[Раскрытие информации: я работаю на CoSign]
"Усовершенствованная электронная подпись" является синонимом цифровой подписи, также известной как цифровая подпись X.509.
Теперь я могу сделать локальное хранилище ключей и использовать любую программу для подписи PDF, но я не знаю, как это доказывает, что это действительно я для получателя.
В обычном случае ваша организация создаст долгосрочный (~ 10 лет) корневой цифровой сертификат, а затем создаст отдельные цифровые сертификаты подписавшего с истечением 1 года.
Затем relying-party (получатель документа) добавит сертификат вашей организации в свой склад доверия. Позже, при открытии PDF-файла, подписанного кем-то из организации, подпись будет проверена правильно. В большинстве случаев проверка выполняется бесплатной копией Adobe Reader (а не дорогим программным обеспечением Acrobat).
Поскольку цифровые подписи являются открытым стандартом, подписи PDF также могут быть проверены другим программным обеспечением.
"Доказательством" того, что вы подписали документ, являются два фактора:
- Проверяющая сторона решила доверить сертификат вашей организации.
- Проверяющая сторона полагает, что вы строго контролировали свой подписывающий ключ с момента его выдачи вашей организацией.
Проблема 2 означает, что хранить личные ключи в обычных файловых системах - плохая идея. Рекомендуется хранить цифровые ключи на устройствах создания защищенных подписей. (Либо закаленные приборы или смарт-карты.)
Получу ли я хеш-ключ при генерации, который добавляется в PDF, и должен ли я отправлять тот же хеш-ключ, что и нижний колонтитул, в электронное письмо, или я должен отправить открытый ключ или что-то еще? Я не знаю, что за концепция стоит за этим?
Расширенные электронные подписи используют технологию PKI для подписи хеш-значения, представляющего документ. Результат сохраняется в определенной структуре, которая добавляется в PDF. Смотрите стандарт ETSI PAdES.
Во время подписания хэш документа рассчитывается программным обеспечением для подписи. Позже, во время проверки, хэш документа пересчитывается программным обеспечением для проверки. Программное обеспечение для проверки пересчитывает хэш из документа, чтобы подтвердить, что документ не был изменен с момента его подписания.
Это означает:
Подпись создается и добавляется в документ PDF очень специфичным способом, подробно описанным в стандарте. Вы можете использовать онлайн-сервисы, такие как CoSign Cloud, чтобы создать и подписать PDF-файл. Или вы можете использовать локальное устройство. API также доступны. Вы можете подписать PDF-файл, используя программные библиотеки, но тогда вам нужно беспокоиться о безопасности ключа, как упоминалось выше.
Доверие устанавливается доверяющей стороной, добавляющей сертификат в свое хранилище доверия. Как вы отправите сертификат доверяющей стороне, зависит от вас (и от того, что он примет). Вы можете отправить его по электронной почте или сохранить на своем веб-сервере, чтобы другие могли его загрузить.
