Was bedeutet "Nicht die LTV-aktiviert" bedeutet?

Ich bin mit iText 5.5.3 signieren und Zeitstempel PDF-Dokumente. Es funktioniert sehr gut. Aber ich habe vor kurzem umgestellt von Acrobat Pro X auf XI und nun sehe ich diese neue Zeile ein :

the signature is not LTV enabled and will expire after <date>

Ich denke, das mich warnt, dass nach diesem Datum der Unterzeichner die Signatur wird als ungültig betrachtet, richtig ? Aber die Signatur-Eigenschaften sagt mir :

the signature includes an embedded timestamp : <date/time>
signature was validated as of the secure timestamp time : <same date/time>

Nun bin ich ein wenig verwirrt : seit der Unterzeichnung erklärt wurde, gilt bei einer bekannten und zertifizierten Datum, warum sollte es unwirksam in der Zukunft ?

  • kannst du eine Beispiel-Datei? Haben Sie änderungen an den Sicherheitseinstellungen? (Adobe eingeführt wurde dieser Begriff LTV aktiviert werden, ohne richtig zu definieren es, so ist es ein bisschen schwer zu sagen, auf eine solche Frage im Allgemeinen.)
  • Sicher, hier ist ein Beispiel-PDF 🙂
  • Hhmmm, mein Französisch ist seeeehr eingerostet... aber schließlich habe ich etwas heruntergeladen. 😉
  • Ich verwende Adobe Reader version XI 11.0.09, und es beschwert sich nicht. Zum ersten mal hatte ich explizit hinzufügen des root-Zertifikats in den trust-Anker, obwohl
  • Ich verwende Adobe Acrobat Pro XI 11.0.06 hier. Dies ist, was es sagt mir : screenshot Über das root-Zertifikat, du hast Recht, da StartCom ist nicht Mitglied der AATL. Die einzige Veränderung, die security-Einstellungen, die ich gemacht ist das Vertrauen in den Windows certificate store zu Adobe erkennt das root-Zertifikat.
  • Ah, ok, irgendwie habe ich übersehen, dass. Ok, einen ersten walk-through-zeigt an, dass Adobe Reader findet die Widerrufsbelehrung für cn=StartCom Class 1 Primary Intermediate Server CA, ou=Secure Digital Certificate Signing, o=StartCom Ltd., c=IL. Ich werde versuchen, einige mehr.
  • Oh ja, das war das problem! Meine p12-keystore enthalten ist die single-server-Zertifikat und nicht die gesamte Kette... Nur durch das hinzufügen der fehlenden certs, bekomme ich jetzt eine LTV-fähige PDF-Dokument! Watch this Danke 🙂

InformationsquelleAutor Silas | 2014-09-28
  1. 20

    LTV (Long Term Validation) und PDF-Signaturen

    Der Begriff LTV-aktiviert

    4 Profil PAdES-LTV

    4.1 Übersicht

    Validierung einer elektronischen Signatur erfordert, Daten überprüfen Sie die Signatur wie CA-Zertifikate, Certificate Revocation List (CRLs) oder Certificate status information (OCSP) allgemein zur Verfügung gestellt, die von einem online-Dienst (bezeichnet im vorliegenden Dokument-wie die Validierung von Daten). Wenn das Dokument gespeichert ist, und die Signaturen werden überprüfbare lang nach dem ersten erstellt, insbesondere nach der Unterzeichnung Zertifikat abgelaufen ist, wird die ursprüngliche Validierung der Daten möglicherweise nicht mehr verfügbar oder es besteht Unsicherheit, was die Validierung der Daten verwendet wurde, als das Dokument wurde zuerst überprüft.

    Dieses Profil benutzt eine Erweiterung von ISO 32000-1 [...] das tragen solcher Validierung der Daten als notwendig zur Validierung einer Signatur.

    (ETSI TS 102 778-4)

    Basierend auf dieser Erweiterung der PDF-Spezifikation ISO 32000-1 Adobe erstellt, der Begriff LTV-aktiviert in Acrobat /Reader XI. Nach Leonard Rosenthol, Adobe PDF-evangelist:

    Unserer Kunden baten uns, die wir eindeutig identifizieren, ein PDF-Dokument enthaltenen LTV (vs. eine, die das nicht Taten). Das war der Begriff, den wir festgestellt, war einfach und klar vermitteln, dass Nachricht.

    Leider einfachen und klaren Begriff ist nicht wirklich gut definiert.

    Anfang 2013, wenige Monate nach Acrobat XI veröffentlicht wurde, begannen die Menschen Fragen, warum Ihre Unterschriften (die in Acrobat X sah toll aus, ohne jede Einschränkung) plötzlich kritisiert wurden als LTV nicht aktiviert und bald abläuft. Zu dieser Zeit Leonard zeichnet sich "LTV-enabled", signierte PDFs auf der iText-mailing-Liste:

    LTV aktiviert bedeutet, dass alle notwendigen Informationen, um die Datei zu validieren (minus root-CERT) ist enthaltenen.

    Anderen Adobe-Mitarbeiter, Steven.Madwin, unverblümt formuliert es so

    Beim öffnen der Datei wird Acrobat (und wenn ich sage, Acrobat-ich meine, Acrobat & Reader) funktioniert die überprüfung der Signatur. Als Teil des Validierungsprozesses es zahlen, wenn Sie gehen, online-download Widerruf-Informationen, oder, ist alle Sperrinformationen eingebettet in der PDF-Datei. An dieser Stelle ist es weiß, was es zu sagen in der Signatur Navigations-Panel. Wenn er die Daten laden, dann die Unterschrift ist nicht die LTV aktiviert, aber wenn alle des Widerrufs Sicherheiten ist in der Datei dann die Signatur LTV aktiviert.

    Also auf der einen Seite haben wir eine einfachen und klaren Begriff LTV-aktiviert machen den Eindruck, dass es ein klares on/off-Sache, und auf der anderen Seite die Bedeutung des Begriffs hängt von der (geschlossenen) überprüfung der Signatur-algorithmen in der Adobe Acrobat und Adobe Reader.

    Sogar noch schlimmer, das Verhalten dieser algorithmen hängt von der lokalen Konfiguration des Acrobat /Reader! Für jede gültige PDF-Signatur mit Adobe Acrobat und Reader kann so konfiguriert werden, dass es als LTV-aktiviert, indem Sie einfach die unmittelbare signer-Zertifikate der vertrauenswürdigen Zertifikate für die Signatur geben in die Hände, und Analog Umgekehrt.

    LTV-Aktivierung einer Signatur

    Unter Berücksichtigung der oben sagte, kann man nie sicher sein, ob ein PDF-Dokument zeigt LTV-aktiviert auf Ihrer Acrobat - /Reader zeigt auch LTV-aktiviert auf die nächste person ist Acrobat /Reader.

    Dass gesagt worden ist, können Sie zumindest tun Sie Ihr bestes, um alle die Widerrufsbelehrung erforderlichen Informationen von einem Umweltgutachter. Dies beinhaltet

    • bietet alle erforderlichen Zertifikate erstellen Zertifikat Pfade von jedem Zertifikat an die von canonical vertrauenswürdiger root-Zertifikate;
    • die Bereitstellung von Sperrinformationen (CRLs /OCSP-Antworten) für alle diese Zertifikate mit der offensichtlichen Ausnahme des root-Zertifikate;

    für ALLE Signaturen beteiligten... und alle Unterschriften zählen die Unterschriften Unterzeichnung der einzelnen CRLs, OCSP-responses und Zeitstempeln! Dann fügen Sie einen Zeitstempel und hinzufügen von Zertifikaten und Sperrinformationen im Zusammenhang mit der Zeit-Stempel.

    Als Leonard Bemerkungen dies in der Regel erfordert die Verwendung von PAdES Teil 4-Erweiterungen zu ISO 32000-1, die Document Security Store (DSS):

    LTV kann aktiviert werden, wenn alle Sicherheiten sind eingebettet in die Signaturen und nicht DSS [...]. In diesem Fall kann es keine DSS. Dies ist jedoch sehr ungewöhnlich, denn die Signaturen über CRLs und OCSPs nicht enthalten eingebettete rev info was ist Adobe extension. Doch, das ist eine entfernte Möglichkeit.

    LTV-aktiviert vs. PDF 1.4

    In einem Kommentar die folgende Frage entstanden

    Ist es jedoch möglich, fügen Sie ein DSS in einem PDF-v1.4

    Sie können hinzufügen, DSS Einträge zu PDF v1.4 document. Ein PDF 1.4 ist auch ein PDF 1.7 nach ISO 32000-1, und die DSS ist eine Erweiterung zu ISO 32000-1.

