如何在Adobe Acrobat Reader DC中驗(yàn)證電子簽名

這篇文章給大家介紹如何在Adobe Acrobat Reader DC中驗(yàn)證電子簽名，內(nèi)容非常詳細(xì)，感興趣的小伙伴們可以參考借鑒，希望對(duì)大家能有所幫助。

一、電子簽名中常見名詞解釋

1.1 CA數(shù)字證書

數(shù)字證書就是互聯(lián)網(wǎng)通訊中標(biāo)志通訊各方身份信息的一系列數(shù)據(jù)，提供了一種在Internet上驗(yàn)證您身份的方式，其作用類似于司機(jī)的駕駛執(zhí)照或日常生活中的身份證。它是由一個(gè)由權(quán)威機(jī)構(gòu)—–CA機(jī)構(gòu)，又稱為證書授權(quán)，（Certificate Authority）中心發(fā)行的，人們可以在網(wǎng)上用它來識(shí)別對(duì)方的身份。 數(shù)字證書是一個(gè)經(jīng)證書授權(quán)中心CA機(jī)構(gòu)數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個(gè)公開密鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。

1.2 X.509格式證書

X.509 是密碼學(xué)里公鑰證書的格式標(biāo)準(zhǔn)。X.509 標(biāo)準(zhǔn)規(guī)定了證書可以包含什么信息。 X.509 證書里含有公鑰、身份信息（比如域名、單位名稱或個(gè)人姓名等）和簽名信息（如證書簽發(fā)機(jī)構(gòu)CA的簽名）。 對(duì)于一份經(jīng)由可信的證書簽發(fā)機(jī)構(gòu)簽名的證書，證書的擁有者就可以用證書及相應(yīng)的私鑰來對(duì)文檔進(jìn)行數(shù)字簽名。 除此之外X.509還附帶了證書吊銷列表和用于從最終對(duì)證書進(jìn)行簽名的證書簽發(fā)機(jī)構(gòu)直到最終可信點(diǎn)為止的證書合法性驗(yàn)證算法。

1.3 時(shí)間戳

時(shí)間戳（Time stamp）是一種計(jì)算機(jī)術(shù)語，是指電子文件產(chǎn)生的時(shí)間。個(gè)人計(jì)算機(jī)產(chǎn)生電子文件后的時(shí)間取決于該臺(tái)計(jì)算機(jī)設(shè)備的時(shí)鐘，而此類時(shí)鐘可以任意修改，因此在普通個(gè)人計(jì)算機(jī)設(shè)備上形成的電子文件的時(shí)間戳因難以證明不可篡改性而沒有一般意義上的證據(jù)效力。

可信時(shí)間戳是由權(quán)威可信時(shí)間戳服務(wù)中心簽發(fā)的一個(gè)能證明數(shù)據(jù)電文(電子文件）在一個(gè)時(shí)間點(diǎn)是已經(jīng)存在的、完整的、可驗(yàn)證的，具備法律效力的電子憑證，可信時(shí)間戳主要用于電子文件防篡改和事后抵賴，確定電子文件產(chǎn)生的準(zhǔn)確時(shí)間。一個(gè)國家的標(biāo)準(zhǔn)時(shí)間是具有權(quán)威性的，每個(gè)國家的標(biāo)準(zhǔn)時(shí)間由各國權(quán)威授時(shí)中心管理。在中國可信時(shí)間戳服務(wù)機(jī)構(gòu)的法定時(shí)間源由中國科學(xué)院國家授時(shí)中心授時(shí)。 目前在中國能夠提供可信時(shí)間戳服務(wù)的機(jī)構(gòu)有：ZJCA、CFCA等。

1.4 文檔哈希值（摘要值）

哈希值，又稱：單向散列函數(shù)（或散列算法，又稱哈希函數(shù)或哈希摘要）是一種可以通過散列函數(shù)把任意消息或任意數(shù)據(jù)壓縮成摘要的方法。散列函數(shù)將數(shù)據(jù)打亂混合，重新創(chuàng)建而得到的這個(gè)值叫做散列值（哈希值或摘要值）。 文件哈希值是根據(jù)文件的內(nèi)容的數(shù)據(jù)通過哈希運(yùn)算得到的數(shù)值, 不同的文件(即使是相同的文件名)得到的哈希值是不同的, 所以哈希值就成了每一個(gè)文件里的身份證。 不同哈希值的文件被認(rèn)為是不同的文件,因?yàn)橄嗤Ｖ档奈募?，其?nèi)容肯定是完全相同（即使文件名不同）。 在現(xiàn)在密碼體系的數(shù)字簽名中單向散列函數(shù)也是重要的一部分。對(duì)文件哈希值（又稱“數(shù)字摘要”）進(jìn)行簽名，在PDF電子簽名中可以認(rèn)為與對(duì)文件本身進(jìn)行數(shù)字簽名是等效的，可以校驗(yàn)一份文件的完整性。

