Digitale Signature Codesigning: Zeitstempelserver welchen verwenden?
Guten Tag,
Mitarbeiter in unserem Unternehmen möchten gerne ihre PDF Dokumente digital signieren. Weiterhin verlangt das System von mir, dass die Uhrzeit von einem vertrauenswürdigem Zeitstempelserver bereitgestellt wird. Ist es dort Best-Pratice, dass man irgendeinen aus dem Internet nimmt? Wenn ja, welchen nehmt ihr? Gibt es auch die Möglichkeit diesen Zeitserver selbst mit Microsoft mitteln bereitzustellen oder existieren nur 3rd Party Programme?
Vielen Dank für eure kommenden Antworten!
Grüße René
Mitarbeiter in unserem Unternehmen möchten gerne ihre PDF Dokumente digital signieren. Weiterhin verlangt das System von mir, dass die Uhrzeit von einem vertrauenswürdigem Zeitstempelserver bereitgestellt wird. Ist es dort Best-Pratice, dass man irgendeinen aus dem Internet nimmt? Wenn ja, welchen nehmt ihr? Gibt es auch die Möglichkeit diesen Zeitserver selbst mit Microsoft mitteln bereitzustellen oder existieren nur 3rd Party Programme?
Vielen Dank für eure kommenden Antworten!
Grüße René
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 424836
Url: https://administrator.de/forum/digitale-signature-codesigning-zeitstempelserver-welchen-verwenden-424836.html
Ausgedruckt am: 21.05.2025 um 06:05 Uhr
9 Kommentare
Neuester Kommentar
hi
Beantwortest du dir deine Frage nicht selbst? Steht im Internet == Nicht vertrauenswürdig.
Nimm deinen DC. Der ist (hoffentlich) eh der NTP für all deine Geräte.
verlangt das System von mir, dass die Uhrzeit von einem vertrauenswürdigem Zeitstempelserver bereitgestellt wird.
...dass man irgendeinen aus dem Internet nimmt?
Beantwortest du dir deine Frage nicht selbst? Steht im Internet == Nicht vertrauenswürdig.
Nimm deinen DC. Der ist (hoffentlich) eh der NTP für all deine Geräte.
1
@SeaStorm
Woher bekommt der Domain Controller die Zeit? 
@Rene12345
Gruß,
Dani
Beantwortest du dir deine Frage nicht selbst? Steht im Internet == Nicht vertrauenswürdig.
Nimm deinen DC. Der ist (hoffentlich) eh der NTP für all deine Geräte.@Rene12345
Gibt es auch die Möglichkeit diesen Zeitserver selbst mit Microsoft mitteln bereitzustellen oder existieren nur 3rd Party Programme?
Ein Windows Server als Domain Controller und mit der PDC-Emulator Rolle agiert automatisch als NTP Server für andere Geräte. Das Gleiche geht natürlich unter Linux mit dem NTP Daemon. Die Frage ist immer, aus welcher Quelle diese System ihre Zeit synchronisieren - NTP Zeitserver - GPS bzw. DCF77Gruß,
Dani
1
Moin,
guckst Du hier unter Authentifizierte Zeitsynchronisation (gebührenpflichtig).
https://www.ptb.de/cms/ptb/fachabteilungen/abtq/gruppe-q4/ref-q42/zeitsy ...
Das ist die offizielle Zeit der BRD.
hth
Erik
guckst Du hier unter Authentifizierte Zeitsynchronisation (gebührenpflichtig).
https://www.ptb.de/cms/ptb/fachabteilungen/abtq/gruppe-q4/ref-q42/zeitsy ...
Das ist die offizielle Zeit der BRD.
hth
Erik
1
Hallo,
vielen Dank für die Antworten!
Einen physikalischen Zeitserver besitzen wir. Daran möchten wir nichts ändern.
Wie bekomme ich es aber nun hin, dass ich diesen für die digitale Signatur nutzen kann? Gibt es da etwas was ich installieren kann?
Grüße
vielen Dank für die Antworten!
Einen physikalischen Zeitserver besitzen wir. Daran möchten wir nichts ändern.
Wie bekomme ich es aber nun hin, dass ich diesen für die digitale Signatur nutzen kann? Gibt es da etwas was ich installieren kann?
Grüße
Moin,
Entweder oder. Entweder Du nimmst Deinen eigenen Zeitserver zum Signieren und hast dann einen nicht vertrauenswürdigen Time Stamp. Oder Du lässt den Time Stamp von einem vertrauenswürdigen Server erzeugen und signieren. Anders ausgedrückt: Bei einer digitalen Signatur ist immer ein Zeitstempel dabei. Der wird erstmal mittels der Systemzeit des Rechners, auf dem signiert wird, erzeugt. Das ist natürlich nicht vertrauenswürdig, da ich diese Uhr ja so einstellen kann, wie mir das gefällt. Will ich also manipulieren und behaupten, ich hätte das schon vor einem Jahr signiert, dann stelle ich einfach die Uhr zurück und das war's.
