec: ETSI EN 319 412-5, §4.2 ETSI EN 319 412-5 §4.2 Een bibliotheek die een certificaat gebruikt om een handtekening te bouwen, maakt het certificaat niet gekwalificeerd; de QTSP die het heeft uitgegeven doet dat.

Evidence § Standard-backed Evidence: Standard-backed Vertrouwde tijd heeft een eigen dienstverlenerrol. RFC 3161 definieert een Time Stamp Authority als een Trusted Third Party die bewijs levert dat een gegeven op een tijdstip bestond Spec Spec: RFC 3161, §1 RFC 3161 §1 ; ETSI EN 319 421 specificeert de beleids- en beveiligingseisen voor vertrouwensdienstverleners die tijdstempels uitgeven, die digitale handtekeningen kunnen ondersteunen of kunnen bewijzen dat een gegeven bestond vóór een bepaald tijdstip. Spec Spec: ETSI EN 319 421, §1 ETSI EN 319 421 §1 NextPDF sluit een token van zo’n dienstverlener in; de gekwalificeerde status van de dienstverlener, indien aanwezig, is die van de dienstverlener, niet die van de engine.

Human-factors note: Human-factors note

Deze pagina begint met de keten en de kosten van een ontbrekende schakel, nog vóór enig mechanisme, omdat in een context van juridisch vertrouwen de meest ingrijpende informatie moet staan waar zij niet gemist kan worden. De structuur is bewust gekozen: eerst de rollen, dan het beperkte vak van NextPDF expliciet benoemd, en dan de standaarden — zodat een lezer na “De korte versie” kan stoppen en al weet welke garanties niet aan de engine zijn om te geven.

Praktijkvoorbeeld

Er bestaat geen API die “een handtekening gekwalificeerd maakt”, en een codevoorbeeld dat anders zou suggereren, zou misleidend zijn. Het bruikbare artefact hier is een verantwoordelijkheidschecklist die een reviewer kan gebruiken:

Schakel in de keten	Wie het bezit	Het deel van NextPDF
Gekwalificeerd certificaat is uitgegeven	Gekwalificeerde vertrouwensdienstverlener	Gebruikt het; geeft het niet uit
Ondertekening op een QSCD	De ondertekenaar + het middel	Ondertekent ermee; is geen QSCD
Uitsluitende controle over de privésleutel	De ondertekenaar + het middel	Houdt de sleutel nooit vast wanneer die op een QSCD staat
Dienstverlener/dienst is gekwalificeerd	De QTSP + toezicht	Doet daar geen uitspraak over
Vindbaar via vertrouwenslijsten	Beheerders van vertrouwenslijsten	Beheert of controleert ze niet
PDF-handtekening is welgevormd	De ondertekeningsengine	Dit is het vak van NextPDF
Vertrouwd tijdstempel is ingesloten	Een tijdstempelautoriteit	Vraagt het token aan en sluit het in
Validatiemateriaal voor de lange termijn	De signing/validation-stroom	Kan het insluiten (zie Gerelateerde documenten)

Als een rij boven het vak van de engine niet is vervuld, is het resultaat — in het gunstigste geval — een geldige geavanceerde handtekening, geen gekwalificeerde. NextPDF kan elk onderdeel waarvoor het verantwoordelijk is correct uitvoeren en de handtekening toch niet gekwalificeerd maken, omdat die status niet door de engine wordt verleend.

Veelvoorkomend misverstand

“NextPDF produceert gekwalificeerde handtekeningen.”

Dat doet het niet, en de precieze formulering is van belang. NextPDF produceert structureel correcte PDF-handtekeningen en is compatibel met ondertekening op een QSCD en het insluiten van tijdstempels van gekwalificeerde dienstverleners. Of een bepaalde handtekening gekwalificeerd is, is afhankelijk van de implementatie: het hangt af van een gekwalificeerd certificaat, een QSCD, een gekwalificeerde vertrouwensdienstverlener en de status op een vertrouwenslijst — die geen van alle door de engine worden geleverd of gecertificeerd. De juiste bewering is: “NextPDF stelt de handtekening samen; de gekwalificeerde status komt van het certificaat, het middel en de dienstverlener.” Meer zeggen dan dat is een juridische status overclaimen die software niet kan verlenen.

Grenzen en afbakening

De grens, onomwonden en zonder verzachting gesteld:

