Anmeldung

Interne versus externe Signaturen - CAdES, XAdES oder PAdES? Ein Vergleich von internen und externen Signaturen. (Teil 2)

XML-Daten, ZIP-Archive oder große Dateien - diese lassen sich nicht immer bequem mit einer Standard-PAdES-Signatur signieren. In solchen Situationen ist es sinnvoll, zu einer externen Signatur (z.B. XAdES oder CAdES) zu greifen - erfahren Sie, was das ist und wann es die beste Lösung ist.
CAdES, XAdES oder PAdES? Vergleich von internen und externen Signaturen

In einem früheren Abschnitt haben wir PAdES und XAdES beschrieben. Jetzt ist es Zeit für CAdES - wir sehen uns an, wie interne und externe Signaturen in diesem Format funktionieren und welchen Nutzen es in der Wirtschaft hat.

Eine qualifizierte elektronische Signatur kann entweder innerhalb eines Dokuments (interne Signatur) oder als separate Datei (externe Signatur) erstellt werden. Beide Formen bieten das gleiche Maß an Sicherheit, sind aber in ihrer Anwendung technisch und praktisch unterschiedlich.

Im ersten Teil dieses Artikels haben wir die Unterschiede zwischen internen und externen Signaturen am Beispiel der Formate PAdES und XAdES detailliert beschrieben. Nun werden wir uns ein weiteres Format - CAdES - ansehen und praktische Hinweise geben, in welchen Fällen externe und in welchen Fällen interne Signaturen besser geeignet sind.

CAdES-Format - CMS/PKCS#7-Signatur (intern oder extern)

CAdES (CMS Advanced Electronic Signature) ist ein weiteres qualifiziertes Signaturformat, das auf dem Standard Cryptographic Message Syntax (PKCS#7) basiert.

In der Praxis hat CAdES normalerweise die Form von eines kryptografischen Umschlags mit der Endung .p7m, .p7s oder .sig, der die signierten Daten oder Verweise auf sie enthält. Dieses Format ist in Bezug auf die Dateitypen vielseitig - es können beliebige Binärdaten signiert werden: Textdokumente (DOC/XLS), Bilder, PDF-Dateien, ZIP-Archive und sogar große Datensätze oder ausführbare Dateien. Dank dieser Vielseitigkeit wird CAdES manchmal in der Kommunikation zwischen IT-Systemen und in Unternehmenslösungen verwendet, die das Signieren von nicht standardisierten Dateien erfordern.

Im Falle von CAdES kann es sich um eine interne (Surround-)Signatur handeln - in diesem Fall wird eine einzige .p7m-Datei erstellt, die das Originaldokument zusammen mit der Signatur enthält. Eine solche Datei ist kohärent und kann leicht als einzelnes Element hochgeladen werden, erfordert aber eine spezielle Software zum Öffnen (der durchschnittliche Benutzer wird eine .p7m-Datei nicht ohne eine spezielle Anwendung öffnen). Alternativ kann CAdES als externe Signatur fungieren - in diesem Fall bleibt die Originaldatei unverändert und eine Signaturdatei (z. B. mit der Erweiterung .p7s oder .sig) wird separat erzeugt, ähnlich wie bei XAdES. Beide Methoden sind eIDAS-konform; die Wahl hängt von Ihren Bedürfnissen ab. Viele Signaturprogramme (z.B. Certum) erlauben die Wahl zwischen "externer Signatur" und "interner Signatur" im CAdES-Format.

Vorteile des CAdES-Formats

  • Jeder Dateityp - CAdES kann zum Signieren praktisch aller Arten von elektronischen Daten verwendet werden. Es ist die beste Wahl, wenn wir eine Datei signieren müssen, die nicht ohne weiteres durch ein anderes Format abgedeckt werden kann (z. B. ein nicht standardisiertes Binärformat).

  • Eine Endung für verschiedene Daten - eine .p7m-Signaturdatei kann ein Dokument beliebigen Formats enthalten, was die Standardisierung erleichtert. Ob Sie ein PDF oder ein AVI signieren - das Ergebnis ist eine .p7m.

  • Kompakte Signatur - CAdES erzeugt einen relativ geringen Daten-Overhead. Eine Signatur ist (unabhängig von der Größe des Originals) in der Regel nur wenige Kilobyte groß. Sie ist speichereffizient und dank der definierten, binären Signaturstruktur schnell zu überprüfen.

  • Beliebtheit innerhalb von Systemen - auch wenn die Endnutzer sich seltener bewusst für CAdES entscheiden, ist das Format innerhalb von Anwendungen und Diensten weit verbreitet (z. B. zum Signieren von Datenpaketen, elektronischen Rechnungen, Server-zu-Server-Kommunikation). Die Vorteile des Formats werden von automatisierten Lösungen geschätzt - z. B. kann das Signieren und Überprüfen einer großen Anzahl von Tabellendateien aus Effizienzgründen präzise in CAdES implementiert werden.

