Anmeldung

Interne versus externe Signaturen - Unterschiede, Formate und Anwendungen (Teil 1)

Elektronische Signatur in ein Dokument eingebettet oder als separate Datei? Die Wahl der Art der elektronischen Signatur ist von großer praktischer Bedeutung. Informieren Sie sich über die Unterschiede zwischen internen und externen Signaturen und darüber, wann es sinnvoll ist, beide zu verwenden.
Interne und externe Signaturen - was ist der Unterschied und wann sollten sie verwendet werden?

Unter früheren Beitrag haben wir die beiden grundlegenden elektronischen Signaturformate - XAdES und PAdES - besprochen, die am häufigsten für qualifizierte elektronische Signaturen verwendet werden. In Fortsetzung dieses Themas werden wir ein weiteres wichtiges Thema behandeln: interne und externe Signaturen.

Ob eine elektronische Signatur in eine Datei eingebettet oder als separate Datei gespeichert wird, ist von großer praktischer Bedeutung - insbesondere beim Unterschreiben großer Dateien oder bei der Arbeit mit komplexen IKT-Systemen.

In diesem Artikel erklären wir, was qualifizierte interne und externe Signaturen sind und was sie im Zusammenhang mit den verschiedenen Formaten (PAdES, XAdES, CAdES) bedeuten. Wir skizzieren ihre wichtigsten Vor- und Nachteile und schlagen vor, wann es sinnvoll ist, jede dieser Lösungen zu verwenden.

Was ist eine interne Signatur und was ist eine externe Signatur?

Eine interne Signatur ist eine Signatur, die direkt in das zu signierende Dokument integriert wird. Einfacher ausgedrückt: Wenn eine Datei mit einer internen Signatur signiert wird, erhält man eine einzige Datei, die sowohl den Inhalt des Dokuments als auch die Signaturinformationen (Zertifikat, Zeitstempel usw.) enthält. Interne Signaturen gibt es unter anderem in den Standards PAdES und XAdES, die es ermöglichen, die elektronische Signatur innerhalb der signierten Datei zu platzieren. So wird bei der PAdES-Signatur die Signatur immer zusammen mit dem PDF in einer Datei gespeichert, während XAdES die Signatur als Element in die XML-Struktur des Originaldokuments einbetten kann.

Die externe Signatur hingegen ist eine separate Datei - sobald das Dokument signiert ist, erhält man zwei (oder mehr) Dateien: das Originaldokument und eine separate Datei mit der digitalen Signatur. Diese externe Datei (z.B. mit der Erweiterung .xades oder .sig) enthält die kryptographischen Daten zur Bestätigung der Signatur, aber nicht den Inhalt des Originaldokuments. Solche qualifizierten externen Signaturen können im XAdES- oder CAdES-Format erstellt werden. In der Praxis bedeutet dies, dass der Empfänger beide Teile - das Dokument und die Signaturdatei - haben muss, um die Signatur und den Inhalt zu überprüfen. Fehlt eines von beiden, ist es unmöglich, die Echtheit der Signatur und den Inhalt des Dokuments zu überprüfen.

Der Unterschied zwischen einer internen und einer externen Signatur besteht darin, wie die Signatur positioniert wird - entweder innerhalb der zu signierenden Datei oder als separate Zusatzdatei.

Es ist jedoch wichtig zu betonen, dass beide Arten rechtlich gleichwertig sind. Sowohl qualifizierte interne als auch externe Signaturen erfüllen die Anforderungen der eIDAS-Verordnung und werden als rechtsverbindlich anerkannt. Die Wahl des Signaturtyps betrifft daher in erster Linie Fragen der Technik und der Benutzerfreundlichkeit - z. B. die einfache Speicherung, Überprüfung oder Übermittlung von Dokumenten - und nicht die Rechtsverbindlichkeit der elektronischen Signatur selbst.

Beide Arten von Signaturen unterstützen Zusätze wie Zeitstempel, Signaturrichtlinien usw., die die langfristige Sicherheit erhöhen.

PAdES-Format - PDF-Signatur (interne Signatur)

PAdES (PDF Advanced Electronic Signature) ist ein qualifiziertes Signaturformat, das ausschließlich für PDF-Dateien entwickelt wurde. Bei diesem Standard wird die elektronische Signatur (und das Zertifikat des Unterzeichners) in die PDF-Struktur eingebettet - sie wird zu einem integralen Bestandteil des Dokuments. Somit ist alles, was für die Überprüfung benötigt wird, in einer einzigen Datei enthalten, die in gängigen Programmen wie Adobe Reader geöffnet werden kann. Darüber hinaus ermöglicht PAdES das Hinzufügen einer visuellen Darstellung der Unterschrift auf der Dokumentenseite (z. B. ein grafisches Siegel oder Unterschriftsinformationen), was die Lesbarkeit erhöht und die elektronische Unterschrift einer handschriftlichen Unterschrift auf Papier ähnlicher macht.

