PDFlib PLOP DS 5

PDFlib PLOP DS 5 – PDF线性化，优化，保护，数字签名

使用PDFlib PLOP DS的数字签名

PDFlib PLOP DS应用可以使用Adobe Reader，Acrobat或支持PDF签名的任何其他验证器验证的PDF签名。 PLOP DS从存储器，磁盘文件或诸如智能卡的安全硬件令牌读取签名者的数字ID（即证书加上相应的私钥）。数字ID用于为PDF文档创建加密签名。应用签名可以与加密相结合。

PDF签名属性

在现有PDF签名字段中创建签名或生成保存签名的新字段。签名可以是不可见的或在页面上的特定位置可见。

通过导入徽标，扫描手写签名或其他表示形式为PDF页面来可视化数字签名。

创建PDF证书（作者）签名，允许文档更改，如填写表单，而不破坏签名。

验证信息可以直接存储在根据ISO 32000-1的签名中或在ISO 32000-2和PAdES第4部分中指定的文件安全存储（DSS）中。

签名可以应用在增量PDF更新部分中，以保留现有签名和文档结构，或通过重写允许优化和加密的文档结构。

PDF版本和标准

PLOP DS支持所有相关的PDF版本和标准：

PLOP DS处理所有直到Acrobat DC的PDF版本，即PDF 1.7（ISO 32000-1），扩展级别为8. PLOP DS还可以根据即将到来的

签名特征

签名标准

基于CMS的PDF签名根据ISO 32000-1

根据即将到来的ISO 32000-2的长期验证签名（LTV）

根据ETS TS 102 778第2,3和4部分，ETSI EN 319 142和CAdES（ETSI TS 101 733）的PAdES（PDF高级电子签名）

PAdES一致性级别

基本签名（PAdES-B）

时间签名（PAdES-T）

长期验证材料签名（PAdES-LT）

提供验证材料的长期可用性和完整性的签名（PAdES-LTA）

根据PAdES第3部分的基本电子签名（PAdES-BES）和基于显式策略的电子签名（PAdES-EPES）

加密签名详细信息

根据RSA和DSA算法以及基于椭圆曲线密码学的椭圆曲线数字签名算法（ECDSA）的签名。支持NIST推荐的椭圆曲线以及Brainpool曲线。

根据NSA的Suite B密码术的强签名和散列函数。

在生成的签名中嵌入完整的证书链，这意味着可以在Adobe批准信托列表（AATL）或欧盟信任列表（EUTL）上的CA（证书颁发机构）颁发证书的签名可以在Acrobat和Adobe Reader中验证，配置在客户端。

嵌入在线证书状态协议响应（根据RFC 2560和RFC 6960的OCSP）和证书吊销列表（根据RFC 3280的CRL）作为长期验证（LTV）的撤销信息。

时间戳

从可信时间戳机构（TSA）根据RFC 3161，RFC 5816和ETSI EN 319 422检索时间戳，并将其嵌入所生成的签名中。可以从AATL证书读取TSA详细信息，以创建没有任何配置的时间戳。

根据ISO 32000-2和PAdES第4部分创建文档级时间戳签名。文档级时间戳确保文档的状态，而不应用任何个人签名。

支持时间戳策略参数和所有常见的time-stamp hash函数。

签名引擎

PLOP DS支持多个加密引擎，即用于生成数字签名的组件：

内置引擎直接在PLOP DS中实现所需的加密功能，而没有任何外部依赖性。内置引擎支持通用PKCS＃12和PFX格式的基于软件的数字ID。

PLOP DS可以通过标准PKCS＃11接口附加加密令牌。这样，智能卡，USB记忆棒和其他安全设备上的数字身份证可用于签名。这包括具有集成键盘的设备，用于安全PIN输入。

PKCS＃11接口也可用于使用硬件安全模块（HSM）进行签名。 HSM为大量签名应用程序提供安全的密钥存储和充足的性能。 PLOP DS使用PKCS＃11会话来最大化具有HSM的批量签名的性能。

在Windows PLOP DS可以利用Windows通过Microsoft密码API（MS CAPI）提供的加密基础设施。来自Windows证书存储的数字ID可用于签名，包括基于软件的数字ID和安全硬件令牌。注意，并非所有签名特征都可用于MSCAPI引擎，例如LTV。

或者，用户提供的密码引擎可用于确保在专用密码库中执行所有密码操作（散列和签名）。附加这样的外部加密模块需要根据请求提供的特殊PLOP构建。