    Ja, aber ich nehme an, Sie wirklich wollen, zu wissen,, ob das Ergebnis immer noch PDF 1.4.

    Die Antwort auf diese ist ein bisschen vage, weil als PDF-1.4 ist nicht wirklich gut definiert: Als Leonard einmal legte es:

    PDF-Referenzen nicht "normativ" in der Natur - Sie nicht (in der Regel) eine abschließende, definitive Aussagen - gerade Art von Allgemeinen lieben.

    So, es gibt nichts "normative" in der Natur angeben was für ein PDF 1.4 überhaupt ist.

    Diese nicht halten die ISO das PDF-Referenz 1.4 als normative Basis für PDF/A-1 Spezifikation, obwohl, so lassen Sie uns streiten, entlang der Linien, die PDF-Referenz sowieso. 😉

    Den PDF Reference, third edition-Adobe Portable Document Format Version 1.4, sagt Sie in Anhang E:

    Einen PDF-Erzeuger oder Acrobat-plug-in-Erweiterung kann auch add-Tasten, um jedes PDF-Objekt implementiert ist als ein Wörterbuch, außer der Datei-trailer-dictionary (siehe Abschnitt 3.4.4, "Datei-Anhänger").

    Damit, die Ergänzungen zu den bestehenden Wörterbüchern erforderlich für das hinzufügen eines DSS sollte kein problem sein, noch sollten die zusätzlichen indirekten Objekte werden, wie Sie es tun, entsprechen Abschnitt 3 Syntax der PDF-Referenz.

    Streiten entlang dieser Linie, daher ist ein PDF-v1.4 mit dem Zusatz von ein DSS kann immer noch ein PDF 1.4.

    Offensichtlich, obwohl, software nur Verständnis PDF 1.4

    • nicht, ohne weitere Umschweife, stellen Sie die Verwendung des DSS-Informationen aber
    • berücksichtigen kann, die Zugabe von DSS eine Veränderung des signierten Dokuments resultieren in der Prüfung Warnungen oder Fehler.

    Bezug auf den letzten Artikel, würde ich davon ausgehen, dass, konfrontiert mit einem PDF-1.4-plus-DSS, z.B. Adobe Reader ab version 5 bis 7 informieren über die änderungen nach der Anmeldung, Adobe Reader, version 8 und 9 sogar überlegen, die Signatur gebrochen, ist durch die Veränderungen und Adobe Reader X und XI übernehmen die neben-und nutzen es gerne.

    • Sehr interessant. Aber ist es möglich, fügen Sie ein DSS in einem PDF-v1.4 ? Übrigens, ich glaube du meintest LTV-aktiviert und nicht PDF-enabled im zweiten Teil von deinem post 🙂
    • ich denke, Sie meinte LTV-fähigen und nicht-PDF-aktiviert, die im zweiten Abschnitt von deinem post - natürlich hast du Recht; ich behoben.
    • Wow, das ist eine sehr informative Antwort ! Ich war verwirrt, PDF v1.4, da dieser Satz in der B. Lowalgie white paper auf Seite 136: Starting with PDF 2.0 (ISO-32000-2), we can solve these issues by introducing a Document Security Store (DSS) and a Document-level Timestamp. Gut, ich werde versuchen jetzt zu verstehen, wie Sie ein DSS-Abschnitt in eine PDF mit iText 🙂
    • Finden Sie einen Ansatz zum "LTV aktivieren" eine Signatur mit iText in dieser Antwort.
    • Meine AdES-tools hinzufügen können DSS Abschnitte -> github.com/WindowsNT/AdES
    • AdES-tools hinzufügen können DSS Abschnitte -> github.com/WindowsNT/AdES" ich hatte einen kurzen Blick über Ihre PAdES-codeproject-Seite (noch nicht auf den code selbst); es gibt eine Reihe von Fehlern in Ihren Beschreibungen. Sie sollten vergleichen, was Sie schreiben, um die Spezifikation.
    • Eigentlich ist der CP Artikel ist keine vollständige Beschreibung des PDF, weil ich wollte, um den Fokus auf PAdES; Aber das toolset funktioniert.

    InformationsquelleAutor mkl
Schreibe einen Kommentar