Vorteile des PAdES-Formats

  • Wir liefern eine einheitliche PDF-Datei - der signierte Inhalt und die digitale Signatur sind in das Dokument integriert. Es besteht keine Notwendigkeit, separate Signaturdateien beizufügen.

  • Eine sichtbare grafische Kennzeichnung der Signatur erscheint im Dokument, so dass der Empfänger die signierte Datei leicht identifizieren kann.

  • Integrität - die PAdES-Signatur schützt das Dokument nach dem Signieren vor Veränderungen. Jede Änderung am Inhalt der PDF-Datei macht die Signatur ungültig, so dass der Empfänger sicher sein kann, dass das Dokument nicht verändert wurde.

  • Möglichkeit mehrerer Unterschriften in einer PDF-Datei - mehrere Personen können dieselbe Datei nacheinander unterschreiben und die vorherigen Unterschriften bleiben gültig (nachfolgende Unterschriften machen die vorherigen nicht ungültig).

  • Einfache Nutzung und Überprüfung - Ein PDF mit einer PAdES-Signatur kann in einem Standard-PDF-Viewer geöffnet werden, und Informationen über die Gültigkeit der Signatur werden in der Regel automatisch angezeigt. Damit ist PAdES die einfachste Lösung für typische Geschäfts- und Verwaltungssituationen.

Beschränkungen des PAdES-Formats

  • Nur für PDF - das PAdES-Format funktioniert nur mit PDF-Dokumenten. Wenn wir eine Datei eines anderen Typs (z. B. DOCX, XML, JPG) signieren müssen, müssen wir sie in PDF konvertieren oder ein anderes Signaturformat verwenden.

  • Dateigröße - obwohl die digitale Signatur selbst nur wenig Platz benötigt, erhöht sich bei sehr großen PDF-Dateien durch die Einbettung der Signatur die Dateigröße (die gesamte signierte Datei, die Dutzende oder Hunderte von MB groß sein kann, muss übertragen werden). In manchen Situationen, z. B. bei den Beschränkungen von E-Mail-Systemen oder ePUAP, kann dies die Übertragung erschweren. (In solchen Fällen ist eine externe Signatur manchmal die Lösung, wie weiter unten erläutert wird).

  • Mangelnde Vielseitigkeit - PAdES eignet sich hervorragend für PDF-Dokumente, funktioniert aber nicht dort, wo PDF nicht akzeptiert wird oder wo eine andere Datenstruktur benötigt wird. In diesem Fall sollten Sie zu XAdES oder CAdES greifen.

XAdES-Format - XML-Signatur (intern oder extern)

XAdES (XML Advanced Electronic Signature) ist ein universelles elektronisches Signaturformat auf der Grundlage des XML-Standards. SeinVorteil ist seineFlexibilität - praktisch jede Art von Datei kann mit XAdES signiert werden: von Textdokumenten (DOCX, ODT), PDF, Bildern (JPEG, PNG), Tabellenkalkulationen, ZIP-Dateien bis hin zu binären oder XML-Daten. Bei strukturierten Daten (XML) wird XAdES sogar bevorzugt, da es Computersystemen erlaubt, sowohl die Signatur zu überprüfen als auch den Inhalt des Dokuments automatisch zu verarbeiten. Aus diesem Grund wird XAdES manchmal bei der elektronischen Übermittlung von Formularen und Anträgen an Institutionen (z. B. PIT-Steuererklärungen, ZUS-Anträge) benötigt, wo die Daten aus dem Dokument in das Computersystem geladen werden sollen.

XAdES bietet sowohl einen internen als auch einen externen Signaturmodus. Beim Signieren einer XML-Datei kann die XAdES-Signatur als Element in diese Datei eingebettet werden (interne/externe Signatur). Im Gegensatz dazu wird für andere Dateitypen (z. B. PDF, DOCX, JPG) in der Regel eine externe XAdES-Signatur verwendet - die Signatur ergibt die Originaldatei und eine separate .xades-Datei, die die Signatur enthält. Diese Trennung bringt einige Unannehmlichkeiten mit sich: Wenn Sie z. B. eine PDF-Datei im XAdES-Format signieren , müssen Sie dem Empfänger immer zwei Dateien übergeben und sicherstellen, dass er die Signatur zusammen mit dem Dokument prüft. Wenn Sie die Signaturdatei weglassen oder sie nicht korrekt mit dem Dokument verknüpfen, wird die Signatur nicht als gültig anerkannt. Es ist zwar möglich, eine einzige .xades-Datei zu erstellen, die sowohl die Signatur als auch den verschlüsselten Inhalt enthält (z. B. ein PDF in binärer Form) - dies wird als Umgebungssignatur bezeichnet -, aber eine solche Datei ist für den Benutzer nicht direkt lesbar (das Originaldokument muss erst aus ihr extrahiert werden), so dass sie in der Praxis kaum von Nutzen ist.

