Der Mechanismus beruht auf zwei Säulen: der Authentifizierung des Unterzeichners und der Integrität des Dokuments.
Zur Authentifizierung des Unterzeichners werden ein oder mehrere Identifizierungsfaktoren verwendet: vertrauenswürdige E-Mail-Adresse (einmaliger Link), OTP-Code per SMS, persönliches Kryptografiezertifikat etc. Zur Gewährleistung der Integrität wird bei der Unterzeichnung ein Fingerabdruck (Hash) des Dokuments berechnet. Wenn das Dokument später geändert wird, stimmt der Fingerabdruck nicht mehr überein — die Signatur wird dann ungültig.
In Lösungen wie Certyneo basiert der Prozess auf PDF-Verarbeitungsbibliotheken, die diese kryptografischen Metadaten direkt in die Datei integrieren. Ein zeitgestempeltes Audit Trail (Aktionsprotokoll) ergänzt das System durch Dokumentation jedes Schritts: Versand, Öffnung, OTP validiert, Signatur usw.
Auf technischer Ebene werden mehrere Sicherheitsmechanismen eingesetzt, um die Unverfälschbarkeit des Prozesses zu verstärken: qualifizierte Zeitstempel (RFC 3161) bringen einen zertifizierten Zeitnachweis auf jede Signatur; TLS 1.3-Verschlüsselung schützt Daten während der Übertragung; Geolokalisierung und IP-Adresse des Unterzeichners werden für Nachverfolgung erfasst; in bestimmten Abläufen (AES/QES) ergänzen Verhaltensbiometriedaten (Tippgeschwindigkeit, Druck) den Identitäts-Fingerabdruck.
Das Konzept der Nichtabstreitbarkeit ist zentral: Dank des zeitgestempelten und kryptographisch signierten Audit Trail ist es technisch unmöglich, dass ein Unterzeichner eine Signatur leugnet, ohne die Beweiskette zu verfälschen. Bei der Archivierung schreibt die österreichische und europäische Regelung eine Aufbewahrung von 10 Jahren für die meisten Geschäftsurkunden vor — Certyneo sichert diese Archivierung mit Beweiskraft durch souveräne Hostinginfrastruktur (EU).