Как проверить "Цифровая подпись PDF", является ли она стандартом "ПАДЫ" или нет?

OP использует стороннее программное обеспечение (в данном случае iText 5.4.2) для создания подписей PAdES и теперь хочет проверить, действительно ли полученные подписи действительно соответствуют спецификации PAdES. Вот несколько идей для этого:

Что вы подразумеваете под "подписью ПАД"?

Прежде всего вы должны определить, что вы подразумеваете под "подписью PAdES":

• Вы имеете в виду этот термин, как определено в следующей спецификации PDF 2.0:

  Подписи PDF, использующие значение подфильтра ETSI.CAdES.detached, называются сигнатурами PAdES и следуют одному из двух профилей CMS, созданных для совместимости с соответствующими профилями CAdES, определенными в ETSI EN 319 122.

  (ISO 32000-2 FDIS раздел 12.8.3.4 - Подписи CAdES, используемые в PDF)

• Вы имеете в виду более конкретную подпись после одного из базовых профилей подписи PAdES, как указано в ETSI EN 319 142-1?

  В разделе 6 определены четыре уровня базовых сигнатур PAdES, предназначенные для облегчения взаимодействия и охвата жизненного цикла сигнатуры PAdES, а именно:

  a) Уровень BB предоставляет требования для включения подписанных и некоторых неподписанных атрибутов при создании подписи.

  b) Уровень BT предоставляет требования для генерации и включения для существующей подписи доверенного токена, доказывающего, что сама подпись действительно существовала в определенную дату и время.

  c) Уровень B-LT обеспечивает требования для включения всех материалов, необходимых для проверки подписи в документе с подписью. Этот уровень нацелен на решение проблемы долгосрочной доступности валидационных материалов.

  d) уровень B-LTA обеспечивает требования для включения электронных меток времени, которые позволяют проверять подпись в течение длительного времени после ее генерации. Этот уровень направлен на обеспечение долгосрочной доступности и целостности валидационных материалов.

  (ETSI EN 319 142-1 V1.1.1 раздел 6 - Базовые подписи PAdES)

• Или один из дополнительных профилей подписей PAdES из ETSI EN 319 142-2 также будет соответствовать требованиям?

  Настоящий документ содержит профиль для использования подписей PDF, как описано в ISO 32000-1 [1] и основанный на цифровых подписях CMS [i.6], который обеспечивает большую совместимость для подписей PDF, предоставляя дополнительные ограничения помимо ограничений ISO 32000-1 [1]. Этот первый профиль не имеет отношения к ETSI EN 319 142-1 [4].

  Настоящий документ также содержит второй набор профилей, которые расширяют область действия профиля в PAdES часть 1 [5], сохраняя при этом некоторые функции, которые улучшают совместимость сигнатур PAdES. Эти профили определяют три уровня расширенных подписей PAdES, отвечающие на возрастающие требования, чтобы поддерживать действительность подписей в течение длительного периода времени таким образом, чтобы определенный уровень всегда удовлетворял всем требованиям, адресованным на уровнях, которые ниже его. Эти расширенные подписи PAdES предлагают более высокую степень возможности, чем базовые подписи PAdES, указанные в ETSI EN 319 142-1 [4].

  В настоящем документе также определен третий профиль для использования произвольного документа XML, подписанного сигнатурами XAdES, который встроен в файл PDF.

  (ETSI EN 319 142-2 V1.1.1 раздел 1 - Область применения)

В частности, вы должны знать, рассматриваете ли вы также дополнительные профили подписей PAdES "для цифровых подписей CMS в PDF" или "для подписей XAdES, подписывающих содержимое XML в PDF" из ETSI EN 319 142-2, или нет, потому что эти два профиля сильно отличаются много из оставшихся.

Я предполагаю, что вы не учитываете эти два профиля, потому что первый более или менее является старой доброй подписью CMS ISO 32000-1 с некоторыми ограничениями, которым в любом случае следуют большинство подписывающих сторон, а вторые - подписи XML, которые являются совершенно другим животным в целом.

Все остальные профили отличаются в основном количеством и типом информации, связанной с проверкой, и отметками времени, добавленными в документ, чтобы сделать проверку все меньше и меньше зависимой от данных, которые необходимо извлекать онлайн.

Варианты проверки

1. Вручную: вы берете PDF-браузер (например, iText RUPS или PDFBox PDF Debugger), шестнадцатеричный просмотрщик, утилиту дампа ASN.1, применимую базовую спецификацию из списка выше и дополнительные спецификации, указанные в базовой спецификации, и проверяете все критерии.

   Это требует некоторого времени для одной подписи, но в конце вы можете знать все, что нужно знать о проверенной подписи. Я рекомендую это, только если у вас есть некоторый опыт использования этих инструментов и работы со спецификациями, или если у вас действительно есть много времени для изучения.

2. Программно: вы берете библиотеку PDF общего назначения (если вы берете библиотеку, отличную от той, с которой вы создаете подписи, достоверность результата может возрасти), библиотеку функций безопасности (например, BouncyCastle), базовую спецификацию и дополнительные и начать реализацию программы, проверяющей критерии в спецификации.

   Это требует некоторого времени для разработки, но затем может быть использовано повторно, например, для обеспечения качества и предотвращения регрессии. Я рекомендую это, только если у вас есть некоторый опыт использования этих библиотек и работы со спецификациями, или если у вас действительно есть много времени для изучения.

3. Вы используете существующее программное обеспечение или службу, которая оценивает подпись для вас, например, средство проверки соответствия подписи ETSI ( http://signatures-conformance-checker.etsi.org/pub/index.shtml), бесплатный онлайн-инструмент, который выполняет многочисленные проверки для проверки соответствия расширенных электронных подписей ETSI.

   Это, очевидно, самый быстрый вариант, но вы, как правило, не можете быть уверены, насколько надежны были выполнены тесты. Таким образом, это хорошо в качестве первого мнения, но в зависимости от того, сколько на кону, я бы хотел больше безопасности.

4. Вы можете нанять экспертов для анализа и оценки действительности вашей подписи в соответствии с желаемым профилем.

   Это может быть дорого, но, по крайней мере, у вас есть к кому прибегнуть, если позже у вас возникнут проблемы из-за какого-либо несоблюдения.