S/MIME-Änderungen - PDF Signatur zukünftig nicht mehr möglich? - Alternativen? - D-Trust

Hallo Forum,

ich hatte eben einen Newsletter der PSW Group im Postfach, wo ich zuletzt mein S/MIME Zertifikat erworben habe. Dieses nutze ich gelegentlich für Mailverschlüsselung und PDF-Signaturen.

Inhalt wie folgt (Auszug):

D-Trust hat wichtige Änderungen zu S/MIME-Zertifikaten bekannt gegeben.
Melden Sie sich jetzt kostenlos zu unserem Webinar an und erfahren Sie alles Wichtige zusammengefasst, 
was sich bei D-Trust S/MIME-Zertifikaten zum 31.12.2024 ändert und welche Auswirkungen dies hat.

[...]

WICHTIGE ÄNDERUNGEN SIND UNTER ANDEREM:
* Neue Zertifikatskette bei S/MIME- und SSL-Zertifikaten
* Grund: Regulatorischen Anforderungen des CA/Browser Forums
* Übergangsfrist bis zum 31.12.2024
* Danach: PDF-Signierung mit S/MIME-Zertifikaten nicht mehr möglich

Der letzte Punkt hat meine Aufmerksamkeit geweckt. Hat hier jemand Ahnung, was sich da technisch ändert, das man dann keine PDFs mehr signieren kann? Wo kann man darüber nachlesen? Ich habe auf die schnelle online nichts gefunden. Finde nur viele Einträge, wo über einen neuen Standard berichtet wird, der aber bereits seit Herbst 2023 gelten soll.

Was wären Alternativen? Ich habe mir vor kurzem „sign-me“ von D-Trust / der Bundesdruckerei angeschaut, wo man jetzt mittels eID signieren kann. Dieses Verfahren erscheint mit aber nach Blick in die Anleitungsdokumente viel zu kompliziert (MFA mittels TAN-App oder SMS-TAN notwendig…, Notwendigkeit Coins aufzuladen… etc.). Außerdem muss man dann seine PDF-Dokumente dort hochladen, da man offenbar keine Hoheit über die eigenen Zertifikate hat. Für mich ein klares No-Go.

Bei Governikus kann man inzwischen - ebenfalls mittels eID - seinen PGP-Schlüssel signieren lassen. Wäre das eine brauchbare Alternative um damit PDFs zu signieren?

Welche Alternativen gibt es sonst noch?

Meiner Ansicht nach ist es so, dass eine CA bei der Zertifikatsaustellung festlegt, für welche Einsatzgebiete (Key-Usage) ein Zertifikat genutzt werden darf.

Mir wäre allerdings nicht bekannt geworden, dass ein S/MIME Zertifikat grundsätzlich nicht mehr für eine Dokumenten-Signierung genutzt werden dürfen, ich vermute eher, dass D-Trust eine Veränderung in Ihrer CA-Struktur gemacht hat, die jetzt getrennte Zertifikat für S/MIME und Dokumentensignatur vorsieht.

Aber vielleicht hat hier ja jemand noch weitere Details.

Hinsichtlich Alternativen stellt sich die Frage, mit welchem Ziel und für welche Empfängergruppen Du die PDF-Signatur einsetzt? Ich habe noch nie mit PDF-Signaturen gearbeitet, vermute jedoch, dass die PDF Signatur innerhalb einem Container-File PDF mit dem X.509 Zertifikat und dem eigentlichen PDF-Inhalt gespeichert wird.

Bei eine PGP-Signatur kenne ich bisher nur das Verfahren, dass zu der eigentlich Datei eine zweite PGP-Signatur-Datei abgelegt wird und anhand beider die Signaturprüfung mit einem PGP Client durchgeführt werden kann.

Ich bin mir hier nicht sicher, ob ich mit dem PDF-Signaturen hier richtig liege, aber in jedem Fall stellen sich die Fragen:

(1) Aus welchem Grund signierst Du Deine PDFs?
(2) Wer sind die Personengruppen, die die Signatur prüfen sollen?
(3) Steht denen eigentlich PGP-Software zur Verfügung um eine Signatur zu prüfen?
(4) Woher bekommen diese Deinen öffentlichen Schlüssel?
(5) Wie verifizieren Sie Deine Identität? Governicus bietet zwar einen solchen Service, da PGP jedoch standardmäßig keine CA-basierten Zertifikate vorsehen, werden Clients typischerweise nicht anhand der Governikus Signierung Deinem Schlüssel vertrauen.

Ich würde also eine PGP-Signatur mir erst einmal im Vergleich mit einer Zertifikatsbasierenden PDF-Signatur ansehen und schauen, ob man diese an den Standardmäßigen Arbeitsplätzen problemlos prüfen kann.

Vermutlich wäre es aber einfacher und sinnvoller, wenn Du schaust, ob Du vielleicht eine andere CA findest, die Dir weiterhin Zertifikate ausstellt, die Du für S/MIME und PDF-Signaturen einsetzen kannst.

