原文：Digital Signatures in a PDF(https://www.adobe.com/devnet-docs/etk_deprecated/tools/DigSig/Acrobat_DigitalSignatures_in_PDF.pdf)

三、PDF語言簽名功能

1. 標準支持

PDF本身是一個開放的ISO標準。ISO 32000對PDF中的數(shù)字簽名支持進行了全面描述，Adobe在其開放SDK中提供了與PDF和Acrobat系列產(chǎn)品api交互的工具。但是，PDF中也內(nèi)置了對其他標準的支持，像Acrobat和Adobe Reader這樣的PDF閱讀器應(yīng)該遵守表2（注：見原文第五部分）中列出的標準。

2. 支持替換簽名方法

大多數(shù)簽名都是純數(shù)學的，例如由Arcobat的默認簽名處理程序生成的公私鑰加密文件摘要。然而，它們也可以是生物識別的形式，例如手寫簽名、指紋或視網(wǎng)膜掃描。簽名處理程序根據(jù)PDF ISO標準中定義的規(guī)則處理數(shù)據(jù)并控制身份驗證的形式。

3. 支持兩種簽名類型

PDF定義了兩種類型的簽名：批準和認證。這兩種類型都是覆蓋所有文件內(nèi)容的字節(jié)范圍簽名。兩者都可以在文件簽署時對文件進行可視化快照，從而提供高級別的文件完整性。
區(qū)別如下：

• 批準：一份文件中可以有任意數(shù)量的批準簽名。該字段可以選擇與FieldMDP權(quán)限相關(guān)聯(lián)。參見“鎖定表單域”部分。

• 認證：一份文件只能有一個認證簽名且必須為第一個。該字段總是與DocMDP（參見“控制簽署后變更”部分）和法律內(nèi)容證明相關(guān)聯(lián)。它們可以選擇與FieldMDP權(quán)限相關(guān)聯(lián)。

4. 簽名互操作

PDF允許在簽名處理程序和合格閱讀器之間的互操作。也就是說，使用處理程序ABC簽署的PDF應(yīng)該能夠使用來自不同供應(yīng)商的處理程序XYZ進行驗證。
當存在時，簽名字典中的SubFilter條目指定簽名值和密鑰信息的編碼，而Filter條目指定應(yīng)用于驗證簽名的首選處理程序。SubFilter條目有幾個定義的值，所有這些值都基于RSA Security發(fā)布的公鑰加密標準，也是國際互聯(lián)網(wǎng)工程任務(wù)組（IETF）公鑰基礎(chǔ)設(shè)施（PKIX）工作組發(fā)布的標準的一部分。

5. 魯棒算法支持

隨著安全問題的發(fā)展，PDF擴展了對日益強大的加密算法的支持，如下所示。 可以通過種子值或在應(yīng)用程序首選項級別（例如注冊表）來指定摘要算法。

6. 多重簽名

有些文件可能需要多個簽名。 只需要在紙上畫另一條線就可以很容易地處理紙質(zhì)文件。在紙張世界中，在文件上簽署的人應(yīng)該明智地在文件簽署后保存副本。然后，如果另一個人更改了文件，簽名者可以很容易地辯稱文件已被更改。
但是，對于PDF，任何通過修改文件（如再次簽署）來更改文檔的嘗試都將使現(xiàn)有的數(shù)字簽名無效。這是因為驗證時計算的哈希值與簽署時創(chuàng)建的加密哈希值不匹配。
PDF通過支持增量更新的功能解決了這個問題（參見“增量更新”部分）。只要其他權(quán)限限制（如DocMDP和FieldMDP）不阻止其他簽名，簽名者就可以向文件中添加另一個簽名字段并簽名，而不會使先前的簽名無效。

7. 增量更新

PDF文件格式定義了增量更新功能。增量更新對查看文件的人是透明的，但允許檢測和審核對文件的修改。 通常，PDF語言（特別是針對已簽署文件）允許任何PDF文件通過在文件末尾增加增量更新部分來進行修改。不需要對表示文件早期版本的字節(jié)進行任何更改。這樣就可以往PDF文件添加簽名而不會修改之前簽名覆蓋的任何數(shù)據(jù)。
每個附加簽名將覆蓋整個PDF文件，從第0個字節(jié)到最后一個字節(jié)，但不包括當前簽名值的簽名值。圖5展示了如何為具有三個簽名的文件創(chuàng)建簽名。

8. 查看之前的簽署文件版本

PDF語言的增量更新功能允許PDF閱讀器有效保留任何PDF文件的所有簽署版本。這使得用戶能夠?qū)嶋H看到已簽署的PDF文件的版本。
Acrobat通過提供兩種特性來充分利用PDF的能力達到簽署時“記住”文檔狀態(tài)：

• 查看簽署版本：通過右鍵單擊簽名并選擇“查看簽署版本”，顯示應(yīng)用簽名時的文件。這個操作可以通過刪除與簽名對應(yīng)的文件EOF之后任意字節(jié)來手動模擬。

• 比較簽署版本與當前版本：通過右鍵單擊簽名并選擇“比較簽署版本與當前版本”，將文件的當前版本與簽署版本進行比較。

9. 比較當前文件版本和簽署文件版本

參見“查看之前的簽署版本”部分

10. 鎖定表單域

表單域包括簽名域和非簽名域，表單通常包含許多表單域，有些是為簽名設(shè)計的，有些是為表單數(shù)據(jù)設(shè)計的。PDF語言允許作者控制文檔簽名后是否可以填寫額外的字段，不論是通過簽名，還是通過輸入任何類型的數(shù)據(jù)。創(chuàng)建文檔時，作者可以指定以下內(nèi)容：

