PDF-Signatur per Handy-Signatur verbessern

Guten Tag,
Ich hätte einen Feature-Request, welcher die Authentizität eines gedruckten PDF-Dokumentes validieren könnte.

Wenn ein per Handy-Signatur signiertes PDF-Dokument signiert wurde, wird visuell eine Art Banner durch den Benutzer platziert, welcher lediglich den Namen und einen Zeitstempel aufführt.

Die elektronische Signatur kann in der PDF-Datei natürlich mit entsprechenden Readern validiert werden.

Wenn jedoch ein Benutzer diese Datei ausdruckt, ist auf dem gedruckten Exemplar nur der vom Benutzer platzierte Banner ersichtlich.
Dieser Banner kann, ohne spezielle Kenntnisse oder Software, sehr einfach nachgebaut werden und somit ein Dokument gefälscht werden. Unwissende Personengruppen würden nicht vermuten dass ein solches Banner manuell mit jedem beliebigen Namen und Zeitstempel erzeugt werden kann und nehmen daher an, dass das Dokument valide ist.

Dies ist natürlich auch mit handschriftlichen Signaturen möglich, jedoch ermöglichen technische Lösungen auch weitaus bessere Sicherheitsmöglichkeiten als die analogen Pendants.

Mein Vorschlag wäre dahingehend:

Statt den Symbolen (A-Trust Logo bei der alten Signatur oder dem "Signaturinformationen" Logo bei der neuen) einen QR-Code erzeugen, welcher die Signaturinformationen (Name und Uhrzeit, evtl. Dateiname oder andere benutzerdefinierten Informationen) und eine daraus resultierende Prüfsumme entsprechend mit einer digitalen Signatur versehen abbildet. Mit der App "Digitales Amt" könnte dann eine entsprechende Validierung des ausgedruckten Dokumentes erfolgen.

Somit könnte man auch bis zu einem gewissen Grad auf gedruckten Dokumenten die Unterschrift eines Bürgers verifizieren. Ein potentieller "Angriff" über einen manuell erstellten Banner ist nicht mehr einfach möglich.

Danke für die Rückmeldung,

ok das weiß sicher kein Bürger der diesen Thread hier nicht gelesen hat.
Wie unterscheiden sich die digitalen Signaturen in der ausgedruckten Form von Behörden von denen die ein Bürger mit der App "Digitales Amt" oder der Handy-Signatur durchführen kann?

Im Banner ist nämlich der Hinweis vermerkt dass "Dieses mit einer qualifizierten elektronischen Signatur versehene Dokument ... die gleiche Rechtswirkung wie ein handschriftlich unterschriebenes Dokument." besitzt.
Als Bürger ohne technischen Wissen würde ich jetzt annehmen dass das schon so in Ordnung ist, weil es steht ja da dass das die gleiche Rechtswirkung hat.

Dass eine Behörde eine solche Signatur dann auch digital mit dem digitalen Original prüfen muss ist durchaus legitim. Jedoch bei Personen oder Organisationen welche keine Behörden sind (Banken, Versicherungen, ggf. auch Polizisten unterwegs, etc.) ist das sicherlich nicht praktikabel oder möglich.

Ein konkretes Beispiel ist, dass ich eine Bestätigung des Arbeitgebers als "Mitarbeiter kritischer Infrastruktur" während der Corona Ausgangsbeschränkungen bekommen habe, welche "digital" unterzeichnet wurde. Diese Signatur hat auf einem Blatt Papier natürlich überhaupt keine Wirkung.

Dass ein digitales Dokument einem gedruckten Pendant überlegen ist, vorallem wenn dieses signiert ist (Revisionssicherheit) solange ein entsprechender PDF-Reader ohne technische Sicherheitslücken (Signature Spoofing, Signature Wrapping Attack, Universal Signature Forgery, Incremental Saving Attack, ...) zur Validierung verwendet wird (oder der von der App "Digitales Amt" oder der entsprechenden Online-Version welche die genannten Sicherheitslücken hoffentlich nicht besitzen), ist mir als technisch versierte Person persönlich durchaus bewusst, jedoch einem normalen Bürger nicht.

Vielleicht, wenn schon ein solcher Ansatz zur Validierung verworfen wurde, sollte man entsprechende Hinweise beim Unterschreiben und vorallem im Banner hinterlegen dass diese Unterschrift nicht für die gedruckten Varianten gilt.

Mit freundlichen Grüßen