PAdES签名属性signingTime被禁止

Question

我创建了一个PDF PAdES签名，并添加了一个本地计算机时间戳ANS1 1/CMS属性signingTime。这是可行的，但ETSI在线验证器 (注册所需的)无效，我知道ETSI标准(第19页，表1)定义了不允许使用signingTime。

1. 为什么signingTime这么坏？我确实想要签名时间(签名属性)的签名时间戳，所以
2. 我可以用什么代替(并符合标准)呢？content-time-stamp (签名)和signature-time-stamp (无符号)似乎有不同的含义。

我不想使用TSP (密码计时器)。

Answer 1

signing-time在CMS中是可选的，但不应该在PAdES中使用。它应该包含在PDF文档的签名字典中的特定条目M中。

请参阅测试PAdES签名的ETSI规范第4.2节测试CMS的数字签名。

#PAdES/CMS/1 这是PDF中最简单的CMS数字签名，具有最低的要求和签名字典条目M(签名时间).

请注意，签名时间是从签名者的设备中获得的签名日期和时间的参考，不能被认为是可靠的时间来源。

content-time-stamp和signature-time-stamp都是RFC3161时间戳标记。但是，content-time-stamp是在数据被签名之前计算出来的，签名之后的signature-time-stamp 是生成的，是一个无符号属性。包括signature-time-stamp在内的签名是PAdES签名。

见CAdES ETSI规范

• content-time-stamp属性是签名数据内容之前的时间戳令牌，并作为签名的一部分包括在内。
• signature-time-stamp属性是根据特定签名者的签名值计算的TimeStampToken；它是一个无符号属性。