从签名PDF中提取PKCS1

时间:2016-07-28 04:55:53

标签: java pdf itext digital-signature

我必须从PDF签名文档中提取签名字段以创建打印的签名版本。到目前为止,我已经能够使用此iText代码恢复签名者证书,原因,签署日期和其他字段:

PdfReader reader = new PdfReader(signedPdf);
AcroFields af = reader.getAcroFields();
ArrayList<String> names = af.getSignatureNames();

SimpleDateFormat sdf = new SimpleDateFormat(
                    "dd/MM/yyyy 'a las' HH:mm:ss");

for (int i = 0; i < names.size(); ++i) {

    StringBuilder sb = new StringBuilder();
    String name = names.get(i);
    PdfPKCS7 pk = af.verifySignature(name);

    String firmante = CertificateInfo.getSubjectFields(
            pk.getSigningCertificate()).getField("CN");
    sb.append("Nombre del firmante: " + firmante + "\n");

    Date signDate = pk.getSignDate().getTime();
    String sdate = sdf.format(signDate);
    sb.append("Fecha y hora de la firma: " + sdate + "\n");


    String razon = pk.getReason();
    sb.append("proposito: " + razon + "\n");
}

据我所知,PDF签名是使用iText PdfPkcs7类使用setExternalDigest方法创建的,用于添加在外部应用程序中创建的PKCS1字节数组。该文件看起来由外部工具正确签名和验证。 

// Create the signature
PdfPKCS7 sgn = new PdfPKCS7(null, chain, "SHA1", "BC", null, false);

//pkcs1Bytes is a byte array with the signed document hash
sgn.setExternalDigest(pkcs1Bytes, null, "RSA");

但是,印刷版的必填字段之一是&#34;签名数字印章&#34;这是一个基于64字符串的签名文档哈希或PKCS1。

可以从签名的PDF文档中提取PKCS1字节吗?

已编辑:我忘记提及当我在验证签名后使用PdfPKCS7.getEncodedPKCS1()方法时,它会抛出ExceptionConverter: java.security.SignatureException: object not initialized for signing

2 个答案:

答案 0 :(得分:2)

我查看了code,似乎课程PdfPKCS7不允许访问摘要。但是,内容存储在私人成员PdfPKCS7.digest中。因此,使用反射将允许您提取它。 我找到了一个类似的例子herehere(基本相同)

PdfPKCS7 pdfPkcs7 = acroFields.verifySignature(name);
pdfPkcs7.verify();

Field digestField = PdfPKCS7.class.getDeclaredField("digest");
digestField.setAccessible(true);
byte[] digest = (byte[]) digestField.get(pdfPkcs7);

我认为您需要的变量是digest,因为在执行签名时getEncodedPKCS1分配了值

 public byte[] getEncodedPKCS1() {
   try {
        if (externalDigest != null)
            digest = externalDigest;
        else
            digest = sig.sign();

     //skipped content

并以verify()

的方式在verifyResult = sig.verify(digest);中使用

请注意digest是私有变量,因此名称或内容可能取决于版本。查看您特定版本的代码。

答案 1 :(得分:2)

考虑到您的代码我假设您使用的是5.x iText版本,而不是7.x.

您可以使用反射(参见this older answer或pedrofb的答案)或者您可以使用iText简单地提取CMS签名容器,然后使用BouncyCastle分析该容器;如果你使用iText的签名相关功能,那么BC的版本通常已经存在。

正如OP已经观察到的那样, PdfPKCS7.getEncodedPKCS7()失败并出现“ExceptionConverter:java.security.SignatureException:object for initialized for signing”。原因是此方法用于检索PdfPKCS7实例的签名容器新构建

要使用iText提取CMS签名容器,您可以改为使用此代码:

AcroFields fields = reader.getAcroFields();
PdfDictionary sigDict = fields.getSignatureDictionary(name); 
PdfString contents = sigDict.getAsString(PdfName.CONTENTS);
byte[] contentBytes = contents.getOriginalBytes();

contentBytes现在包含已编码的CMS容器(加上一些尾随字节,通常为空字节,因为内容值通常大于签名容器所需的值)。

使用BouncyCastle分析此容器并不困难,但细节可能取决于您使用的确切BouncyCastle版本。

相关问题
最新问题