DE FR IT

Elektronisch signierte Dokumente

Übernahme elektronisch signierter Dokumente ins Archiv

[09-02-2016] Wie sollen elektronisch signierte Dokumente ins Archiv übernommen werden?

Das zugrundeliegende Problem ist, dass die Gültigkeit einer elektronischen Signatur nach 3 oder 5 Jahren abläuft. Der Hauptgrund dafür ist, dass die Chain of Trust zwischen Zertifizierungsstelle und Dokument nicht beliebig lange aufrechterhalten werden kann. Daraus folgt, dass nach 3 oder 5 Jahren eine Nachsignierung notwendig wird. Im Archiv ist das aus organisatorischen und Kostengründen nicht praktikabel.

Als informelle Best Practice empfiehlt die KOST, die Signatur bei der Übernahme ins Archiv (Ingest) zu prüfen und das Ergebnis in den Metadaten festzuhalten. Die Garantie für die Authentizität des Dokuments basiert anschliessend auf dem Status des Archivs als Trusted Repository; Signaturen auf individuellen Dokumenten werden im Archiv nicht mehr aktualisiert. Gewünscht wären dafür die Metadaten "ist signiert" und "Signatur gültig zum Stichtag" im AIP, als optionale Zusatzinformationen noch die Credentials des Signierers (Name, Schlüssel, gültig bis, etc.).

Es gibt verschiedene Möglichkeiten, dies umzusetzen:

  1. In der trivialsten Form stellt die abliefernde Stelle diese Information als Key-Value-Metadatum im SIP zur Verfügung. Der Nachteil: Diese Information ist zum Zeitpunkt der Übernahme möglicherweise nicht mehr gültig oder war überhaupt nie gültig.
  2. Verbesserung: das Archiv überprüft diese Information der abliefernden Stelle nach der Übernahme manuell. Dazu kann ein Tool von Adobe benutzt werden, das im Batchmodus alle signierten PDF-Dateien im SIP überprüft. PDF-Dateien mit fehlerhafter Signatur müssen dann mit Package Handler oder einem anderen SIP-Tool manuell behandelt werden.
  3. Das Archiv fügt diese Information nach der Übernahme im Pre-Ingest ins SIP ein, die abliefernde Stelle liefert keine Informationen zur Signatur. Die Kontrolle liegt hier beim Archiv, aber eine automatisierte oder halbautomatisierte Lösung müsste erst noch erarbeitet werden.
  4. Im Ingest prüft das Ingest-Tool die Signatur, ganz ähnlich wie eine Formatvalidierung, und fügt das Ergebnis der Überprüfung in ein entsprechendes Übernahme-Metadatum im AIP ein, z.B. in einer PREMIS-Datei. Entsprechende Lösungen sind unseres Wissens noch nicht verfügbar.

In den Fällen 3 und 4 bestünde auch die Möglichkeit, die Credentials des Signierers zu übernehmen, dann wäre es später und auch nach Ablauf der Signatur immer noch möglich, die Authentizität des Dokumentes mit dem Hashwert in der Signatur zu prüfen. Auch liesse sich die Identität des Signierers später einfacher ermitteln.