二、Adobe Acrobat Reader DC 中簽名面板概述

在Adobe Reader DC 中的“簽名屬性”對(duì)話框中的“有效性小結(jié)”，該小結(jié)可能顯示以下消息之一： 簽名日期/時(shí)間來自簽名者計(jì)算機(jī)上的時(shí)鐘 時(shí)間建立在簽名者計(jì)算機(jī)的當(dāng)?shù)貢r(shí)間基礎(chǔ)上。 簽名包含時(shí)間戳 簽名時(shí)使用了時(shí)間戳服務(wù)，且本機(jī)已安裝時(shí)間戳根證書與時(shí)間戳服務(wù)之間建立信任關(guān)系。 簽名包含時(shí)間戳，但無法驗(yàn)證該時(shí)間戳 簽名時(shí)使用了時(shí)間戳服務(wù)，但本機(jī)未將時(shí)間戳服務(wù)根證書添加到可信任身份列表中。 簽名包含時(shí)間戳，但時(shí)間戳已過期 Reader根據(jù)當(dāng)前時(shí)間驗(yàn)證時(shí)間戳。如果時(shí)間戳服務(wù)的證書在當(dāng)前時(shí)間之前已過期，將顯示該消息。要讓Reader接受過期時(shí)間戳，請(qǐng)?jiān)凇昂灻?yàn)證首選項(xiàng)”對(duì)話框（“首選項(xiàng)”>“簽名”>“驗(yàn)證: 更多”）中選擇“使用已過期時(shí)間戳”。驗(yàn)證包含已過期時(shí)間戳的簽名時(shí)，Reader中會(huì)顯示一條警告消息。

1.自應(yīng)用本簽名以來，“文檔”未被修改 ：這類驗(yàn)簽信息主要出現(xiàn)在簽署者對(duì)PDF文件內(nèi)容簽名后其簽名所保護(hù)的PDF文件內(nèi)容未被修改。

2.本修訂版文檔未被更改，在此修訂版之后，文檔已被更改 ：這類驗(yàn)簽信息主要出現(xiàn)在簽署者對(duì)PDF文件內(nèi)容簽名后，在其簽名所保護(hù)的PDF文件內(nèi)容之外其他地方被修改。 如一個(gè)PDF文件簽署者A填寫與A相關(guān)信息簽名后，簽署者B又填寫與B相關(guān)的信息后再簽名。

3.本簽名“（簽名的字節(jié)范圍無效）”的格式或其包含的信息出現(xiàn)錯(cuò)誤： 這類驗(yàn)簽信息主要出現(xiàn)在簽署者對(duì)PDF文件內(nèi)容簽名后，其簽名所保護(hù)的PDF文件內(nèi)容范圍被修改（即簽名被篡改）。

4.本簽名“（支持信息：SigDict/Contents illegal data）”的格式或其包含的信息出現(xiàn)錯(cuò)誤 ：這類驗(yàn)簽信息主要出現(xiàn)在簽署者對(duì)PDF文件內(nèi)容簽名后，其簽名所保護(hù)的PDF文件中的Contents信息被修改含有格式不正確的數(shù)據(jù)（即簽名被篡改）。

三、PDF文件格式概述

PDF的簽名標(biāo)準(zhǔn)是 PAdES。其簽名后的PDF文檔格式如下：

四、PDF電子簽名及驗(yàn)簽過程概述

1.使用CA數(shù)字證書進(jìn)行PDF文件簽名過程

假設(shè)一個(gè)用戶A需要對(duì)一份電子合同原文PDF文件進(jìn)行簽署，則電子簽名服務(wù)首先對(duì)電子合同原文PDF文件進(jìn)行哈希算法，得到電子合同原文PDF文件的哈希值。然后使用用戶A的CA私鑰證書對(duì)哈希值進(jìn)行加密，把加密得到的電子簽名插入到電子合同PDF文件中發(fā)送給用戶B。