Vorteile des XAdES-Formats

  • Vielseitigkeit - ermöglicht das Signieren von Dokumenten in anderen Formaten als PDF, einschließlich Nicht-Text-Dateien und komplexen Archiven. Wenn wir eine Datei signieren müssen, die nicht als PDF geöffnet werden kann, ist XAdES die richtige Wahl.

     

  • Verarbeitung strukturierter Daten - ideal für XML- und ähnliche Dokumente, bei denen neben der eigentlichen Signatur auch der Dateninhalt wichtig ist. Mit XAdES können Systeme die Daten eines signierten XML-Dokuments automatisch interpretieren.

     

  • Mehrere Signaturen - XAdES ermöglicht es, mehrere Signaturen an ein einziges Dokument anzuhängen (z. B. mehrere XML-Signaturen in einer einzigen Datei) oder mehrere Dateien gleichzeitig mit einer einzigen externen Signatur zu signieren. So können mehrere Personen denselben Datensatz signieren, ohne separate Kopien des Dokuments zu erstellen.

     

  • Integrität und Sicherheit - wie bei anderen Formaten ist es bei der XAdES-Signatur nicht möglich, Daten nach dem Signieren zu ändern (eine Änderung des Dokuments führt zu einer Inkonsistenz mit der Signatur). 

Beschränkungen des XAdES-Formats

  • Weniger praktisch für gewöhnliche Dokumente - beim Signieren von Dateien, die der Empfänger einfach nur lesen will (z. B. ein PDF für einen Kunden), ist die Verwendung von XAdES anstelle von PAdES weniger freundlich. Der Empfänger erhält ein PDF ohne sichtbare Signatur und eine separate .xades-Datei, die er selbst in der entsprechenden Anwendung oder dem entsprechenden Dienst überprüfen muss - ein zusätzlicher Schritt, den nicht jeder kennt.

     

  • Risiko der Trennung der Signatur vom Dokument - bei einer externen Signatur besteht die Möglichkeit, dass die Signaturdatei verloren geht oder vom Originaldokument getrennt wird. Eine Überprüfung der Unterschrift ist dann nicht mehr möglich. Daher ist beim Hochladen oder Archivieren Vorsicht geboten - die Signatur sollte immer zusammen mit dem eigentlichen Dokument aufbewahrt werden.

     

  • Verifizierungsanwendung erforderlich - .xades-Dateien werden ohne den Einsatz spezieller Software oder eines Dienstes nicht verifiziert. Im Gegensatz zu PAdES (ein in Acrobat Reader geöffnetes PDF mit integrierter Signaturprüfung) benötigen Sie hier z. B. ein spezielles qualifiziertes Signaturprogramm oder eine Online-Plattform für die Validierung.

     

  • Geringere Lesbarkeit - eine XAdES-Signatur (insbesondere eine externe) gibt im Dokument selbst keinen visuellen Hinweis darauf, dass es signiert wurde (es sei denn, es wird z. B. eine Informationsseite im PDF-Dokument eingefügt). Das Fehlen einer grafischen Darstellung der Signatur kann für Personen, die an Unterschriften auf einem Dokument gewöhnt sind, weniger intuitiv sein.

Fortsetzung folgt - im zweiten Teil dieses Artikels werden wir das CAdES-Format und praktische Tipps für die Auswahl eines Signaturtyps besprechen.

 Sie sind herzlich willkommen!

SimplySign und Certum Mini qualifizierte Signaturen

Wenn Sie Bedenken oder Fragen haben, kontaktieren Sie uns bitte

+48 22 417 05 55

Wir beantworten Ihre Fragen, finden für Sie einen passenden Termin und einen Berater in Danzig, Gdingen, Krakau, Warschau oder Breslau.

Sie können uns auch eine E-Mail schicken podpisano.plkontakt@ . 

Siehe auch:

  • Qualifizierte Stempel, Qualifizierte Unterschriften

KSeF in JDG und kleinen Unternehmen: qualifizierte Signatur, Stempel und Automatisierung von Rechnungen

  • Qualifizierte Briefmarken

KSeF-Offline-Modus: zwei QR-Codes und Gewissheit über die Echtheit der Rechnung (KSeF-Zertifikat Typ 2)

  • Qualifizierte Briefmarken

Zwei Strategien für die Verwaltung von KSeF im Unternehmen: ZAW-FA oder elektronischer Firmenstempel

  • Qualifizierte Stempel, Qualifizierte Unterschriften

Sicheres KSeF mit qualifizierter Signatur – Leitfaden zur ERP-Integration für Unternehmen und zum automatischen Versand von E-Rechnungen

Alle sehen

Brauchen Sie Hilfe?

Infos
Weitere Informationen In den Warenkorb legen
Infos
Weitere Informationen In den Warenkorb legen

Finden Sie, was Sie suchen