Wie wie bereits in vorhergehenden Blogbeiträgen berichtet haben, möchten wir mit open-pdf-sign das Rad nicht neu erfinden. PDF-Signaturen als Technik gibt es seit der 1999 veröffentlichten PDF-Version 1.6, der aktuell gebräuchliche PAdES-Standard (ETSI EN 319 142) wurde von ETSI 2016 verabschiedet. Selbst die von der EU finanzierte Open Source-Softwarekomponente “DSS”, die wir nutzen, wurde bereits 2016 auf GitHub in einer ersten Version veröffentlicht.

Einer breiteren Öffentlichkeit in Österreich sind digitale PDF-Signaturen spätestens seit der Einführung der Bürgerkarte 2003 bekannt - wenngleich sie damals kaum Verbreitung fand. Das erhöhte sich mit der 2012 eingeführten Handy-Signatur. Wenngleich der Weg, um zu einer Signatur zu kommen, damals schwierig war.

Neben der von A-Trust angebotenen Software PDF-Over, gibt es eine ganze Reihe weiterer Software-Lösungen, um in Verbindung mit einer Handy-Signatur oder einer anderen qualifizierten Signature bzw einem qualifizierten Siegel PDFs zu signieren. Anbieter sind neben A-Trust etwa Primesign oder sproof. Auch in anderen EU-Ländern und Ländern außerhalb der EU, wie der Schweiz, gibt es Softwarelösungen um solche qualifizierten Signaturen zu erstellen.

All diesen Lösungen gemein ist aber eins: Mit der digitalen Unterschrift soll eine rechtliche Funktion erfüllt werden - entweder soll sie eine handschriftliche Unterschrift ersetzen oder ist sonstwie aus formellen Gründen, etwa im Rahmen einer Ausschreibung notwendig. Diese rechtliche Komponente ist unter Umständen schwierig zu erfüllen, wie sich etwa erst kürzlich im September 2021 zeigte, als eine Auftragsvergabe der ÖBB angefochten wurde, weil die schweizer Signatur eines Vergabewerbers nicht den rechtlichen Anforderungen genügte.

Die Positionierung von open-pdf-sign ist eine andere: Wir wollen gar nicht erst rechtlichen Anforderungen genügen oder handschriftliche Unterschriften ersetzen. Viel mehr wollen wir die Authentizität eines PDFs ähnlich sicherstellen, wie das SSL bereits aktuell mit Websites macht. So ist durch das “Schloss”-Symbol in der Adressleiste des Browser aktuell bereits eindeutig sichtbar, dass dieser Blogartikel von “netidee.at” stammt - und nicht etwa vom lokalen WLAN oder dem verwendeten Internetanbieter. Wird jedoch ein PDF von netidee.at heruntergeladen und weitergeleitet, ist die Herkunft nicht mehr nachvollziehbar.

Mit open-pdf-sign wird sich das ändern: Da jedes einzelne PDF einer Web-Präsenz direkt mit dem SSL-Zertifikat signiert werden kann, ist somit nachvollziehbar, dass ein PDF tatäschlich von einer bestimmten Website stammt - nicht mehr, nicht weniger. Es werden keine Rechtswirkungen nachgewiesen, aber eine Unsicherheit der Authentizität von Dokumenten im Internet geschlossen.