• 是否可以在不使批準或認證簽名失效的情況下填寫表單域。

• 在特定的接收者簽署文件后，任何對特定表單域的修改都會使這個接收者的簽名無效。在這種情況下，為每個接收者指定一個單獨的簽名域。
  FieldMDP轉(zhuǎn)換方法用于檢測文檔表單域值的更改。（見圖1）

11. 控制簽署后變更

PDF提供了一種限制后簽名的機制。該機制是DocMDP轉(zhuǎn)換方法（修改、檢測和預(yù)防的縮寫）。DocMDP轉(zhuǎn)換參數(shù)字典中的P條目指示對文件的以下哪些更改將使簽名無效（見圖1）：

• 任何修改

• 表單填寫和數(shù)字簽名

• 注釋（評論）、表單填寫、數(shù)字簽名
  文件只能包含一個包含DocMDP轉(zhuǎn)換方法的簽名域，并且必須是文檔中的第一個簽名域。該簽名稱為“認證”簽名。此功能允許作者指定哪些更改是允許的，哪些更改使作者的簽名無效。然而，大多數(shù)用戶會認為DocMDP的作用是指定他們可以對文檔做什么。
  認證簽名應(yīng)具有一個合法的證明字典，該字典指定可能導致文檔內(nèi)容非預(yù)期解讀的所有內(nèi)容，以及作者對此類內(nèi)容的證明。如果文件的完整性受到質(zhì)疑，本字典可用于確定作者的意圖。
  Acrobat允許第一個簽名者使用認證簽名來認證文檔，并在簽署過程中設(shè)置權(quán)限和法律證明。
  打開已認證的文件時，除了打開已認證時存在的文件并將其與當前正在查看的內(nèi)存中的文件（包括所有增量更改）進行比較外，簽名會像往常一樣被驗證。進行修改分析，任何作者禁止的修改會被報告。違反權(quán)限會破壞簽名。

12. 法律內(nèi)容證明

鑒于其內(nèi)在的豐富性，PDF語言提供了許多可能導致PDF文檔呈現(xiàn)外觀變化的功能（例如多媒體或JavaScript）。這些功能會有意或無意地構(gòu)造誤導文件收件人的文件。在考慮簽署的PDF文件的法律含義時，這些情況是相關(guān)的。
為了促進文件信任，合格的認證簽名作者（例如Acrobat）也應(yīng)利用PDF的法律證明字典。字典條目指定所有可能導致文檔內(nèi)容意外呈現(xiàn)的內(nèi)容。此外，作者可以通過證明條目（Attestation entry）進一步澄清此類內(nèi)容。審稿人應(yīng)自己確定他們信任作者和文檔內(nèi)容。

13. 基于文件權(quán)限啟用功能

PDF使具有豐富PDF交互的功能齊全的客戶端能夠向功能較差的客戶端授予文檔特定的權(quán)限，以便它們也可以使用其中的一些功能。使用此機制，可以向不具有數(shù)字簽名功能的客戶機授予該功能。當在特定文件的語言級別授予權(quán)限時，任何與簽名相關(guān)的用戶界面元素都將啟用。
例如，使用Acrobat的作者可以使用公鑰加密技術(shù)授予在Adobe Reader中啟用其他功能的權(quán)限。它使用證書頒發(fā)機構(gòu)向與其建立業(yè)務(wù)關(guān)系的文件創(chuàng)建者頒發(fā)公鑰證書。Adobe Reader驗證授權(quán)簽名是否使用Adobe授權(quán)證書頒發(fā)機構(gòu)的證書。因此，打開閱讀器支持文檔的Adobe Reader用戶可以簽名、填寫表單字段，反之執(zhí)行被禁止的操作。
這種機制稱為使用權(quán)簽名，通常對終端用戶是透明的。使用權(quán)限簽名是從權(quán)限字典中的UR3條目引用的（圖1）。簽名啟用了其他交互式功能，這些功能在符合條件的閱讀器中可能默認情況下不可用，并驗證權(quán)限是否已由真正的授權(quán)機構(gòu)授予。轉(zhuǎn)換參數(shù)字典指定了在簽名有效時應(yīng)啟用的附加權(quán)限。如果簽名由于任何原因無效，則不會授予其他權(quán)利。

14. 富證書處理

PDF支持富證書加工和處理功能，因為它的證書數(shù)據(jù)是嵌入到簽名中的。PDF閱讀器和簽名處理程序可以根據(jù)需要使用這些數(shù)據(jù)。例如，當使用PKCS#7簽名，簽名對象可以包含以下部分或者全部：

• 時間戳信息

• 嵌入的吊銷信息

• CRLs和OCSP的吊銷檢查詳情

• 證書策略和屬性證書

15. 通過種子值控制簽名工作流

PDF對種子值的支持在文檔被路由到簽署方后，為作者提供了對文件行為的字段級控制。種子值指定屬性和屬性值，作者可以控制指定的參數(shù)是可選的還是任何特定字段必須包含的。
例如，您可以使用種子值來限制用戶在簽署特定的簽名字段時的選擇，例如要求使用特定CA頒發(fā)的證書進行簽名。當簽名者簽署一個“種子”字段時，作者指定的行為將被自動調(diào)用且是強制的。
如果字段字典包含引用種子值字典的SV條目，那么當字段被簽名時將使用該字典。Ff條目指定字典中的其他條目是否應(yīng)該被考慮，或者是否僅僅是推薦。Acrobat的默認處理程序支持PDF標準定義的所有種子值。Acrobat為種子值字段提供了api。