Rechtsichere Abgaben mit TSA-Zeitstempel

RettLog sichert jede Checklist-Abgabe kryptografisch ab, sodass nachweisbar ist, dass die Daten nach der Abgabe nicht mehr verändert wurden. Dafür werden zwei Techniken eingesetzt: ein SHA-256 Inhalts-Hash und ein RFC 3161 Zeitstempel (Time Stamp Token, kurz TST) von FreeTSA.

Was bedeutet „zertifiziert"?

Auf der Abgaben-Detailseite sehen Sie einen Status-Badge neben jeder Abgabe:

Status	Bedeutung
✅ Zertifiziert	Hash stimmt überein, Zeitstempel von FreeTSA vorhanden
⏳ Ausstehend	Hash berechnet, Zeitstempel noch nicht empfangen
❌ Ungültig	Der berechnete Hash weicht vom gespeicherten ab – die Daten wurden verändert
➖ Nicht verfügbar	Abgabe vor Einführung dieses Features erstellt

Wie funktioniert das technisch?

Bei jeder Abgabe passiert Folgendes im Hintergrund:

Kanonische Datenstruktur – RettLog baut eine deterministische JSON-Darstellung der Abgabe (Felder alphabetisch sortiert, ISO-8601 Datumsformat).
SHA-256 Hash – Der Hash dieser JSON-Struktur wird berechnet und in der Datenbank gespeichert.
RFC 3161 Request – RettLog sendet den Hash (keine personenbezogenen Daten!) an den kostenlosen, öffentlichen Zeitstempeldienst FreeTSA.org.
Time Stamp Token (TST) – FreeTSA signiert den Hash mit ihrem Zertifikat und gibt ein RFC 3161-konformes Token (DER-Format) zurück, das in der Datenbank gespeichert wird.

Datenschutz: Es verlässt nur der Hash den Server – keine Namen, keine Formulardaten.

Unterschrift zeichnen oder eintippen

Beim Abschließen einer Checkliste erscheint standardmäßig ein Canvas-Feld, in das Sie mit dem Finger (Mobilgerät) oder der Maus (Desktop) unterschreiben. Die Zeichnung wird als Bild gespeichert.

Falls Sie lieber Ihren Namen eingeben möchten, tippen Sie auf „Stattdessen Name eintippen", um zur bisherigen Texteingabe zu wechseln.

Integrität einer Abgabe prüfen

Öffnen Sie die Abgaben-Übersicht unter Checklisten → [Vorlage] → Abgaben.
Klicken Sie auf eine Abgabe-Karte.
Im Abschnitt „Datenintegrität" klicken Sie auf „Integrität prüfen".
RettLog berechnet den Hash der gespeicherten Daten neu und vergleicht ihn mit dem gespeicherten Hash. Das Ergebnis wird sofort angezeigt.

Zertifikat und Daten herunterladen

Auf der Abgaben-Detailseite stehen folgende Downloads zur Verfügung:

Schaltfläche	Inhalt
JSON herunterladen	Die kanonische JSON-Struktur, aus der der Hash erzeugt wurde
Zertifikat (.tsr)	Das RFC 3161 Time Stamp Token als `.tsr`-Datei (DER-Format)

Das FreeTSA-CA-Zertifikat für externe Verifikation erhalten Sie unter freetsa.org/files/cacert.pem.

Externe Verifikation mit OpenSSL (für Behörden und technisch Versierte)

Mit dem OpenSSL-Kommandozeilenwerkzeug können Sie das Zertifikat unabhängig von RettLog verifizieren:

openssl ts -verify \
  -in abgabe-<id>.tsr \
  -digest <content-hash> \
  -CAfile freetsa-chain.pem

abgabe-<id>.tsr – die heruntergeladene .tsr-Datei
<content-hash> – der SHA-256 Hex-Hash aus der Abgaben-Detailseite
freetsa-chain.pem – das FreeTSA CA-Zertifikat

Bei erfolgreicher Verifikation gibt OpenSSL Verification: OK aus.

Was dieses Feature leistet – und was nicht

Ja:

Nachweis, dass die Abgabedaten nach der Abgabe nicht verändert wurden
Kryptografisch gesicherter Zeitstempel (RFC 3161, FreeTSA)
Geeignet für interne Betriebsnachweise, Wartungsprotokolle und Schichtprotokolle

Nein:

Keine qualifizierte elektronische Signatur nach eIDAS (dafür wäre ein akkreditierter, kostenpflichtiger TSA erforderlich)
Kein Identitätsnachweis des Unterzeichners (der Name kann frei gewählt werden)

Für die meisten betrieblichen Zwecke – Wartungsnachweise, Schichtübergaben, Fahrzeugchecks – ist der RFC 3161-Zeitstempel mit FreeTSA ausreichend, um die Unverändertheit der Daten nachzuweisen.