Alternativ bietet Dir D-Trust bestimmt auch Extra-Zertifiikate für die Dokumentensignatur an.

Offenbar ist dafür aber auch die (Mit-)Benutzung der AusweisApp zwingend erforderlich. So verstehe ich das hier.

Wie wäre es hiermit:

1. [Stirling PDF] Signieren Sie ein PDF mit Ihrem Zertifikat

2. [Stirling PDF / adminForge] Signieren Sie ein PDF mit Ihrem Zertifikat

Dieser Dienst/Service scheint zwar aktuell noch in Arbeit zu sein, aber bis zum Ende des Jahres 2024 ist ja noch ein wenig Zeit.

Ich habe noch nie gehört, dass die PDF-Signatur mittels S/MIME-Signatur je irgendwo relevant gewesen wäre.

Üblicher ist die Qualifizierte elektronische Signatur. Damit lassen sich Dokumente rechtssicher signieren.

Ebenfalls möglich bei sign-me, ebenfalls kostenpflichtig. Am günstigsten ist afaik https://skribble.com. Hier kann man pro Monat einige Dokumente kostenlos signieren. Allerdings kostet mittlerweile die Verifizierung Geld, weshalb ich nach Auslaufen meiner Signatur noch keine neue beantragt habe.

Wie im letzten Satz des zitierten Wikipedia-Artikels (Auszug) zu lesen ist, gilt wohl folgende Voraussetzung:
„Die qualifizierten Vertrauensdiensteanbieter müssen von staatlich bestimmten Stellen zertifiziert werden.“

Eine qualifizierte elektronische Signatur (QES) ist eine durch die Verordnung (EU) Nr. 910/2014 geregelte Form der elektronischen Signatur, die im Rechtsverkehr die handschriftliche Unterschrift ersetzt, wenn dies durch eine Rechtsvorschrift nicht ausgeschlossen ist. Sie werden von qualifizierten Vertrauensdiensteanbietern (VDA) ausgegeben. Die qualifizierten Vertrauensdiensteanbieter müssen von staatlich bestimmten Stellen zertifiziert werden.

Quelle: de.wikipedia.org

Das heißt, dass schlussendlich der Staat darüber entscheidet, wer „Qualifizierter Vertrauensdiensteanbieter“ sein darf und wer nicht.
Kennt jemand einen solchen, dem man bedenkenlos sein Vertrauen schenken kann?

War das nicht vor langer Zeit (frühe Phase elektronischer Signaturen) mal die Idee unserer Verwaltung (Staat, insbesondere obere Finanzbehörden), elektronische Dokumente, wie bspw. PDFs, mit einer „Unterschrift“ zu versehen. Ich meine mich da dunkel erinnern zu können, dass die Finanzämter elektronisch erstellte Rechnungen (für gewöhnlich im gewerblichen, geschäftlichen Bereich und im Format „PDF“) nur noch mit einer solchen (gültigen) Unterschrift anerkennen wollten.

Ja, es gab viele solche Ideen. Die Qualifizierte Elektronische Signatur war mal kostenlos und einer der Selling Points des neuen Personalausweises. Wurde kaum genutzt, slillschweigend begraben und dann kostenpflichtig gemacht.

Die DHL (Jetzt live verfolgen - Ihr DHL Paket kommt heute…) versendet S/MIME signierte Emails. Das ist cool. Habe ich sonst aber bisher nirgends gesehen.

Das soll wohl dem recht hohen Arbeitsaufwand und der erweiterten Sachkenntis geschuldet sein, habe ich mir mal sagen lassen. S/MIME ist nicht trivial.

Das ist nach meiner Erfahrung in diversen Unternehmen der Standard, wenn es ums digitale signieren innerhalb des Unternehmens oder mit Geschäftspartnern geht. Und ich als Selbstständiger, der mit solchen Unternehmen zu tun hat, nutze es daher gelegentlich auch. Wenngleich meine Kunden keinen Wert drauf legen. Ich könnte also auch einfach ausdrucken, per Hand unterzeichnen und wieder einscannen. Aber da ich papierlos arbeite, unterzeichne ich Dokumente meist mit meiner eingescannten Unterschrift + S/MIME Signatur.

Auf irgendeine staatlich „Qualifizierte Elektronische Signatur“ wird da keinen Wert gelegt.

Ach, da gibts inzwischen zahlreiche Unternehmen, die das nutzen. Ich versende mit Geschäftspartnern und anderen Stellen meist mit digitaler Signatur und bin überrascht wie oft inzwischen dann eine verschlüsselte Mail zurückkommt, weil die Gegenseite mein Zertifikat automatisch im Gateway hinterlegt. Das war für mein Empfinden vor 2-3 Jahren noch ganz anders.

Am meisten überrascht hatte mich, als ich mal mit der Arbeitsagentur zu tun hatte, und alle Mails von Anfang an verschlüsselt ausgetauscht wurden. Da war sogar der Sachbearbeiter überrascht und freute sich, mal einen Kommunikationspartner zu haben, wo er nicht auf den Postweg bestehen muss.