Dokmatiq DOKMATIQ
Digitale Signaturen

Zeitstempel (TSA)

Von einer vertrauenswürdigen dritten Partei kryptografisch ausgestellter Nachweis, dass ein Dokument zu einem bestimmten Zeitpunkt existierte — Grundlage langzeit-gültiger Signaturen und revisions­sicherer Archive.

Auch bekannt als: Trusted Timestamp, RFC 3161, TSA, Time Stamping Authority, qualifizierter Zeitstempel

Kurzdefinition

Ein Zeitstempel im kryptografischen Sinne ist der signierte Nachweis einer vertrauens­würdigen dritten Partei — der Time Stamping Authority (TSA) — dass ein bestimmtes Datum (typischerweise der Hash eines Dokuments) zu einem bestimmten Zeitpunkt existiert hat. Das Protokoll ist in RFC 3161 standardisiert, die europäische Langzeit-Variante in RFC 5816.

Ohne Zeitstempel sagt eine digitale Signatur nur: „dieses Dokument wurde von dieser Person signiert” — aber nicht wann. Mit Zeitstempel wird aus dem Dokument ein revisions­sicherer Beweis: „dieses Dokument existierte spätestens zu diesem Zeitpunkt”.

Wie eine TSA arbeitet

  1. Client berechnet den Hash des Dokuments (z.B. SHA-256)
  2. Client schickt den Hash per TimeStampReq an die TSA
  3. TSA kombiniert den Hash mit ihrer aktuellen Uhrzeit aus synchronisierter Referenz
  4. TSA signiert das Paket mit ihrem Zeitstempel-Zertifikat
  5. Client erhält den TimeStampResp und bettet ihn beim Dokument ein

Der Clou: die TSA sieht das Dokument nie — nur dessen Hash. Datenschutz und Minimalismus sind im Protokoll eingebaut.

Qualifizierter vs. einfacher Zeitstempel

Wie bei Signaturen kennt eIDAS zwei Vertrauens­stufen:

Einfacher ZeitstempelQualifizierter Zeitstempel
StandardRFC 3161RFC 3161 + eIDAS Art. 41/42
TSA-Anforderungenkeine formalengelistet in EU Trusted List
Vermutungswirkungneinja (Richtigkeit von Datum und Integrität)
Nutzunginterne Nachweiserevisions­sichere Archive, QES

Für PAdES-B-LT und -LTA sowie für die Langzeit­gültigkeit qualifizierter Signaturen ist der qualifizierte Zeitstempel die richtige Wahl.

Warum Zeitstempel für die Langzeit-Validierung?

Ein Signatur­zertifikat ist typisch 1–3 Jahre gültig. Danach verfällt die Signatur nicht automatisch — ihre Prüfbarkeit hängt aber davon ab, dass man beweisen kann, zum Signatur­zeitpunkt war das Zertifikat noch gültig. Der Zeitstempel liefert genau diesen Beweis.

Bei PAdES-B-LTA wird zusätzlich periodisch ein Archiv-Zeitstempel über das gesamte Dokument (inkl. vorhandener Signaturen und Validierungsdaten) gelegt — so bleibt die Kette auch über Jahrzehnte schließbar, selbst wenn einzelne Krypto-Algorithmen veralten.

Mit der Dokmatiq-API

Für jede PAdES-Signatur mit Profil PAdES-B-T oder höher wird automatisch ein qualifizierter Zeitstempel angefordert:

curl -X POST https://api.dokmatiq.com/v1/pdf/sign \
  -H "Authorization: Bearer $DOKMATIQ_KEY" \
  -F "document=@rechnung.pdf" \
  -F "certificate=@signatur.p12" \
  -F "passphrase=..." \
  -F "profile=PAdES-B-LT" \
  -F "tsa=qualified" \
  -o signiert.pdf

Alternativ lässt sich ein Dokument auch nur zeitstempeln — ohne inhaltliche Signatur — um den Existenz­nachweis zu führen:

curl -X POST https://api.dokmatiq.com/v1/pdf/timestamp \
  -H "Authorization: Bearer $DOKMATIQ_KEY" \
  --data-binary "@dokument.pdf" \
  -o mit-zeitstempel.pdf

Das ist z.B. für Entwicklungs­dokumentation, Forschungs­daten oder Design-Entwürfe interessant, wo man später beweisen will: „Diese Idee/dieses Design gab es zu diesem Zeitpunkt”.

Häufige Stolpersteine

  1. TSA-Zertifikat abgelaufen — auch der Zeitstempel-Aussteller hat ein Zertifikat mit Laufzeit. PAdES-B-LTA erneuert regelmäßig, einfache TSA-Stempel altern mit ihrem Zertifikat
  2. Hash-Algorithmus zu schwach — SHA-1-Zeitstempel sollten nicht mehr ausgestellt oder akzeptiert werden; SHA-256 oder -512 sind Standard
  3. Zeit­abweichung — die Client-Uhr ist irrelevant; die TSA-Zeit zählt. Systeme, die beides vergleichen, stolpern über Sommerzeit / Zeitzonen
  4. Nicht-qualifiziert mit qualifiziert verwechselt — ein beliebiger RFC-3161-Dienst erfüllt nicht automatisch die eIDAS-Vermutungs­wirkung

Bereit, es direkt per API zu nutzen?

Kostenlos starten. Keine Kreditkarte. 100 Dokumente pro Monat inklusive.

Kostenlos starten Zurück zum Glossar