PDF签名-LTV-CRL替代?
我想知道是否有一个替代包括完整的CRL同时仍然支持LTV?包含完整的CRL似乎有点矫枉过正,而似乎唯一需要的“东西”是包含一个可验证的证明,证明链中的证书在签名时没有被撤销。我认为使用OCSP可能会提供这样的功能,但是简单地删除CRL并包含一个OcspClientBouncyCastle实例并不能起到作用。授予SignDetached的OCSP是否用于检查证书是否在签名时被吊销?
一个相关的问题涉及LTV“支持”本身。正如我提到的,Acrobat Reader仅在包含CRL时表明文件支持LTV。但是,在在线服务http://dss.nowina.lu/validation(EU reference)上进行检查似乎表明了一些其他的东西。在那里,即使没有嵌入CRL的文件也在描述“AdES-T验证是否确凿?”后面有一个有效的检查。(这是“长期验证数据”下的唯一检查点)。因此,我想知道是否需要包括LTV的CRL?
只要说我很困惑就够了:)。
事先谢谢你的帮助。
共有1个答案
我看了你的文件样本。它不符合任何LTV配置文件,仅符合T级,即有时间戳。
PDF签名仅通过使用子过滤器etsi.cades.detached嵌入单个CMS容器来实现,该子过滤器包含
>
CMS容器证书集中签名者证书的证书链
>
C=BE,CN=比利时根CA2
C=BE,CN=Citizen CA,SerialNumber=201103
C=BE,CN=Donny Tytgat(签名),Surname=Tytgat,Givenname=Donny Geert,SerialNumber=81032305309);
- CN=比利时OCSP响应器,C=BE
其扩展名为id-pkix-ocsp-nocheck;
签名时间戳
-
null
符合T级的PAdES签名应是符合B级的签名,信任服务提供者[I.4]已为其生成可信令牌(时间标记或时间戳令牌),证明该签名本身在某一日期和时间实际存在。
第7节-T级一致性要求-ETSI TS 103 172 V2.2.2
其中B级一致性定义为
本条款定义了声称符合B级的PAdES签名必须满足的要求。目前的条款规定了短期电子签名的遵守要求。
该子句实际上描述了PADES-BE(不包含签名-策略-标识符的签名)和PADES-EPE(包含签名-策略-标识符的签名)签名。
第6节.B级一致性要求-ibidem
(还满足了其他要求。)
它不符合LT-Level要求:
生成器应包括在验证签名者时使用的全套撤销数据(CRL或OCSP响应),以及签名时使用的CA证书。此集合包括验证签名证书、验证签名中存在的任何属性证书以及验证已并入签名的任何时间戳令牌的签名证书(即TSA证书)所需的所有证书状态信息。
因此,它也可能不符合LTA级别的as
符合LTA级别的PAdES签名应是符合LT级别的签名,该LT级别包含了一个或多个文档时间戳
我想知道是否有一个替代包括完整的CRL同时仍然支持LTV?包含完整的CRL似乎有点矫枉过正,而似乎唯一需要的“东西”是包含一个可验证的证明,证明链中的证书在签名时没有被撤销。我认为使用OCSP可能会提供这样的html" target="_blank">功能
如果有一个适当的PKI基础设施是可能的。但不幸的是,CA和TSA证书都不包含对其负责的OCSP响应程序的信息。因此,比利时公民公钥基础设施不为这些证书提供OCSP服务,或者只是不公开这一规定。
顺便说一句,这是诊断树的说明
<Message Id="0">OSCP Uri not found in certificate meta-data !</Message>
是您在使用http://dss.nowina.lu/validation服务验证签名时获得的。
-
我是iText的新手。我想签署一个PDF并添加LTV到它。签署PDF是好的但当我想添加LTV到PDF时,它不显示我的OCSP和时间戳证书的CRL信息。首先,我想描述一下我是如何签约的。-我的证书链:签名证书,签名证书根,时间戳证书,时间戳证书根。(我忘了锁链上有什么东西吗?) 要签名PDF,我使用的是: 之后,我将为签名和时间戳添加LTV。 谢谢你。
-
据我所知有两种方法 添加DSS字典 在签名时在签名中嵌入CRL或OCSP响应 DSS方法似乎是可行的,Adobe将签名识别为启用了LTV。第二种方法更适合我们的应用程序,所以我仍在努力让它工作。我在向签名添加OCSP响应时遇到了问题,所以我只尝试添加证书和CRL。如果我错了,请纠正我,但据我所知,CRL或OCSP响应都应该添加到签名中。不需要两者兼而有之吗?我收集签名证书及其根证书,还有TSA证书
-
我正试图用BouncyCastle CMS签署一份PDF文件。签名有效,但Adobe Reader告诉我它还没有准备好LTV。 据我所知,CRL嵌入在CMS SignedData中。证书也被嵌入其中。还嵌入了时间戳。 签名是一个分离的签名,放在“预留空间”。 为什么签名还没有准备好?我是不是做错了什么? 签名测试-PDF:http://www.filedropper.com/outputx 代码:
-
我有一个问题与数字签名PDF文件已标记为PDF/A-3A兼容。使用PDFBox(最新版本,2.0.24)最终在Adobe Acrobat中获得无效签名,而使用iText7(最新版本)获得有效签名。目标是获得符合PAdES LTV的签名。 我的流程如下(使用PDFBox和iText7): 打开PDF,创建用于签名的散列(要签名的数据) 我呼叫第三方服务以取回数字签名 在服务响应中,我还获得了OCSP
-
在过去的几周里,我一直在使用iText对PDF文件进行数字签名,根据我的理解,有两种方法可以将信息添加到PDF中,使其启用LTV: > 使用iText示例中提供的代码添加信息,此方法要求签名已经存在,因为DSS 嵌入crl字节 尽管第一种方法生成了一个整洁的pdf文件,但问题是它修改pdf文件以创建/附加条目,从而导致认证签名无效,第二个很好,但它会根据crl列表的大小大幅增加pdf大小(这也可能
-
问题内容: 如何在iText中完成此操作?我有一个带有客户签名的PDF。我需要向未签名的属性添加ocsp响应。 我知道如何使用 但我不知道如何使用替换PDF 。如果我使用此代码: 包含签名的字典在哪里,则签名(在Adobe Reader中打开文档时)被破坏。 问题答案: 当iText 在正常模式下操作文档时,它可以(并且经常)重新排列现有的PDF对象。显然,这破坏了任何现有集成签名的哈希值。此外,