2.使用CA數(shù)字證書進(jìn)行PDF文件驗(yàn)簽過程

用戶B收到簽署后的電子合同PDF文件（帶電子簽名的電子合同）后，先對(duì)電子合同原文PDF文件用哈希算法得到哈希值，然后使用用戶A的CA證書公鑰對(duì)PDF文件中的電子簽名進(jìn)行解密，解密得到的哈希值與電子合同原文PDF文件計(jì)算的哈希值進(jìn)行比對(duì)，如果哈希值一致，則證明電子合同確實(shí)是A所簽署的，并且沒有被纂改過，也就達(dá)到驗(yàn)證“簽名未改、原文未改”的目的。

3.PDF文件簽名和驗(yàn)簽過程說明

1）將簽名的PDF先轉(zhuǎn)換為字節(jié)流。

2）將整個(gè)PDF文件寫入磁盤，并在簽名字典中留有適當(dāng)大小的空間（簽名值保存的空間，ByteRange數(shù)組保存空間）。ByteRange是一個(gè)包含四個(gè)數(shù)字的數(shù)組。 每對(duì)值中，第一個(gè)數(shù)字是：需要hash的字節(jié)流的開頭位置（從頭開始，從0開始）。 第二個(gè)數(shù)字是：該字節(jié)流的長度。 這兩對(duì)定義了兩個(gè)字節(jié)序列，用于定義要hash的內(nèi)容。 簽名值存儲(chǔ)在第一個(gè)序列的結(jié)尾和第二個(gè)序列的開頭之間的/Contents鍵中。 在下圖，計(jì)算字節(jié)0到839和960到1200的哈希值。

3）根據(jù)文件中的偏移量知道簽名值的位置后，將真實(shí)值以覆蓋寫方式寫入ByteRange數(shù)組。 由于字節(jié)偏移量不得更改，因此新數(shù)組語句后面的額外字節(jié)將被零覆蓋。

4）使用例如SHA-256之類的哈希算法，計(jì)算由ByteRange值指定的文檔范圍的哈希值。 注：Acrobat采用的方法是：對(duì)整個(gè)PDF文件進(jìn)行哈希計(jì)算，而獲得文檔簽名的哈希值（從字節(jié)0開始，以物理文件中的最后一個(gè)字節(jié)結(jié)束，但不包括簽名值字節(jié)）。

5）計(jì)算出哈希值后，用簽名者的私鑰進(jìn)行加密，并生成十六進(jìn)制編碼的PKCS＃7對(duì)象簽名對(duì)象。

6）簽名對(duì)象作為/Contents的值，保存到文件中。 任何未用于簽名對(duì)象的空間都將被零覆蓋。

五、CA數(shù)字證書頒發(fā)過程概述

在中國CA機(jī)構(gòu)所頒發(fā)的CA數(shù)字證書都是受工信部進(jìn)行監(jiān)管的，CA機(jī)構(gòu)需要按照相關(guān)法規(guī)進(jìn)行業(yè)務(wù)開展。 由某個(gè)CA中心的頂層根證書給下面的二級(jí)根證書簽名，然后再由二級(jí)根證書給具體的個(gè)人或企業(yè)用戶簽發(fā)證書。

CA機(jī)構(gòu)擁有自己的公鑰和私鑰，CA機(jī)構(gòu)使用私鑰給用戶（包括CA機(jī)構(gòu)中心其他級(jí)別根證書）簽發(fā)數(shù)字證書，具體簽發(fā)過程如下：

（1）將用戶的身份信息和用戶的公鑰信息，按照特定的格式組成數(shù)據(jù)D。

（2）使用哈希摘要算法對(duì)數(shù)據(jù)D進(jìn)行計(jì)算得到哈希值H。

（3）使用CA中心的私鑰對(duì)哈希值H進(jìn)行加密得到數(shù)字簽名S。

（4）將用戶的身份信息、用戶公鑰信息和數(shù)字簽名S，按照特定格式組成最終的CA數(shù)字證書。其CA數(shù)字證書中的“指紋”項(xiàng)記錄的就是CA中心私鑰簽名后的數(shù)字簽名S值。

數(shù)字證書驗(yàn)簽過程如下：

（1）用CA數(shù)字證書中讀取到證書指紋（數(shù)字簽名S值）。

（2）利用CA中心公鑰對(duì)數(shù)字簽名S值進(jìn)行解密。

（3）如果可以成功解密則可以說明用戶的CA數(shù)字證書是某CA中心頒發(fā)。

關(guān)于如何在Adobe Acrobat Reader DC中驗(yàn)證電子簽名就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到。