Die Forderung, die an Euch gestellt wird, ist aber eine vertrauenswürdige Signatur mit vertrauenswürdigem Zeitstempel. Den kannst Du nicht selbst erzeugen. Dazu braucht es einen vertrauenswürdigen Dritten wie z. B. die PTB, deren Serviceangebot ich Dir oben verlinkt habe. Wenn beim Signieren dort der zertifizierte Time Stamp abgeholt und in die Signatur eingetragen wird, dann kann verifiziert werden, wann genau die Signatur erstellt wurde.
Liebe Grüße
Erik
Entweder oder. Entweder Du nimmst Deinen eigenen Zeitserver zum Signieren und hast dann einen nicht vertrauenswürdigen Time Stamp. Oder Du lässt den Time Stamp von einem vertrauenswürdigen Server erzeugen und signieren. Anders ausgedrückt: Bei einer digitalen Signatur ist immer ein Zeitstempel dabei. Der wird erstmal mittels der Systemzeit des Rechners, auf dem signiert wird, erzeugt. Das ist natürlich nicht vertrauenswürdig, da ich diese Uhr ja so einstellen kann, wie mir das gefällt. Will ich also manipulieren und behaupten, ich hätte das schon vor einem Jahr signiert, dann stelle ich einfach die Uhr zurück und das war's.
Die Forderung, die an Euch gestellt wird, ist aber eine vertrauenswürdige Signatur mit vertrauenswürdigem Zeitstempel. Den kannst Du nicht selbst erzeugen. Dazu braucht es einen vertrauenswürdigen Dritten wie z. B. die PTB, deren Serviceangebot ich Dir oben verlinkt habe. Wenn beim Signieren dort der zertifizierte Time Stamp abgeholt und in die Signatur eingetragen wird, dann kann verifiziert werden, wann genau die Signatur erstellt wurde.
Liebe Grüße
Erik
1
Moin,
Gruß,
Dani
Wie bekomme ich es aber nun hin, dass ich diesen für die digitale Signatur nutzen kann? Gibt es da etwas was ich installieren kann?
Ich bin in dem Thema leider nicht drin. Aber ich vermute einmal, dass ist evtl. eine Einstellung in der Software, welche du zum Signieren nutzt?!Gruß,
Dani
1
Danke, dass wollte ich wissen. Ich muss also einen "vertrauenswürdigen Dritten" nutzen und kann nicht selbst einen eigenen vertrauenswürdigen Zeitserver aufsetzen.
Danke!
Danke!
"Bezüglich des Zeitstempels in der pdf nehme ich an, dass Sie ein pdf mit einer kryptografischen Signatur versehen wollen, bei der die eingestempelte Zeit nachweislich richtig ist. Ein solches Verfahren bieten wir nicht an. Die authentifizierte Zeitsynchronisation könnte aber einen Baustein darstellen."
habe ich nun bzgl. ptb bekommen. Leider bieten die keinen vertrauenswürdigen Zeitstempelserver an.
habe ich nun bzgl. ptb bekommen. Leider bieten die keinen vertrauenswürdigen Zeitstempelserver an.
Moin,
Ich kenne das so: Du hast die Signierungssoftware. Dort hast Du die Möglichkeit einen externen Zeitserver einzutragen und dessen Stammzertifikat zu hinterlegen. Dann wird die Signierungssoftware so konfiguriert, dass beim Erstellen einer Signatur die authentifizierte Zeitsynchronisation erfolgt und die so erhaltene Zeit mit Signatur des Zeitservers eingetragen wird. Das meint die PTB mit dem letzten Satz.
hth
Erik
Zitat von @Rene12345:
"Bezüglich des Zeitstempels in der pdf nehme ich an, dass Sie ein pdf mit einer kryptografischen Signatur versehen wollen, bei der die eingestempelte Zeit nachweislich richtig ist. Ein solches Verfahren bieten wir nicht an. Die authentifizierte Zeitsynchronisation könnte aber einen Baustein darstellen."
habe ich nun bzgl. ptb bekommen. Leider bieten die keinen vertrauenswürdigen Zeitstempelserver an.
"Bezüglich des Zeitstempels in der pdf nehme ich an, dass Sie ein pdf mit einer kryptografischen Signatur versehen wollen, bei der die eingestempelte Zeit nachweislich richtig ist. Ein solches Verfahren bieten wir nicht an. Die authentifizierte Zeitsynchronisation könnte aber einen Baustein darstellen."
habe ich nun bzgl. ptb bekommen. Leider bieten die keinen vertrauenswürdigen Zeitstempelserver an.
Ich kenne das so: Du hast die Signierungssoftware. Dort hast Du die Möglichkeit einen externen Zeitserver einzutragen und dessen Stammzertifikat zu hinterlegen. Dann wird die Signierungssoftware so konfiguriert, dass beim Erstellen einer Signatur die authentifizierte Zeitsynchronisation erfolgt und die so erhaltene Zeit mit Signatur des Zeitservers eingetragen wird. Das meint die PTB mit dem letzten Satz.
hth
Erik
