Qualifizierte elektronische Zeitstempel – FAQ erstellt von SIGNIUS

Im Rahmen der Digitalisierung (vor allem des Dokumentenverkehrs, der Vertragsunterzeichnung und der Langzeitarchivierung) werden qualifizierte elektronische Zeitstempel eine immer bedeutsamere Rolle spielen – und zwar sowohl für sich allein als auch in der Kombination mit qualifizierten E-Signaturen und/oder E-Siegeln. Im Unterschied zu „einfachen“ und „fortgeschrittenen“ Zeitstempeln, Signaturen und Siegeln steht „qualifiziert“ für das höchste Sicherheitsniveau und juristische Beweiskraftlevel, weil entsprechend staatlich zertifizierte Dritte (Vertrauensdiensteanbieter, Trust Service Provider) nach eIDAS Verordnung an entscheidenden Stellen in ihre Erzeugung eingebunden sind.

Wie funktioniert die Zeitstempelung?

Zeitstempel können verwendet werden, um den Zeitpunkt einer Transaktion, den Zeitpunkt der Unterzeichnung eines Dokuments und den Zeitpunkt seiner Archivierung unabhängig und unwiderlegbar nachzuweisen. RFC 3161 und RFC 5816 sind Standards für sicheres kryptografisches Zeitstempeln und geben vor, welche Produkte und Organisationen in Zeitstempeln enthalten sein müssen. Dies umfasst die Bereitstellung einer vertrauenswürdigen Zeitquelle, eines vertrauenswürdigen Zeitwerts und einer eindeutigen Kennung für jeden ausgegebenen Zeitstempel. In den sich etablierenden Remote-Prozessen, welche das Hantieren mit Karten- und Kartenlesegeräten zunehmend ersetzen werden, verbindet der Trust Service Provider den eindeutigen Hash der Dokumenten-Daten kryptografisch mit Signatur/Siegel und/oder im Fall des Zeitstempels mit dem aktuellen Datum und der aktuellen Uhrzeit, die mit einer vertrauenswürdigen Zeitquelle synchronisiert sind. Dies erfolgt mit einer speziellen digitalen Signatur unter Verwendung eines privaten Signaturschlüssels unter der alleinigen Kontrolle des Trust Centers, der generiert und in einem vertrauenswürdigen Hardware-Sicherheitsmodul (HSM) gespeichert werden soll.

Kann ich ein Dokument bzw. dessen Signatur selbst mit einem sicheren Zeitstempel versehen?

Ja und Nein. Denn nur ein Trust Service Provider kann sichere und qualifizierte Zeitstempel ausgeben, welche den offiziellen und nicht manipulierbaren Zeitpunkt verbürgen. Damit ein Zeitstempel gültig und konform mit RFC 3161 und 5816 ist und unabhängige Nachweise liefert, muss ein vertrauenswürdiger Zeitstempel von einem vertrauenswürdigen Dritten ausgestellt werden – das ist eine Zeitstempelbehörde. Wenn Sie Ihre eigene Signatur mit einem Zeitstempel versehen, wird die Integrität des Dokuments in Frage gestellt. Wenn ein vertrauenswürdiger Dritter bestätigt, dass er den Hash des Dokuments zu einem bestimmten Datum und zu einer bestimmten Uhrzeit erhalten und unterschrieben hat, ist dies der vertrauenswürdigste Weg, um die Echtheit eines Dokuments sowohl zum Zeitpunkt seiner Unterzeichnung als auch in der Zukunft nachzuweisen. Inzwischen gibt es allerdings die technische und rechtliche Möglichkeit, ein von einem Trust Service Provider entsprechend zertifiziertes HSM im eigenen – geschützten – Rechenzentrum als QSCD zu betreiben und mit diesem qualifizierte Zeitstempel, Signaturen und Siegel zu erzeugen.

Was passiert, wenn ich die Signatur nicht mit einem Zeitstempel versehen habe?

Mit dem Zeitstempel wird nachgewiesen, dass ein Dokument seit der Anbringung des Zeitstempels nicht geändert wurde. Wenn die Authentizität eines Dokuments bestritten wird, kann es ohne qualifizierten Zeitstempel äußerst schwierig sein, den Nachweis zu erbringen, dass die digitale Signatur zum Zeitpunkt der Unterzeichnung gültig war. Dies liegt daran, dass die meisten Signaturzertifikate nach ein oder zwei Jahren ablaufen, was es schwierig macht, die Gültigkeit des Dokuments mehrere Jahre in der Zukunft nachzuweisen. Ohne einen Zeitstempel für rechtsverbindliche Dokumente wie Geschäftsverträge könnte jemand die Uhr auf seinem Computer manipulieren und dann das Dokument ändern und von Verbindlichkeiten zurücktreten, was wiederum zu kostspieligen Rechtsstreitigkeiten führen kann, da verschiedene Parteien ihre Ansprüche gegenseitig bestreiten. Timestamping ist im Wesentlichen ein unabhängiger Zeuge, der einem Notar vergleichbar die erforderlichen Nachweise dafür liefert, dass das Dokument unverändert ist, seit der Dokument-Hash zum Zeitpunkt der Unterzeichnung an den Trust Service Provider gesendet wurde.

Kann ein Zeitstempel selbst gelöscht oder ungültig werden?

Timestamping bietet Integrität auch dann, wenn die digitalen Anmeldeinformationen eines Unterzeichners ablaufen oder widerrufen werden. So können digitale Langzeitsignaturen erstellt werden, die alles enthalten, was zur Überprüfung der Signatur erforderlich ist: den Zeitstempel für die Angabe des Signaturzeitpunkts sowie die Signatur und die Gültigkeitsdaten der Zertifikatskette. Dies ist äußerst vorteilhaft für die Langzeitarchivierung. Langzeitsignaturen werden in verschiedenen ETSI-Signaturformaten unterstützt: PAdES für PDF-Dokumente; XAdES für XML und CAdES für andere Datenformate. Dies stellt sicher, dass Dokumente und Daten auch in Zukunft – Jahrzehnte oder länger – gelesen und überprüft werden können, selbst wenn die Anmeldeinformationen ablaufen. Die Zusammenarbeit von Trust Service Provider, der eine vertrauenswürdige Signaturzeit bereitstellt, und der Validierungsbehörde (Online Certificate Status Protocol), die den Nachweis erbringt, dass das Zertifikat des Unterzeichners nicht widerrufen wurde, verlängert die Lebensdauer der Signatur auf bis zu 20 Jahre (abhängig von der Lebensdauer des Trust Center Zertifikats). Vor diesem Ablaufdatum ist es auch möglich, einen weiteren Zeitstempel hinzuzufügen und die Gültigkeit des Dokuments in Zukunft weiter zu verlängern.

Wo und wie finde ich einen Zeitstempelserver?

In jedem europäischen Land befinden sich eine gewisse Anzahl von für die Vergabe von Zeitstempeln vom jeweiligen Staat zertifizierten Trust Centern. Diese werden für jeden entsprechend einsehbar auf https://webgate.ec.europa.eu/tl-browser/#/ aufgelistet und aktualisiert – und sind einander EU-weit gleichgestellt. Sie können dort direkt oder von entsprechenden Dienstleistern, welche sich häufig um die gesamte Stempelprozessarchitektur (Hardware, Software, Schnittstellen) kümmern, bezogen werden.

Haben Sie weitere Fragen etwa zu Anwendungsfällen und ihren Lösungen im Detail. Zögern Sie nicht, uns zu kontaktieren. Das Experten-Team von SIGNIUS freut sich auf Sie.