Vertrauen, das das Produkt überlebt: Signaturen und Zertifikate im DPP
BlogTechnik30/05/2026

Vertrauen, das das Produkt überlebt: Signaturen und Zertifikate im DPP

Ein DPP muss zehn Jahre prüfbar bleiben - auch wenn der Plattformanbieter morgen verschwindet. Die Antwort ist nicht Vertrauen ins Unternehmen, sondern ins Artefakt.

Ein Digitaler Produktpass muss zehn Jahre und länger prüfbar bleiben. Eine Software-Plattform hält selten so lange. Dieser Widerspruch hat eine klare Konsequenz: Das Vertrauen in einen DPP darf nicht am Anbieter hängen, sondern muss am Datensatz selbst kleben. Vertrauen ins Artefakt, nicht ins Unternehmen.

Wie das in der Praxis aussieht, lässt sich an vier Bausteinen zeigen.

Jede DPP-Version wird signiert

Vor dem Einfrieren prüft Transpareo den Datensatz gegen die kategoriespezifischen Pflichtfelder (SHACL-Validierung). Schlägt diese Prüfung fehl, wird die Veröffentlichung verweigert - signiert wird nur ein vollständiger, regelkonformer Pass.

Wird ein DPP veröffentlicht, friert Transpareo seinen Inhalt als DPP-Version ein und signiert sie mit zwei unabhängigen Schlüsseln: einer des Ausstellers, einer von Transpareo. Mit Bring Your Own Key (BYOK) betreibt der Hersteller dabei einen eigenen Signatur-Endpunkt - Transpareo hält den privaten Schlüssel nie und ergänzt nur die unabhängige Gegensignatur, sodass die Ausstellersignatur eine ist, die Transpareo selbst nicht erzeugen kann.

Verwendet wird das Verfahren Ed25519 über eine kanonische Form des Datensatzes (das JSON Canonicalization Scheme, RFC 8785). Zwei Signaturen, zwei voneinander unabhängige Autoritäten.

Geprüft wird im Browser des Betrachters. Der quelloffene Renderer Transpareo Time Machine lädt die Bytes, berechnet den Hash neu und prüft beide Signaturen, ohne einen Server von uns zu kontaktieren. Wer misstrauisch ist, kann den Code lesen.

Die Ausstelleridentität steht auf der eigenen Domain

Damit ein Prüfer die öffentlichen Schlüssel findet, veröffentlicht jeder Aussteller seine Identität als DID:web auf seiner eigenen Domain, auflösbar über eine wohldefinierte Adresse unter /.well-known/. Bewusst kein klassisches Zertifikat im X.509-Sinn: Zertifikatsketten verfallen über Jahrzehnte, eine HTTPS-Adresse auf der eigenen Domain bleibt robust und unter Ihrer Kontrolle.

Rotiert ein Schlüssel, bleiben ältere Signaturen prüfbar - der alte Schlüssel verifiziert weiterhin, was er einst signiert hat, ohne neue Pässe zu signieren. Und weil ein Aussteller seine Domain nach einem Anbieterwechsel mitnehmen könnte, spiegelt Transpareo jeden öffentlichen Schlüssel zum Zeitpunkt der Veröffentlichung auf eine dauerhafte Adresse. So bleibt jede DPP-Version prüfbar, auch wenn der ursprüngliche Host irgendwann verschwindet.

Die EU-Registrierung trägt ein qualifiziertes Siegel

Die Einreichung zum kommenden EU-DPP-Register verlangt mehr als eine gewöhnliche Signatur: Jede Registrierung muss mit einem qualifizierten elektronischen Siegel (QES) nach der eIDAS-Verordnung 910/2014 versehen sein. Ein QES ist hardwaregestützt und an eine geprüfte Rechtsperson gebunden - die höchste Vertrauensstufe, die das EU-Recht kennt.

Diese qualifizierte Siegel-Fähigkeit ist vorgesehen, sobald der eIDAS-Rechtsakt und die Register-Schnittstelle final sind; geplant ist die Anbindung über einen qualifizierten Vertrauensdiensteanbieter. Für mittelgrosse Hersteller, die selbst keine Siegel-Infrastruktur betreiben, ist das der entscheidende Vorteil: Die Pflicht zum QES wird erfüllbar sein, ohne eigene Hardware.

Ein Archiv, das den Anbieter überlebt

Sobald die DPPs beim EU-Register registriert sind, wird jede DPP-Version zusätzlich zehn Jahre lang unveränderbar archiviert - weder der Hersteller noch Transpareo können sie nachträglich ändern. Damit dieses Archiv auch dann erreichbar bleibt, wenn es Transpareo eines Tages nicht mehr gäbe, ist seine Finanzierung über eine notarielle Hinterlegung in der Schweiz abgesichert. Das Versprechen ist also nicht nur technisch, sondern auch vertraglich auf Langlebigkeit ausgelegt.

So prüft ein Dritter den Pass - ganz ohne uns

Der entscheidende Test für Vertrauen ins Artefakt ist, ob jemand den Pass ohne unsere Infrastruktur prüfen kann. Der Ablauf:

  1. Die Bytes der DPP-Version aus einer beliebigen Quelle holen (CDN, öffentliches Archiv, das EU-Register oder ein Drittarchiv)
  2. Den Datensatz kanonisieren und seinen Hash berechnen
  3. Die öffentlichen Schlüssel von Aussteller und Transpareo über die im Pass genannten Adressen abrufen
  4. Beide Signaturen gegen den Hash prüfen - stimmen beide, ist der Pass echt und unverändert

Kein Login, kein Anruf bei Transpareo, keine Abhängigkeit von einer laufenden Plattform.

Was heute läuft und was vorbereitet ist

Signaturen, Browser-Prüfung, DID:web-Identität und Bring Your Own Key (BYOK) sind im Einsatz. Das unveränderbare Zehn-Jahres-Archiv ist angelegt und greift, sobald die DPPs beim EU-Register registriert sind. Die qualifizierte Siegel-Fähigkeit (QES) für die EU-Registrierung ist vorgesehen, sobald der eIDAS-Rechtsakt und die Register-Schnittstelle final sind.

Der Grundsatz bleibt in jedem Fall derselbe: Was einmal signiert und archiviert ist, bleibt prüfbar, unabhängig davon, wer die Plattform morgen betreibt.

Updates zu Signaturen und Vertrauen

Kryptografische Nachweise, Zertifikate und Registrierung - die wichtigsten Entwicklungen monatlich in Ihren Posteingang.