Rechtsichere Abgaben mit TSA-Zeitstempel

Was bedeutet „zertifiziert"?

Auf der Abgaben-Detailseite sehen Sie einen Status-Badge neben jeder Abgabe:

Status	Bedeutung
✅ Zertifiziert	Hash stimmt überein, Zeitstempel von FreeTSA vorhanden
⏳ Ausstehend	Hash berechnet, Zeitstempel noch nicht empfangen
❌ Ungültig	Der berechnete Hash weicht vom gespeicherten ab – die Daten wurden verändert
➖ Nicht verfügbar	Abgabe vor Einführung dieses Features erstellt

Wie funktioniert das technisch?

Bei jeder Abgabe passiert Folgendes im Hintergrund:

Kanonische Datenstruktur – RettLog baut eine deterministische JSON-Darstellung der Abgabe (Felder alphabetisch sortiert, ISO-8601 Datumsformat).
SHA-256 Hash – Der Hash dieser JSON-Struktur wird berechnet und in der Datenbank gespeichert.
RFC 3161 Request – RettLog sendet den Hash (keine personenbezogenen Daten!) an den kostenlosen, öffentlichen Zeitstempeldienst FreeTSA.org.
Time Stamp Token (TST) – FreeTSA signiert den Hash mit ihrem Zertifikat und gibt ein RFC 3161-konformes Token (DER-Format) zurück, das in der Datenbank gespeichert wird.

Datenschutz: Es verlässt nur der Hash den Server – keine Namen, keine Formulardaten.

Unterschrift zeichnen oder eintippen

Falls Sie lieber Ihren Namen eingeben möchten, tippen Sie auf „Stattdessen Name eintippen", um zur bisherigen Texteingabe zu wechseln.

Integrität einer Abgabe prüfen

Öffnen Sie die Abgaben-Übersicht unter Checklisten → [Vorlage] → Abgaben.
Klicken Sie auf eine Abgabe-Karte.
Im Abschnitt „Datenintegrität" klicken Sie auf „Integrität prüfen".
RettLog berechnet den Hash der gespeicherten Daten neu und vergleicht ihn mit dem gespeicherten Hash. Das Ergebnis wird sofort angezeigt.

Zertifikat und Daten herunterladen

Auf der Abgaben-Detailseite stehen folgende Downloads zur Verfügung:

Schaltfläche	Inhalt
JSON herunterladen	Die kanonische JSON-Struktur, aus der der Hash erzeugt wurde
Zertifikat (.tsr)	Das RFC 3161 Time Stamp Token als `.tsr`-Datei (DER-Format)

Das FreeTSA-CA-Zertifikat für externe Verifikation erhalten Sie unter freetsa.org/files/cacert.pem.

Externe Verifikation mit OpenSSL (für Behörden und technisch Versierte)

Mit dem OpenSSL-Kommandozeilenwerkzeug können Sie das Zertifikat unabhängig von RettLog verifizieren:

openssl ts -verify \
  -in abgabe-<id>.tsr \
  -digest <content-hash> \
  -CAfile freetsa-chain.pem

abgabe-<id>.tsr – die heruntergeladene .tsr-Datei
<content-hash> – der SHA-256 Hex-Hash aus der Abgaben-Detailseite
freetsa-chain.pem – das FreeTSA CA-Zertifikat

Bei erfolgreicher Verifikation gibt OpenSSL Verification: OK aus.

Was dieses Feature leistet – und was nicht

Ja:

Nachweis, dass die Abgabedaten nach der Abgabe nicht verändert wurden
Kryptografisch gesicherter Zeitstempel (RFC 3161, FreeTSA)
Geeignet für interne Betriebsnachweise, Wartungsprotokolle und Schichtprotokolle

Nein:

Keine qualifizierte elektronische Signatur nach eIDAS (dafür wäre ein akkreditierter, kostenpflichtiger TSA erforderlich)
Kein Identitätsnachweis des Unterzeichners (der Name kann frei gewählt werden)

Rechtsichere Abgaben mit TSA-Zeitstempel

Was bedeutet „zertifiziert"?

Wie funktioniert das technisch?

Unterschrift zeichnen oder eintippen

Integrität einer Abgabe prüfen

Zertifikat und Daten herunterladen

Externe Verifikation mit OpenSSL (für Behörden und technisch Versierte)

Was dieses Feature leistet – und was nicht

Hilfe benötigt?

Rechtsichere Abgaben mit TSA-Zeitstempel

Was bedeutet „zertifiziert"?

Wie funktioniert das technisch?

Unterschrift zeichnen oder eintippen

Integrität einer Abgabe prüfen

Zertifikat und Daten herunterladen

Externe Verifikation mit OpenSSL (für Behörden und technisch Versierte)

Was dieses Feature leistet – und was nicht

Hilfe benötigt?