向PDF添加时间戳会破坏文件

时间:2017-08-25 20:46:21

标签: java pdf timestamp itext bouncycastle

我正在尝试使用TSA服务器为PDF文件添加时间戳,但在添加时间戳后,Adobe Reader表示文档自签名后已被更改或损坏。

测试代码:

@SpringBootApplication
public class TestTimestampApplication implements CommandLineRunner {

public static void main(String[] args) {
    SpringApplication.run(TestTimestampApplication.class, args);
}

@Override
public void run(String... arg0) throws Exception {
    TSAClient tsa = new TSAClientBouncyCastle("http://tsa.buenosaires.gob.ar/TSS/HttpTspServer");

    try (OutputStream os = new FileOutputStream("I:/output.pdf")) {
        PdfReader reader = new PdfReader("I:/input.pdf");
        PdfStamper stamper = PdfStamper.createSignature(reader, os, '\0', null, true);

        PdfSignatureAppearance sap = stamper.getSignatureAppearance();
        LtvTimestamp.timestamp(sap, tsa, "Atenea");
    }
}

}

我正在使用这些框架来执行时间戳:

    <dependency>
        <groupId>com.itextpdf</groupId>
        <artifactId>itextpdf</artifactId>
        <version>5.5.12</version>
    </dependency>
    <dependency>
        <groupId>org.bouncycastle</groupId>
        <artifactId>bcprov-jdk15on</artifactId>
        <version>1.58</version>
    </dependency>
    <dependency>
        <groupId>org.bouncycastle</groupId>
        <artifactId>bcpkix-jdk15on</artifactId>
        <version>1.58</version>
    </dependency>

当我打开输出文件时,我得到了这个:

enter image description here

知道问题可能是什么?

输出文件示例:https://drive.google.com/file/d/0B5OSF4ESCy5gRU5xTXQxU2NEMmM/view?usp=sharing

谢谢, 胡利安

1 个答案:

答案 0 :(得分:2)

首先,时间戳的MessageImprint中的TSTInfo包含带时间戳的字节范围的正确哈希值。因此,问题必须是不同的。

扩展密钥用法

TSA证书的扩展密钥用法扩展的ASN.1表示如下所示:

 951   49: . . . . . . . . SEQUENCE {
 953    3: . . . . . . . . . OBJECT IDENTIFIER extKeyUsage (2 5 29 37)
         : . . . . . . . . . . (X.509 extension)
 958   42: . . . . . . . . . OCTET STRING, encapsulates {
 960   40: . . . . . . . . . . SEQUENCE {
 962    8: . . . . . . . . . . . OBJECT IDENTIFIER
         : . . . . . . . . . . . . serverAuth (1 3 6 1 5 5 7 3 1)
         : . . . . . . . . . . . . (PKIX key purpose)
 972    8: . . . . . . . . . . . OBJECT IDENTIFIER
         : . . . . . . . . . . . . codeSigning (1 3 6 1 5 5 7 3 3)
         : . . . . . . . . . . . . (PKIX key purpose)
 982    8: . . . . . . . . . . . OBJECT IDENTIFIER
         : . . . . . . . . . . . . timeStamping (1 3 6 1 5 5 7 3 8)
         : . . . . . . . . . . . . (PKIX key purpose)
 992    8: . . . . . . . . . . . OBJECT IDENTIFIER
         : . . . . . . . . . . . . ocspSigning (1 3 6 1 5 5 7 3 9)
         : . . . . . . . . . . . . (PKIX key purpose)
         : . . . . . . . . . . . }
         : . . . . . . . . . . }
         : . . . . . . . . . }

这尤其意味着证书被标记为用于服务器身份验证,代码签名,时间戳和OCSP签名。此外,扩展名没有标记为关键。

另一方面,RFC 3161要求:

  

2.3。鉴定TSA

     

TSA必须使用保留的密钥对每个时间戳消息进行签名      专门为此目的。 TSA可能有不同的私钥,      例如,为了适应不同的政策,不同的算法,      不同的私钥大小或提高性能。该      相应的证书必须只包含一个实例      [RFC2459]部分中定义的扩展密钥用法字段扩展      4.2.1.13 KeyPurposeID具有值:

     

ID-KP-时间戳。这个扩展必须是至关重要的。

RFC 3161 section 2.3

因此,该TSA的证书不得用于生成RFC 3161时间戳,因此使用它生成的所有时间戳都无效。

相关问题
最新问题