PDF 上的高级数字签名在概念上如何工作(在接收方)?

PDF 上的高级数字签名在概念上如何工作(在接收方)?

如果有人(比如某个机构)希望我发送一份用高级电子签名签名的 PDF,这对接收者意味着什么?

我现在可以创建一个本地密钥库并使用任何程序以某种方式对 PDF 进行签名,但我不知道如何证明接收方确实是我。我在生成过程中是否会获得添加到 PDF 中的哈希密钥,我应该将与页脚相同的哈希密钥发送到电子邮件中,还是应该发送公钥或类似的东西?我不知道这背后的概念是什么?

答案1

[披露:我在 CoSign 工作]

“高级电子签名”是数字签名的同义词,也称为 X.509 数字签名。

我现在可以创建一个本地密钥库并使用任何程序以某种方式签署 pdf,但我不知道这如何证明接收者确实是我。

通常情况下,您的组织将创建一个长期(约 10 年)的根数字证书,然后创建有效期为 1 年的个人签名者数字证书。

然后relying-party(文档接收者)会将贵组织的证书添加到他的信任库中。稍后,当打开由组织中的某人签名的 PDF 时,签名将得到正确验证。在大多数情况下,验证是由免费的 Adob​​e Reader 副本(而不是昂贵的 Acrobat 软件)完成的。

由于数字签名是一种开放标准,因此 pdf 的签名也可以通过其他软件进行验证。

您签署该文件的“证据”来自两个因素:

  1. 依赖方决定信任你组织的证书
  2. 依赖方相信,自从您的组织向您颁发签名密钥以来,您一直对其保持严格的控制。

问题 2 意味着将私钥存储在常规文件系统中不是一个好主意。最佳做法是将数字密钥存储在安全签名创建设备中。(无论是强化设备还是智能卡。)

我是否会在生成过程中获得一个添加到 PDF 的哈希密钥?我是否应该将与页脚相同的哈希密钥发送到电子邮件中,还是应该发送公钥或类似的东西?我不知道这背后的概念是什么?

高级电子签名使用 PKI 技术对代表文档的哈希值进行签名。结果存储在添加到 PDF 的特定结构中。请参阅ETSI PAdES 标准

在签名过程中,签名软件会计算文档的哈希值。之后,在验证过程中,验证软件会重新计算文档的哈希值。验证软件会重新计算文档的哈希值,以确认文档自据称签名以来没有被更改。

这意味着:

  1. 签名的创建和添加到 PDF 文档的方式非常具体,如标准所述。您可以使用以下在线服务CoSign 云创建并签署 PDF。或者您可以使用本地设备蜜蜂也可用。您可以使用软件库签署 PDF,但您需要担心如上所述的密钥安全性。

  2. 信任是通过依赖方将证书添加到其信任存储区来建立的。如何将证书发送给依赖方取决于您(以及他会接受什么)。您可以通过电子邮件发送它,也可以将其存储在您的 Web 服务器上供其他人下载。

相关内容