Beschränkungen des CAdES-Formats

  • Erfordert spezielle Lesesoftware - die Person, die die .p7m-Datei erhält, kann ihren Inhalt nur mit einer speziellen Anwendung zur Signaturprüfung lesen. Für den ungeschulten Empfänger kann dies verwirrend sein - die Signaturdatei wird nicht wie ein normales Dokument geöffnet und wirft die Frage auf: "Wie kann ich das unterschreiben/lesen?". Es ist notwendig, ein Verifikationswerkzeug zu verwenden (z.B. ein Programm eines Signaturanbieters).

  • Kein sichtbares Siegel im Dokument - die CAdES-Signatur ist vollständig vom Inhalt des Dokuments getrennt und bietet keine grafische Darstellung der Signatur im Inhalt selbst (Sie können die "Signatur" nicht auf einem Ausdruck oder einer Dateivorschau sehen). Wenn Sie den visuellen Effekt einer Signatur auf einem Dokument wünschen, kann CAdES dies nicht bieten.

  • Schwierigkeiten mit Mehrfachsignaturen - in einem Szenario, in dem mehrere Personen dasselbe Dokument signieren müssen, erzeugt die interne CAdES-Variante ein "Matrix"-Phänomen. Das bedeutet, dass jede aufeinanderfolgende Signatur eine neue .p7m-Datei erzeugt, die die zuvor signierte Datei enthält - verschachtelte Briefumschläge von Signaturen. Dies hat zur Folge, dass die Handhabung mehrerer Signaturen auf einem einzigen Dokument umständlich wird (aufeinanderfolgende Schichten von Signaturen). Im XAdES- oder PAdES-Format gibt es dieses Problem nicht - dort können Signaturen hinzugefügt werden, ohne dass die Datei in aufeinanderfolgende Schichten eingewickelt wird.

  • Weniger beliebt bei den Nutzern - die meisten assoziieren das Signieren von PDF-Dateien (PAdES) oder möglicherweise .xml-Dateien mit dem Signieren (XAdES). CAdES als .p7s/.p7m ist für den Durchschnittsnutzer weniger intuitiv. Wenn Sie also einer Gegenpartei ein signiertes Dokument im CAdES-Format schicken, weiß diese möglicherweise nicht, wie sie es öffnen oder überprüfen kann - eine Anleitung ist manchmal notwendig. Daher wird CAdES häufiger in etablierten Geschäftsbeziehungen oder innerhalb von Systemen verwendet, in denen die Parteien wissen, wie eine solche Signatur zu handhaben ist.

Wann sollte man eine interne und wann eine externe Signatur verwenden?

Die Wahl zwischen internen und externen Signaturen hängt vom Verwendungskontext des Dokuments und den Anforderungen des Empfängers ab. Im Folgenden finden Sie einige praktische Tipps:

  • Dokumente für Personen (z. B. Verträge, Briefe im PDF-Format) - Beim Versand eines signierten Dokuments an eine Person, die es lediglich lesen und sich seiner Echtheit vergewissern soll, eignet sich eine interne Signatur im PAdES-Format am besten. Der Empfänger erhält eine einzige PDF-Datei, die er einfach öffnen kann, und das Programm (z. B. Acrobat Reader) zeigt sofort Informationen über die Gültigkeit der Signatur an. Dies ist die einfachste Art, ein Dokument in Wirtschaft und Verwaltung zu unterschreiben. Eine externe Unterschrift könnte in diesem Fall die Situation nur verkomplizieren (Sie müssten zwei Dateien anhängen und erklären, wie sie zu überprüfen sind).

 

  • Dokumente in anderen Formaten als PDF - Wenn wir eine Nicht-PDF-Datei signieren müssen, haben wir die Wahl zwischen XAdES und CAdES. Hier hängt die Entscheidung intern vs. extern von den Umständen ab. Wenn das Dokument an eine Behörde oder ein System gehen soll, das ein bestimmtes Format erfordert (z. B. akzeptieren viele E-Government-Plattformen nur XAdES-Signaturen als separate Datei für XML), dann verwenden wir bei Bedarf eine externe XAdES-Signatur. Wird dagegen z. B. eine Word-Datei für den internen Gebrauch im Unternehmen signiert, kann internes CAdES in Betracht gezogen werden - es wird eine .p7m-Datei mit dem Dokument erstellt, die die Kollegen in ihrer Software überprüfen. Wenn der Empfänger einer solchen Datei jedoch Schwierigkeiten hat, die .p7m-Datei zu öffnen, besteht eine Alternative darin, extern zu signieren (eine separate .sig-Datei) und die ursprüngliche DOCX-Datei zu belassen - aber auch in diesem Fall müssen Sie sicherstellen, dass die beiden Teile nicht getrennt werden.

