Zur Nachsignatur kryptografisch signierter Objekte hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Technische Richtlinie veröffentlicht TR 03125 (Version 1.2 vom 19. Dezember 2014).
In der Praxis hat sich diese Richtlinie wenig verbreitet (außer in wenigen Fällen in der öffentlichen Verwaltung). Wenn also eine gutachterlich prüfbare Unveränderbarkeit/Unverlierbarkeit gefordert ist, kommen in Deutschland (und weltweit) typischerweise weit verbreitete und bezüglich ihrer Integritätsschutzfunktionen breit anerkannte DMS/Archivlösungen zum Einsatz, die eine revisionssichere Archivfunktion beinhalten. Dort sind alle Arten von Unterlagen gegen unzulässige Manipulation ausreichend geschützt inkl. natürlich solcher Unterlagen, die eine fortgeschrittene oder digitale Signatur beinhalten. Ein DMS mit Archivfunktionen ist darüber hinaus immer notwendig, da ein fortgeschritten oder qualifiziert signiertes Dokumente ohne weitere Schutzmaßnahmen gelöscht oder manipuliert werden. Die in einer Signatur implizite Integritätsschutzfunktion erlaubt nur nur die Prüfbarkeit, ob die Binärdatei manipuliert wurde, die Manipulation (oder das absichtliche/versehentliche Löschen kann nicht verhindert werden. Wenn man also sowieso eine Archivlösung benötigt, erübrigt sich eine aufwendige und komplexe Insellösung nur für die Nachsignatur in den allermeisten uns bekannten Fällen.
Unsere Empfehlung: Für kryptografisch signierte Dokumente und Dateien genügt die Ablage in einem revisionssicheren Archiv. Eine automatische Nachsignaturlösung gem. TR-ESOR ist nach unserer Meinung nicht nur nicht notwendig, sondern am Markt kaum verbreitet (international gar nicht), verkompliziert unnötig das System und sorgt dadurch für hohe Betriebsrisiken (wie jede exotische Sonderlösung).