如果有人(比如某个机构)希望我发送一份用高级电子签名签名的 PDF,这对接收者意味着什么?
我现在可以创建一个本地密钥库并使用任何程序以某种方式对 PDF 进行签名,但我不知道如何证明接收方确实是我。我在生成过程中是否会获得添加到 PDF 中的哈希密钥,我应该将与页脚相同的哈希密钥发送到电子邮件中,还是应该发送公钥或类似的东西?我不知道这背后的概念是什么?
答案1
[披露:我在 CoSign 工作]
“高级电子签名”是数字签名的同义词,也称为 X.509 数字签名。
我现在可以创建一个本地密钥库并使用任何程序以某种方式签署 pdf,但我不知道这如何证明接收者确实是我。
通常情况下,您的组织将创建一个长期(约 10 年)的根数字证书,然后创建有效期为 1 年的个人签名者数字证书。
然后relying-party(文档接收者)会将贵组织的证书添加到他的信任库中。稍后,当打开由组织中的某人签名的 PDF 时,签名将得到正确验证。在大多数情况下,验证是由免费的 Adobe Reader 副本(而不是昂贵的 Acrobat 软件)完成的。
由于数字签名是一种开放标准,因此 pdf 的签名也可以通过其他软件进行验证。
您签署该文件的“证据”来自两个因素:
- 依赖方决定信任你组织的证书
- 依赖方相信,自从您的组织向您颁发签名密钥以来,您一直对其保持严格的控制。
问题 2 意味着将私钥存储在常规文件系统中不是一个好主意。最佳做法是将数字密钥存储在安全签名创建设备中。(无论是强化设备还是智能卡。)
我是否会在生成过程中获得一个添加到 PDF 的哈希密钥?我是否应该将与页脚相同的哈希密钥发送到电子邮件中,还是应该发送公钥或类似的东西?我不知道这背后的概念是什么?
高级电子签名使用 PKI 技术对代表文档的哈希值进行签名。结果存储在添加到 PDF 的特定结构中。请参阅ETSI PAdES 标准。
在签名过程中,签名软件会计算文档的哈希值。之后,在验证过程中,验证软件会重新计算文档的哈希值。验证软件会重新计算文档的哈希值,以确认文档自据称签名以来没有被更改。
这意味着: