我创建了一个PDF PAdES签名,并添加了一个本地计算机时间戳ANS1 / CMS属性signingTime。这有效但ETSI online validator无效(需要注册)
我知道ETSI Standard (page 19 table 1)定义了signingTime是不允许的。
为什么signingTime如此糟糕?我确实需要签名时间的签名时间戳(签名属性),所以
我可以使用什么(并符合标准)? content-time-stamp(已签名)和signature-time-stamp(无符号)似乎有不同的含义。
我不想使用TSP(加密时间服务器)。
答案 0 :(得分:1)
signing-time在CMS中是可选的,但不应在PAdES中使用。它应该包含在PDF文档的签名字典中的特定条目M中
请参阅ETSI specification for testing PAdES signatures部分4.2测试PDF中的CMS数字签名
#的PAdES / CMS / 1
这是PDF中最简单的CMS数字签名,具有最低要求和签名词典条目M(签名时间)。
请注意,签名时间是签名者从签名者设备获取的日期和时间的参考,不能被视为可靠的时间来源。
content-time-stamp和signature-time-stamp都是RFC3161时间戳令牌。但content-time-stamp在数据签名之前计算 ,生成签名后计算signature-time-stamp 并且是无符号属性。包含signature-time-stamp的签名是PAdES-T签名
请参阅CAdES ETSI规范
content-time-stamp属性是签名之前签名数据内容的时间戳标记,并作为签名的一部分包含在内
signature-time-stamp属性是针对特定签名者的签名值计算的TimeStampToken;它是一个未签名的属性。