签章后修改文档
如果把一个有签过名的PDF文档进行修改,再验证时可能会有以上的提示:“由本签名控制的文档修订版次尚未被更改,但在其后,文档已被更改”。出现这种情况的原因来自于PDF文档独特的存储方式:增量存储,也就是对文档的任何修改编辑都作为增量附加在文档末尾。这里的修改是指使用Arcobat/Reader提供的功能进行修改,包括新增、删除、编辑等。如果你会用一些专门的工具(如UltraEdit)修改PDF文档数据则不在此列。
可以把PDF文档想象成一个有很多层的三明治,还没有盖章时是一块面包片,第一次签名是在面包后加片肉,签名后修改文档就是在肉后面加鸡蛋,接着再签名就是鸡蛋后面加芝士,接着可以继续加青菜、加香肠、加面包……,只要你能吃,这个三明治可以一层层加下去。
在这个大三明治里,每一个签名对应保护的都是它之前的PDF文档内容,也就是它对应的PDF文档版本。因此在上面的签名验证通过表示它对应的PDF文档版本没有被更改,但Reader发现签名之后又有新的修改,所以给出了相关提示。
但对于对已签名的文档,再次签名本身算不算修改文档,Arcobat和Reader有不同的处理方式:Arcobat将再次签名也作为文档的修改,而Reader则要看文档是否锁定。如果使用Reader签名时勾选“签名后锁定文档”(见下图),则签名后的文档在Reader看来已经锁定,不能修改。如果把这种锁定的文档用Arcobat签名,再在Reader打开验证时Reader会认为这种签名也是对文档的修改。如果签名时没有勾选“签名后锁定文档”,则对文档的再次签名(无论使用Arcobat或Reader)都不会被Reader认为是对文档的修改。
Acrobat/Reader功能在某些场合是比较实用的,比如需要多人对同一篇文档依次审批会签的时候,每个签名只验证它对应的文档版本内容,后续的修改不会影响它的验证结果。通过视图里显示签名的导览窗口,可以遍历查看文档中的所有签名和对应的文档版本。
验证文档失去响应
如果你在打开一个有签名的PDF文档或验证一个签名时,出现Acrobat或Reader卡住,等了很长时间也没响应,只能强行终止程序的情况。很有可能是程序去验证证书的CRL列表。前面介绍过,CRL是证书吊销列表,而Acrobat/Reader有一套严格的CRL验证机制。如果签名使用的证书里有CRL地址扩展项(证书里怎么会有CRL地址扩展项和签发证书的CA有关,这里照例不再展开),Acrobat/Reader进行CRL验证时,就会访问这个地址试图下载最新的CRL列表。但实际情况很复杂:这个地址是否还能访问,下载的CRL和当前证书是否还匹配……,这些都会造成签名验证过程失去响应。
解决方法就是去掉CRL的检查:Reader里的手工设置的方法是菜单“编辑”——“首选项”——“种类”——签名”——“数字签名”——“验证” ——“更多”——“验证行为”——不要勾选“要求在验证签名时尽可能执行证书吊销检查”。
Acrobat中是在“编辑”——“首选项”——“种类”——“安全性”——“数字签名”——“高级首选项”——“验证”——不要勾选“要求在验证签名时尽可能执行证书吊销检查”。
设置注册表的方式是将HKEY_CURRENT_USER\Software\Adobe\产品名称\版本号\Security\cASPKI\ cASPKI\cVerify\iReqRevCheckd的值为0(十进制)。
另外,Acrobat缺省会在签名外观的左上角显示反映验证结果的状态图标,Reader则不会。
上面就介绍了如何通过Adobe的PDF工具实现PDF文档的电子印章功能。实际上从密码学角度看,Adobe PDF工具的签名功能是十分完善严谨的,这几篇文档难免有错漏,欢迎指出。另外今后我也会继续介绍相关内容,因为它对开发工作有很多帮助和启发,大家一起学习,希望都能有所收获。
扫一扫
768
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
