Fernsignatur, serverseitige digitale Signatur (Massensignatur) und Zeitstempel, PDF’s, E-Mails, gescannte Dokumente, Formulare, XML, uvm.

Serverseitige digitale Signatur (Massensignatur) und Zeitstempel

Auch hier gilt es als erstes zu prüfen, welchen Rechtswert Ihre signierten Dateien aufweisen müssen, bzw. zu welchem Zweck Sie signieren wollen.

Benötigen Sie z.B. lediglich einen Nachweis, dass die von Ihnen gespeicherten Daten im Archiv nicht verändert wurden, ist eine serverseitige Massensignatur die richtige Wahl.

Massensignatur

Gerade aber bei der Überführung von analogen Akten in digitale Dokumente, z.B. für Daten, die aus dem Scanning kommen, ist es häufig nötig, diese Dokumente vor der Signatur einer Sichtprüfung zu unterziehen.
Hier bietet es sich an, eine Kombination aus einer clientseitigen Signatur-Software (im hier geschilderten Fall SecArchive Client) zu nutzen und Signatur und Benutzer durch den SecPKI Signatur-Server prüfen sowie einen Hashbaum (Langzeitarchiv) erstellen zu lassen.

Mehr zum ersetzenden Scannen
Mehr zur Langzeitarchivierung & Hashbäume

Im Folgenden wird auf die Umsetzung der reinen Massensignatur auf Ihrem eigenen Server eingegangen.
Einige Spezialfälle wie Dokumentenstapel sowie E-Mail- und Druckdaten-Archivierung haben wir auf der folgenden Seite näher erläutert.

Sie können zwischen einer qualifizierten elektronischen Signatur (Signaturkarte) und einer fortgeschrittenen Signatur mit Softwarezertifikat (Signaturzertifikat) wählen. Im folgenden Ablauf wird der Weg mit der qualifizierten Signatur näher ausgeführt. Der Weg mit einem Softwarezertifikat wäre identisch, nur dass Sie weder Signaturkarte noch Lesegerät benötigen.

Für die qualifizierte elektronische Signatur werden eine oder mehrere Signaturkarten mittels Kartenleser an den SecPKI Server angeschlossen. Bei einer Massensignaturkarte müssen Sie die PIN direkt beim Einlegen eintippen. In der Properties-Datei stellen Sie ein, für welchen Zeitraum oder welche Anzahl von Signaturen die Karte freigegeben ist. Bei einer Einzelsignaturkarte dagegen muss die PIN jedes Mal eingegeben werden.

Wie viele Signaturkarten benötigt werden, hängt davon ab, in welcher Zeit eine bestimmte Menge an Dateien signiert werden soll.

Einzelheiten zu den Anforderungen an die Hardware

Ablauf – Massensignatur

Der SecPKI Server kann die zu signierenden Dateien oder Dokumentenstapel auf verschiedene Art und Weise entgegennehmen:

1

Überwachung eines oder mehrerer vorkonfigurierter Verzeichnisse (der SecPKI Server holt sich automatisch die Dateien oder Dokumentenstapel, signiert sie und verschiebt sie in ein Ausgangsverzeichnis)
▾ Mehr anzeigen

Hierbei können mehrere Wurzelverzeichnisse konfiguriert werden, für
die verschiedene Optionen gelten. Zum Beispiel kann die Signatur in die PDF-Datei eingefügt sein, oder es kann nicht oder nur mit ganz bestimmten Signaturkarten signiert werden.

Unterhalb eines Wurzelverzeichnisses können Stapel in beliebig
vielen Verzeichnissen abgelegt werden. Der SecPKI Server durchsucht
sie und bearbeitet das einzelne Unterverzeichnis, sobald der
Freigabe-Semaphor sich darin befindet.

2

Die Übergabe über die SecPKI API. Hierfür stehen den Entwicklern Aufrufe in Java oder SOAP zur Verfügung.
▾ Mehr anzeigen

Vorteil der SecPKI API ist, dass man synchron eine Antwort
auf den Request bekommt. So muss man also nicht im Zielverzeichnis
prüfen, ob schon ein Semaphor mit der Aussage „Fertig“ von SecPKI vorliegt.

Ebenso kann man im einzelnen API-Request die exakten Parameter für diesen
Request setzen (Signaturformat, Karte, Padding, etc.),
Anderenfalls hätte man dies für das Wurzelverzeichnis fest in der Properties-Datei.

In beiden Varianten prüft der SecPKI-Server die erstellten Signaturen und damit auch die Zertifikate des Benutzers und trägt die Hashwerte der Signaturen und Dokumente in einen Hashbaum ein. Der Hashbaum wird täglich mit dem Zeitstempel eines Trustcenters abgeschlossen. Am darauffolgenden Tag wird ein neuer Hashbaum begonnen. Durch diese Zeitstempel (auf die gegebenenfalls nach einigen Jahren erneute Zeitstempel mit den dann aktuellen kryptografischen Verfahren erfolgen) wird der Beweiswert der erstellten Signaturen langfristig erhalten. Sehen Sie hierzu auch die Seite zum Langzeitarchiv.

Kurzfassung

  1. Signaturkarte und Lesegerät sind am Server angeschlossen
  2. Ein- und Ausgabe-Verzeichnis für die zu signierenden Dateien ist definiert. Alternativ dazu kann der Prozess, der die Datei erzeugt, mittels der SecPKI API verknüpft sein
  3. SecPKI wartet auf zu signierende Daten
  4. SecPKI prüft die Benutzerzertifkate und die Signaturen
  5. SecPKI baut ein Langzeitarchiv (Hashbaum) mithilfe der Signaturen und Zeitstempel auf
  6. Fertig signierter Dokumentenstapel kann vom Prozess abgeholt werden und z.B. ins
    DMS gespeichert werden

Mehr zum SecPKI Signatur-Server