Technische Vertiefung für IT-Fachleute

Diese Seite ergänzt die technischen Grundlagen um die konkrete kryptografische und fachliche Prüflogik im DOCTAG-Umfeld.

Signaturverfahren

• Schlüsseltyp: Elliptic Curve (EC) auf secp256r1.
• Signaturalgorithmus: SHA256withECDSA.
• Public Key Format: X.509 SubjectPublicKeyInfo (Base64 gespeichert).
• Private Key Format: PKCS#8 (Base64 gespeichert).

Signaturdaten (fachlicher Payload)

Pro Signatur wird ein strukturierter Datensatz signiert, u. a. mit Zeitstempel, Key-Fingerprint, dokumentbezogenem Hash, Workflow-Hash und Hash der bisherigen Signaturkette.

Validierungslogik im Dokumentkontext

1. Prüfung der kryptografischen Signatur gegen den hinterlegten Public Key.
2. Abgleich des Dokument-Hashes gegen den tatsächlich gespeicherten PDF-Inhalt.
3. Abgleich des Workflow-Hashes gegen die signierten Eingabewerte.
4. Prüfung aller referenzierten Datei-Anhänge auf Hash-Konsistenz.
5. Prüfung der Signaturkette über previousSignaturesHash (Reihenfolge-/Konsistenzschutz).

Standortzertifikate und Vertrauenskette

Public Keys können über den Keyserver verteilt und mit einer zusätzlichen Verifikationssignatur versehen werden. Dadurch ist neben der reinen Signaturprüfung auch ein föderierter Vertrauenskontext zwischen Instanzen abbildbar.

Standardbezug und eIDAS-Status

Das Verfahren nutzt etablierte primitive Bausteine (EC + ECDSA + SHA-256) und erfüllt damit die typischen Anforderungen an Integrität und Authentizität auf Anwendungsebene.

Keine formale eIDAS-Aussage im Sinne qualifizierter Signaturen: Es handelt sich nicht um eine zertifizierte QES-Infrastruktur mit QTSP-gebundenen Vertrauensdiensten.

Hinweis: Einzelne kryptografische Komponenten werden im Rahmen der laufenden Produktpflege regelmäßig auf den aktuellen Stand gebracht.