在我的情况下,用户需要能够在禁止 Internet 访问的网络环境中使用 Adobe Reader DC离线验证PDF 文件。此外,通过嵌入撤销信息并使用文档时间戳保护它们,还可以实现长期存档。
我发现 Adobe Acrobat/Reader DC 将在创建后很好地验证所有带有嵌入式 OCSP 响应的签名。但是,在 2 小时内验证嵌入在签名中的时间戳 FAIL,因为 Adobe 想要下载由于缺乏 Internet 访问而显然无法下载的撤销数据。我还注意到 Adobe 总是根据“当前时间”验证签名时间戳,而文档时间戳是根据自己的时间戳时间验证的。
所以问题是:为什么 Adobe 不接受几个小时前的撤销信息?难道是因为签名时间戳总是根据当前时间进行验证,Adobe认为OCSP响应太旧(当前时间在OCSP响应中指示的NextUpdate时间之后)并尝试获取新的?
如果是这种情况,那么我还有两个问题:
- 如果 Adobe 总是想要当前的撤销,为什么我们需要在创建 LTA 签名时嵌入签名嵌入时间戳的撤销数据?
- 如果嵌入的时间戳总是需要重新下载吊销信息,如何生成可以离线验证的 PDF 文档?