Dokmatiq DOKMATIQ
Digitale Signaturen

PAdES

ETSI-Standard für elektronische Signaturen in PDF-Dokumenten — integriert die Signatur direkt ins PDF, langzeit-validierbar und eIDAS-konform.

Auch bekannt als: PDF Advanced Electronic Signatures, ETSI EN 319 142, PAdES-BES, PAdES-LTV

Kurzdefinition

PAdES (PDF Advanced Electronic Signatures) ist der Standard für elektronische Signaturen in PDF-Dokumenten, veröffentlicht vom ETSI in der Norm EN 319 142. Im Gegensatz zu einer externen Signaturdatei (z.B. CAdES oder XAdES) wird die PAdES-Signatur direkt in das PDF eingebettet — sie ist Teil des Dokuments und reist mit ihm.

PAdES ist eine der in der eIDAS-Verordnung (EU 910/2014) anerkannten Signatur­formate und damit in der gesamten EU rechtlich abgesichert.

Profile

PAdES kennt vier Validierungs­profile, die in ansteigender Langzeit-Beständigkeit aufeinander aufbauen:

ProfilAbkürzungBeinhaltetTypischer Einsatz
BasicPAdES-B-BSignatur + ZertifikatKurzlebige Signaturen
With TimestampPAdES-B-T+ ZeitstempelDokumentation des Signatur­zeitpunkts
Long-Term ValidationPAdES-B-LT+ Validierungsdaten (OCSP/CRL)Jahrzehntelange Prüfbarkeit
Long-Term with Archive TSPAdES-B-LTA+ Archiv-ZeitstempelRevisions­sichere Archivierung

Für Rechnungen, Verträge und Behörden­dokumente ist meist PAdES-B-LT oder PAdES-B-LTA die richtige Wahl — sie bleiben auch nach Ablauf des Signatur­zertifikats verifizierbar.

PAdES, CAdES und XAdES

Alle drei sind ETSI-Advanced-Electronic-Signature-Formate, aber für unterschiedliche Container:

  • PAdES — Signatur im PDF
  • CAdES — Signatur in binären Dateien (ETSI-Pendant zu CMS/PKCS#7)
  • XAdES — Signatur in XML (z.B. für XRechnung, wenn signiert werden soll)

Für digitale Rechnungen relevant: ZUGFeRD-PDFs werden meist mit PAdES signiert, reine XRechnung-XML bei Bedarf mit XAdES.

Was steckt technisch drin?

Eine PAdES-Signatur besteht aus einer ByteRange (welcher Teil des PDFs signiert wurde), einer PKCS#7-Struktur mit der eigentlichen Signatur und — je nach Profil — eingebetteten Zeitstempeln und OCSP-/CRL-Antworten. Diese Validierungs­daten werden in einem DSS (Document Security Store) abgelegt, einem speziellen PDF-Objekt, das PAdES definiert.

Der Signatur-Block verändert das PDF nicht rückwirkend: Er wird in einem Inkrement-Update angehängt, die Originalbytes bleiben signierbar und überprüfbar.

Mit der Dokmatiq-API signieren

curl -X POST https://api.dokmatiq.com/v1/pdf/sign \
  -H "Authorization: Bearer $DOKMATIQ_KEY" \
  -F "document=@rechnung.pdf" \
  -F "certificate=@signatur.p12" \
  -F "passphrase=..." \
  -F "profile=PAdES-B-LT" \
  -F "reason=Rechnung 2026-0042" \
  -F "location=München" \
  -o signiert.pdf

Die API holt bei Bedarf OCSP- und CRL-Antworten automatisch und bettet sie ein — das Ergebnis ist ein sofort langzeit-validierbares PDF. Zeitstempel werden über eine angebundene qualifizierte TSA (Time Stamping Authority) bezogen.

Signatur prüfen

curl -X POST https://api.dokmatiq.com/v1/pdf/sign/verify \
  -H "Authorization: Bearer $DOKMATIQ_KEY" \
  --data-binary "@signiert.pdf"

Antwort: Profil, Zertifikats­kette, Vertrauens­anker (EU Trusted List für eIDAS), Zeitstempel-Status, etwaige Änderungen nach Signatur.

Häufige Stolpersteine

  1. Falsches Profil — PAdES-B-B reicht nicht für GoBD-konforme Archivierung; mindestens PAdES-B-LT nutzen
  2. Zertifikat abgelaufen — ohne Langzeit-Validierung ist die Signatur nach Ablauf der Gültigkeit nicht mehr prüfbar (trotz gültigem Signatur­zeitpunkt)
  3. Änderungen nach Signatur — jede Modifikation invalidiert die ByteRange; nachträgliche Anmerkungen brauchen eine neue Signatur­schicht
  4. Zertifikat nicht in EU-TL — für qualifizierte Signaturen muss der Aussteller in der EU Trusted List gelistet sein

Bereit, es direkt per API zu nutzen?

Kostenlos starten. Keine Kreditkarte. 100 Dokumente pro Monat inklusive.

Kostenlos starten Zurück zum Glossar