iText: какие типы сертификатов люди используют для автоматизации подписи PDF в Linux?

У меня есть небольшое приложение (‹500 PDF-файлов в год) для автоматической цифровой подписи PDF-файлов с помощью iText в Java на Linux.

У меня есть iText, добавляющий цифровую подпись к PDF-файлам, используя мой сертификат SSL. Это действительный метод подтверждения того, что PDF-файл был создан моим доменом (например, сервером)? Можно ли его как-то использовать, чтобы получить зеленые галочки, показывающие "доверие" в Adobe Reader?

В противном случае я должен использовать сертификат, предназначенный для PDF-файлов (например, не мой сертификат SSL), чтобы маленькие зеленые галочки, обозначающие «доверие», появлялись естественным образом, когда пользователь открывает PDF-документ.

Книга http://itextpdf.com/book/digitalsignatures отлично знакомит меня с этой темой ( У меня очень мало опыта в этой сфере).

В книге говорится об устройстве SafeNet Luna (HSM), но оно слишком дорогое. Мне нужно только минимальное решение, а у Luna много наворотов. Устройство Luna PCIe меньше дорого, но мне не нужны никакие функции, кроме предоставления сертификата, который я могу использовать для подписи. Кроме того, устройство SafeNet iKey на основе USB кажется только продается на устройства Windows. У кого-нибудь есть iKey, работающий с линуксом? Это вообще возможно? Предлагают ли другие компании устройства на базе USB, которые работают под Linux?

Я ищу минимальное решение для обслуживания автоматизированных PDF-файлов с цифровой подписью на Linux. Я уверен, что у многих малых предприятий есть аналогичные потребности. Я просто пытаюсь использовать существующие знания. Как люди решают эту проблему?

Решения, которые я вижу для автоматизации этого процесса, предполагают, что крупные корпорации используют Adobe Live Cycle, и имеют соответствующую цену (см., Например: https://www.globalsign.com/pdf-signing/compare-pdf-signing.html). Но малому бизнесу тоже нужно автоматизировать.

В идеале кто-то продавал бы сертификат, аналогичный сертификатам SSL, но для файлов PDF. Что-то подобное существует?

Является ли оборудование (в каком-то смысле) требованием (кажется, так)? Если требуется оборудование, существуют ли какие-либо минимальные решения (например, с ограниченной функциональностью, кроме включения цифровой подписи)?

Надеюсь, что кто-нибудь поможет мне увидеть лес из-за деревьев. Что такое расхожее мнение?


pdf certificate itext hsm
person ggkmath    schedule 02.07.2013    source источник

Ответы (1)


arrow_upward
3
arrow_downward

Что касается подписи с вашим сертификатом SSL: в будущей версии iText мы требуем, чтобы использование ключа сертификата указывало на то, что сертификат может использоваться для предотвращения отказа от авторства. На данный момент мы возлагаем ответственность за проверку использования ключа на разработчика, но в идеальном мире вы должны подписывать только сертификаты, подходящие для предотвращения отказа от авторства, а ваш сертификат SSL, вероятно, не позволяет этого.

Что касается зеленой галочки: если вы не можете попросить потребителей ваших PDF-файлов добавить корневой сертификат вашего сертификата в список доверенных удостоверений, вам всегда понадобится открытый / закрытый ключ, хранящийся на оборудовании, чтобы получить зеленую галочку.

По поводу цены на HSM / USB-ключ. USB-ключи намного дешевле, но обычно они предназначены для ручного использования (обычно они имеют ограничение на подпись только раз в секунду). Я думаю, что у GlobalSign есть набор ключей, которые работают в Linux. Что касается HSM, один из наших клиентов сказал нам, что он купил один в Utimaco, потому что он был менее дорогим (но я не знаю, какой бюджет он имел или потратил).

Информации о ценах нет, но, возможно, стоит почитать для вдохновения: http://www.opendnssec.org/wp-content/uploads/2011/01/A-Review-of-Hardware-Security-Modules-Fall-2010.pdf

person Bruno Lowagie    schedule 03.07.2013
comment
Большое спасибо, Бруно, за ваш анализ. Это очень помогает понять варианты. Теперь я знаю, что мне нужно заняться аппаратными решениями. Хостинг-провайдер для моих выделенных серверов не поддерживает добавление оборудования к своим серверам, что усложняет ситуацию. - person ggkmath; 03.07.2013
comment
@ggkmath Должен ли сертификат указывать на ваш домен, или вы можете указать в документе, который ваша компания создала и управляет этим документом, даже если его подписала третья сторона? - person StartupGuy; 07.12.2014