• Wat NextPDF is. Een PDF 2.0-ondertekeningsengine. Het bouwt de handtekening volgens Spec Spec: ISO 32000-2, §12.8 ISO 32000-2 §12.8 , ondertekent via een middel wanneer dat wordt aangeleverd, en kan een tijdstempel en validatiemateriaal voor de lange termijn insluiten.
• Wat NextPDF niet is. Het is geen QSCD, geen gekwalificeerde of andere vertrouwensdienstverlener, geen certificeringsautoriteit, en geen beheerder van vertrouwenslijsten. Het beoordeelt, bevestigt of verleent geen gekwalificeerde status.
• Conformiteit is geen certificering. Het is een structurele uitspraak dat NextPDF handtekeningen bouwt conform de PDF-handtekeningstandaard en de elementen kan dragen die een AdES-profiel verwacht. Het is geen certificering dat een resulterende handtekening gekwalificeerd is, en geen vervanging voor de voorwaarden inzake QSCD, certificaat, dienstverlener en vertrouwenslijst die — samen — die status opleveren.
• Het rechtsgebied is van belang. “Gekwalificeerd” en het juridische effect ervan worden binnen haar reikwijdte gedefinieerd door de eIDAS-verordening. Deze pagina is een technische uitleg, geen juridisch advies. Of een handtekening juridisch toereikend is voor een specifiek gebruik, is een vraag voor het toepasselijke recht en de raadslieden van de partijen, niet voor de documentatie van een bibliotheek.

Qualified-signature support — edition availability

Edition	Availability
Core	○ Core bouwt de PDF-handtekeningdrager en de CMS-container. Het draagt op zichzelf niet bij aan gekwalificeerde status.
Pro	○ Pro voegt ondertekening met beheerde sleutels en handtekeningverrijking toe, beschreven op het gedragsniveau. Het is nog steeds geen QSCD of vertrouwensdienstverlener.
Enterprise	○ Enterprise voegt ondertekening met een hardwaretoken via PKCS#11 toe, zodat de ondertekenings- sleutel kan leven op een middel dat een implementatie als QSCD inzet. De engine ondertekent via het middel; de gekwalificeerde status blijft die van het certificaat, het middel en de dienstverlener — nooit die van de engine.

Mini-FAQ

Is een geavanceerde handtekening hetzelfde als een gekwalificeerde? Nee. Ze kunnen er in een viewer identiek uitzien. Een gekwalificeerde handtekening vereist daarnaast een gekwalificeerd certificaat, een QSCD en een gekwalificeerde vertrouwensdienstverlener; een geavanceerde handtekening niet. Het verschil zit in de keten, niet in de PDF-bytes.

Maakt ondertekenen op een HSM een handtekening gekwalificeerd? Niet op zichzelf. Een QSCD is noodzakelijk, maar niet voldoende. Het certificaat moet een gekwalificeerd certificaat van een gekwalificeerde vertrouwensdienstverlener zijn, en het middel moet voor die implementatie aan de QSCD-criteria voldoen. Een algemene HSM is niet automatisch een QSCD.

Maakt het toevoegen van een tijdstempel een handtekening gekwalificeerd? Nee. Een vertrouwd tijdstempel versterkt de duurzaamheid en het tijdbewijs; het levert niet de voorwaarden inzake certificaat, middel of dienstverlener die gekwalificeerde status bepalen. Het is noodzakelijk voor profielen voor de lange termijn, niet voldoende voor gekwalificeerde status.

Kan NextPDF mij vertellen of mijn handtekening gekwalificeerd is? Nee. De engine beweert niets over gekwalificeerde status. Die vaststellen is een zaak van het certificaat, het middel, de dienstverlener, vertrouwenslijsten en het toepasselijke recht — buiten de verantwoordelijkheid van de engine.

Gerelateerde documenten

• HSM-backed signing — de middelnaad die een QSCD-gebaseerde handtekening gebruikt, en waar de sleutelgrens ligt.
• Timestamps and trusted time — wat een RFC 3161-tijdstempel bewijst en welke dienstverlenerrol erachter zit.
• Long-term validation — het validatiemateriaal dat een handtekening door de tijd heen verifieerbaar houdt.

Verklarende woordenlijst

• Qualified electronic signature — onder de verordening eIDAS een geavanceerde elektronische handtekening die met een QSCD is aangemaakt en op een gekwalificeerd certificaat is gebaseerd; een juridische status, geen softwarefunctie.
• eIDAS — EU-verordening (EU) nr. 910/2014 betreffende elektronische identificatie en vertrouwensdiensten; het juridische kader dat “gekwalificeerd” en het effect ervan definieert.
• QSCD (qualified signature creation device) — een middel dat aan de eIDAS-criteria voldoet; in ETSI-termen een beveiligd cryptografisch middel dat de sleutel van de gebruiker bewaart, hem beschermt en namens de gebruiker ondertekent.
• Qualified certificate — een certificaat dat is uitgegeven door een gekwalificeerde vertrouwensdienstverlener en waarvan de QC-verklaringen het machineleesbaar aanmerken als gekwalificeerd voor een elektronische handtekening.
• QTSP (qualified trust service provider) — een vertrouwensdienstverlener onder toezicht die gekwalificeerde certificaten en aanverwante gekwalificeerde diensten uitgeeft.
• Trusted list — gepubliceerd bewijs waarmee een vertrouwende partij vaststelt dat een dienstverlener en dienst gekwalificeerd waren.
• Sole control — de verplichting dat de privésleutel van een ondertekenende natuurlijke persoon onder de uitsluitende controle van die ondertekenaar wordt gehouden.
• Time Stamp Authority (TSA) — een Trusted Third Party die het bewijs van bestaan levert voor een gegeven op een tijdstip (RFC 3161).