0

我正在设置一个验证器,它可以检查签名的有效性。

我所做的签名基于 DSS 级别 LT,因此文档中内置了撤销检查。

我现在遇到的问题是我在 iText 中开发的验证器级别。它允许验证签名的有效性,但验证撤销信息。根据我的研究,IText 允许基于:pkcs7.getCrl() 在签名本身中验证此信息。

但是,DSS 签名将吊销信息合并到字典中。

下面是我用来验证签名的代码:

import com.itextpdf.text.pdf.AcroFields;
import com.itextpdf.text.pdf.PdfDictionary;
import com.itextpdf.text.pdf.PdfName;
import com.itextpdf.text.pdf.PdfReader;
import com.itextpdf.text.pdf.PdfString;
import com.itextpdf.text.pdf.security.PdfPKCS7;

import java.io.File;
import java.io.FileInputStream;
import java.io.IOException;
import java.io.InputStream;
import java.security.GeneralSecurityException;
import java.security.Principal;
import java.security.cert.X509Certificate;
import java.util.Calendar;
import java.util.List;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import java.security.Security;
import org.bouncycastle.jce.provider.BouncyCastleProvider;

public class TestCheck {

    public static String pdf_file = "CURRENT_SIGNATURE.pdf";

    public static final boolean verifySignature(PdfReader pdfReader)
            throws GeneralSecurityException, IOException {
        
        boolean valid = false;
        AcroFields acroFields = pdfReader.getAcroFields();
        
        
        PdfDictionary sigDict = acroFields.getSignatureDictionary("Signature1"); 
        System.out.println(sigDict);
        PdfString contents = sigDict.getAsString(PdfName.CONTENTS);

        
        List<String> signatureNames = acroFields.getSignatureNames();
        if (!signatureNames.isEmpty()) {
            for (String name : signatureNames) {
//                if (acroFields.signatureCoversWholeDocument(name)) {
                    PdfPKCS7 pkcs7 = acroFields.verifySignature(name);
                    valid = pkcs7.verify();
                    String reason = pkcs7.getReason();
                    Calendar signedAt = pkcs7.getSignDate();
                    X509Certificate signingCertificate = pkcs7.getSigningCertificate();
                    Principal issuerDN = signingCertificate.getIssuerDN();
                    Principal subjectDN = signingCertificate.getSubjectDN();
                    System.out.println("valid = "+valid);
                    //System.out.println("date = "+signedAt.getTime());
                    ////System.out.println("reason = "+reason);
                    //System.out.println("issuer = "+issuerDN);
                    //System.out.println("subject = "+subjectDN);
                    System.out.println("CRL : " + pkcs7.getCRLs());
                    break;
                }
           // }
        }
        return valid;
    }

    public static void main(String[] args) throws Exception {

        BouncyCastleProvider provider = new BouncyCastleProvider();
        Security.addProvider(provider);
        
        InputStream is = new FileInputStream(new File(pdf_file));
        PdfReader reader = new PdfReader(is);
        
        
        boolean ok = verifySignature(reader);
        System.out.println("Ver : "+ ok);
    }
}
4

1 回答 1

0

最初,我想简单地指出LtvVerifieriText 5 和 iText 7 提供的类。但是,使用该类进行测试,结果证明它不适用于当前的 PAdES BASELINE 配置文件,而是为较旧的 PAdES-LTV 配置文件设计的(参见 ETSI TS 102 778-4 第 4 节“PAdES-LTV 配置文件”)。

但是,如果我正确理解您的问题,您已经知道如何评估 CRL 和 OCSP 响应。因此,如果您学会了如何从 DSS 字典中提取吊销信息就足够了。

您的示例代码显然使用了 iText 5.x,所以我使用了当前的 iText 5.5.14-SNAPSHOT。稍旧的版本也应该可以使用相同的代码。

PdfReader pdfReader = new PdfReader(...);

PdfDictionary dss = pdfReader.getCatalog().getAsDict(PdfName.DSS);
if (dss == null)
    System.out.println("No DSS in PDF");
else {
    PdfArray crlarray = dss.getAsArray(PdfName.CRLS);
    if (crlarray == null || crlarray.size() == 0)
        System.out.println("No CRLs in DSS");
    else {
        System.out.println("CRLs:");
        CertificateFactory cf = CertificateFactory.getInstance("X.509");
        for (int i = 0; i < crlarray.size(); i++) {
            PRStream stream = (PRStream) crlarray.getAsStream(i);
            X509CRL crl = (X509CRL)cf.generateCRL(new ByteArrayInputStream(PdfReader.getStreamBytes(stream)));

            System.out.printf("  '%s' update %s\n", crl.getIssuerX500Principal(), crl.getThisUpdate());
        }
    }

    PdfArray ocsparray = dss.getAsArray(PdfName.OCSPS);
    if (ocsparray == null || ocsparray.size() == 0)
        System.out.println("\nNo OCSP responses in DSS");
    else {
        System.out.println("\nOCSP Responses:");
        for (int i = 0; i < ocsparray.size(); i++) {
            PRStream stream = (PRStream) ocsparray.getAsStream(i);
            OCSPResp ocspResponse = new OCSPResp(PdfReader.getStreamBytes(stream));
            if (ocspResponse.getStatus() == 0) {
                try {
                    BasicOCSPResp basicOCSPResp = (BasicOCSPResp) ocspResponse.getResponseObject();
                    System.out.printf("  '%s' update %s\n", basicOCSPResp.getResponderId(), basicOCSPResp.getProducedAt());
                } catch (OCSPException e) {
                    throw new GeneralSecurityException(e);
                }
            }
        }
    }
}

验证Ltv测试testExtractRevocationInformationCURRENT_SIGNATURE

System.out当然,您可以收集 CRL 和 OCSP 响应并像以前一样处理它们,而不是向您打印信息。

此外,您当然可以检查从PdfPKCS7对象检索的撤销数据和来自 DSS 的数据。Adobe Acrobat 在验证过程中也会使用这两者。

于 2022-02-14T11:27:25.103 回答