我试图了解是否以及如何验证带有嵌入时间戳的 PAdES 签名。这个嵌入的时间戳是从时间戳权威 (TSA) 获得的。
如果签名中包含 crl 文件或 ocsp 响应,我们一般应该首先从签名中验证证书链在这个时间戳对应的日期没有过期也没有被撤销。
由于来自 TSA 的时间戳也已签名,我试图弄清楚是否还应该验证此时间戳的证书链以及如何验证它?
使用 Bouncy Castle API,很容易通过以下代码验证时间戳
TimeStampToken.validate((SignerInformationVerifier paramSignerInformationVerifier))
但是,此方法不会验证证书链是否未过期或未撤销。此外,由于嵌入的时间戳不包含任何 crl 文件或 ocsp 响应,因此无法在时间戳嵌入签名的日期验证证书链。
那么,如果我们不能在嵌入时间戳对应的日期完全验证 TSA 的证书链,我们怎么可能验证 PAdES 签名呢?