PDFやPDF署名については全く素人なんですが、ちょっとずつ勉強しながらPAdES(PDF長期署名)を何回かに分けて紹介してみたいと思います。(^^;

PAdESとは



【PAdESとは】
PDF署名の拡張です。署名をする人の情報を後で書き換えられないように詳しく記述でき、数十年といった長い期間、元の文書が書き換えられていないことを保証できます。


PDFファイルは、標準でデジタル署名をつけることができます。デジタルタイムスタンプもつけることができます。

・誰がいつ署名したか
・どんな目的で署名したか
・署名した場所、連絡先情報
・デジタル署名されて以降、(署名された部分の)文章が変更されていない事の証明

欧州ではデジタル署名が手書きの署名と同じぐらい(法的に)信用できるようにするには「デジタル署名が適格電子署名(Qualified Electronic Signature)でなければならない」としています。デジタル署名が適格電子署名であるための条件は次の3つとなっています。

(1)本人性を厳密に確認する適格証明書(Qualified Certificate)を用いて署名すること。
(2)署名者が特定できる高度電子署名(Advanced Electronic Signature)を用いること。
(3)スマートカード、(ハード/ソフト)トークンなどセキュアな署名デバイスを用いること。

上記(2)の署名者本人が本当に行ったと特定できるようにするためには

(2-1)証明書が失効していた場合、署名が失効の前に行われたか後ろかを判断できる。
(2-2)もし証明書の有効期間後も検証できる必要がある場合
 (2-2-1)証明書の有効期間後も、証明書が有効な時刻に署名が行われた事を判断できる。
 (2-2-2)将来、コンピュータの処理能力や解析技術が向上して暗号アルゴリズムが
     破られたとしても、当時署名が有効であったかどうかを判断できる。
(2-3)署名に用いた証明書や認証パス、失効情報が不正に置き換えられてないか判断できる。
(2-4)本人を特定するために必要な属性情報
   (署名者の所属,職位,資格,署名場所,署名目的など)

ETSI TC ESI(欧州通信規格協会 電子署名基盤技術委員会)は、欧州電子署名指令に対応できるよう、従来型のCMS(PKCS#7)、XML署名に対して以下のような拡張を行い、これを標準としました。これが、CAdESXAdESと呼ばれる長期署名フォーマットです。
・署名者や署名そのものの追加情報
・デジタルタイムスタンプ等の技術を用い証明書の期限切れ、
 暗号アルゴリズムの危殆化に対して署名を長期的に保護する。

PDF署名においても同様の拡張ができるようにAdobeのPDF署名の専門家がETSI TC ESIに加わって共同で策定したのがPAdES(PDF長期署名フォーマット ETSI TS 102 778-1〜5)です。

次回はPDF署名の仕組みについて紹介できたらと思っています。

ではでは。