Mittels eine Signatur-Software lassen sich digitale Dokumente signieren, zudem ordnet das Programm das Dokument rechtssicher einem Absender zu. Bei der Erzeugung einer elektronischen Signatur sind ein sogenanntes qualifiziertes Zertifikat sowie ein zugehöriges elektronisches Schlüsselpaar, ein privater und ein öffentlicher Schlüssel, nötig.
Seit dem 18. Oktober 2018 erfolgt die Kommunikation zwischen dem öffentlichen Auftraggeber und den Bietern oberhalb der Schwellenwerte mithilfe von elektronischen Mitteln. Um die zum Download zur Verfügung gestellten Dokumente auch digital bearbeiten und einreichen zu können, bedarf es einer elektronischen Signatur. Diese wird mithilfe einer Signatur-Software, auch Signaturanwendungskomponente genannt, erzeugt. Die verschiedenen Formen der elektronischen Signatur erfüllen verschiedene Anforderungen.
Zur Erzeugung einer qualifizierten elektronischen Signatur, die eine laut Gesetz erforderliche Schriftform in elektronischer Form ersetzt, sind ein sogenanntes qualifiziertes Zertifikat sowie ein zugehöriges elektronisches Schlüsselpaar nötig. Ein digitales Dokument kann dann durch eine Signatur-Software signiert und damit rechtssicher einem Absender zugeordnet werden. Die Signatur-Software-Definition und -Qualifikation werden in Deutschland von der Bundesnetzagentur festgelegt.
Voraussetzung für die Nutzung der qualifizierten elektronischen Signatur ist eine qualifizierte Signaturerstellungseinheit (zum Beispiel eine Signatur-Chipkarte) oder der Fernzugriff auf ein Hardware-Sicherheitsmodul (HSM) eines Trustcenters. Ein Trustcenter stellt eine vertrauenswürdige dritte Instanz dar, die in elektronischen Kommunikationsprozessen die Identität von Kommunikationspartnern bestätigen kann.
Zur Signierung eines Dokuments ist mindestens der private Schlüssel nötig. Dieser befindet sich auf der Signaturerstellungseinheit, der Signatur-Chipkarte, die ein Kartenlesegerät erforderlich macht, oder dem HSM. Häufig befinden sich auch der öffentliche Schlüssel und das Zertifikat mit auf der Signaturerstellungseinheit.
Auf welche Art und Weise die Signatur letztendlich erzeugt wird, entscheidet der Hersteller des verwendeten Produkts, ein Zertifizierungsdienstanbieter oder derjenige, der für seine Anwendungen die Nutzung eines bestimmten Produkts ermöglicht.
Neben einem PC beziehungsweise Laptop und der Chipkarte werden auch ein Chipkartenleser und die Signatur-Software benötigt. Das Kartenlesegerät ist mit einem PC verbunden. Eine Signaturkarte und die zugehörige Signatur-Software erhält man bei einem Trustcenter. Mit der Signatur-Software setzt man zunächst die Signatur-PIN. Danach wird jede mit den Signaturmitteln erzeugte Signatur als Unterschrift des Nutzers gewertet. Das Trustcenter nimmt diese Unterschriften, also die qualifizierten Zertifikate des Nutzers, in seinem Online-Verzeichnis auf und hält zum Abruf beziehungsweise zur Nachprüfung bereit. Dadurch kann die Signatur eines Nutzers von jedermann jederzeit beim Trustcenter auf Echtheit überprüft werden.