 

  • Große Dateien - für große Dokumente (Link) (mehrere Dutzend MB) wird oft empfohlen, eine externe Signatur zu verwenden. Warum? Weil bei einer internen Signatur eine neue Datei erstellt wird, die das gesamte Original plus die Signatur enthält, wodurch sich die Menge der zu übertragenden und zu speichernden Daten verdoppelt. Eine externe Signatur hingegen ist winzig (in der Größenordnung von einigen wenigen Kilobyte) und kann separat übertragen werden. In der Praxis geben die Hersteller an, dass die externe Signatur besser mit Dateien zurechtkommt, die größer als ~25 MB sind. Bei Dateien dieser Größe könnte eine interne Signatur problematisch sein (z. B. passt sie nicht in das Limit für E-Mail-Anhänge oder die Plattform weigert sich, eine zu große Datei zu akzeptieren). Mit einer externen Signatur übertragen wir die große Originaldatei ohne Änderung und die Signatur als separate kleine Datei - was manchmal eine praktische Lösung ist.

 

  • Formale und systembedingte Anforderungen - Es ist immer eine gute Idee zu prüfen, welche Formate und Arten von Signaturen vom Empfänger oder dem System, an das Sie das Dokument übermitteln, akzeptiert werden. Einige Einrichtungen schreiben beispielsweise ausdrücklich vor, dass PDF-Dokumente mit PAdES und XML-Formulare mit einer externen XAdES-Signatur (separate Datei) zu signieren sind oder verlangen einen bestimmten Standard (z. B. ASiC). In solchen Situationen wird die Entscheidung von vornherein durch Anforderungen vorgegeben. Glücklicherweise ist es mit den meisten E-Signatur-Softwareprogrammen einfach, das Format und den Signaturtyp je nach Bedarf zu wechseln - wählen Sie einfach vor dem Signieren die entsprechenden Optionen aus.

Zusammenfassend lässt sich sagen, dass eine interne Signatur dort gut funktioniert, wo wir die Bequemlichkeit einer einzigen Datei und die Lesbarkeit schätzen(hauptsächlich PDF/PAdES für typische Dokumente), während eine externe Signatur in Szenarien, die Flexibilität erfordern, unverzichtbar ist - bei verschiedenen Dateiformaten, automatisierter Datenverarbeitung oder sehr großen Anhängen. Unabhängig von der gewählten Methode garantieren jedoch beide Arten von Signaturen das gleiche Maß an Sicherheit und Rechtsgültigkeit, das sich aus einem qualifizierten Zertifikat ergibt.

Es ist von entscheidender Bedeutung, dass der Empfänger die Unterschrift überprüfen kann - daher sollten bei der Verwendung von weniger offensichtlichen Formen (z. B. .xades oder .p7m) immer alle erforderlichen Dateien und Anweisungen bereitgestellt werden. Mit diesem Wissen können wir bewusst das Format und die Art der Unterschrift wählen, die für die jeweilige Situation am besten geeignet sind, um sowohl die Bequemlichkeit als auch die Einhaltung der Vorschriften zu gewährleisten.

 

SimplySign und Certum Mini qualifizierte Signaturen

Wenn Sie Bedenken oder Fragen haben, kontaktieren Sie uns bitte

+48 22 417 05 55

Wir beantworten Ihre Fragen, finden für Sie einen passenden Termin und einen Berater in Danzig, Gdingen, Krakau, Warschau oder Breslau.

Sie können uns auch eine E-Mail schicken podpisano.plkontakt@ . 

Siehe auch:

  • Qualifizierte Stempel, Qualifizierte Unterschriften

KSeF in JDG und kleinen Unternehmen: qualifizierte Signatur, Stempel und Automatisierung von Rechnungen

  • Qualifizierte Briefmarken

KSeF-Offline-Modus: zwei QR-Codes und Gewissheit über die Echtheit der Rechnung (KSeF-Zertifikat Typ 2)

  • Qualifizierte Briefmarken

Zwei Strategien für die Verwaltung von KSeF im Unternehmen: ZAW-FA oder elektronischer Firmenstempel

  • Qualifizierte Stempel, Qualifizierte Unterschriften

Sicheres KSeF mit qualifizierter Signatur – Leitfaden zur ERP-Integration für Unternehmen und zum automatischen Versand von E-Rechnungen

Alle sehen

Brauchen Sie Hilfe?

Infos
Weitere Informationen In den Warenkorb legen
Infos
Weitere Informationen In den Warenkorb legen

Finden Sie, was Sie suchen