『PDFサイン』はPDF電子署名の付与、署名の検証を行うための署名専用のユーティリティソフトです。本製品のみで署名、検証を簡単に行うことができます。
PDFに電子署名を付与するメリット
- PDFの見積書の作成などPDFファイルに署名してPDFファイルの改ざん防止。
- 信頼できる各種機関(CA)から入手した証明書と、タイムスタンプサービスを利用すれば、いつ・だれが・どこで作成したPDFファイルであるか保証ができ、信頼性が高まります。
署名フィールドの作成
署名の付与
| 本製品の用語 | Acrobatの用語 | ISO 32000-1の用語 |
|---|---|---|
| 普通署名 | 承認用署名 | Approval Signature |
| MDP 署名(証明) | 証明用署名 | Certification Signature |
MDP署名(証明)は、PDFに最大1個のみ付加できます。従って、MDP署名(証明)はPDFに付ける最初の署名でなければなりません。
また、MDP署名(証明)は、署名後に変更可能な内容を次の3段階のいずれかの制限ができます。
- 変更を許可しない
- フォームフィールドの入力と署名フィールドに署名
- 注釈の作成、フォームフィールドの入力と署名フィールドに署名
MDP署名(証明書)では、法的内容証明を行うことが推奨されていますが、本製品では法的内容証明は対応できません。
電子証明書の種類
電子証明書には、対応する秘密鍵を持つ証明書と、対応する秘密鍵をもたない証明書があります。対応する秘密鍵を持つ証明書を個人の証明書と表記し、また、対応する秘密鍵をもたない証明書を他人の証明書と表記することもあります。
電子署名には、対応する秘密鍵を持つ証明書が必要です。対応する秘密鍵を持たない他人の証明書ではPDF電子署名はできません。
電子証明書は通常は認証局が発行したものを使います。必ずしも、認証局が発行したものでなくても署名はできます。本製品には、「自己署名証明書と対応する秘密鍵」を作成する機能があります。この自己署名証明書と認証局の証明書との違いは、信頼できる証明書発行機関である認証局が、証明書発行時に保有者の認証を行なっているかどうかです。
対応する秘密鍵を持つ証明書は、一般的には秘密鍵と一体にしたPFX、または、PKCS#12形式のファイルとして受け渡されます。
Microsoft Windowsでは、PFX/PKCS#12ファイルはWindows証明書ストアにインポートして使います。本製品ではWindows証明書ストアに保存されている証明書を指定して使用します。
本製品の電子署名機能
本製品の電子署名では、ハッシュアルゴリズムはSHA-1、SHA-2です。公開鍵暗号アルゴリズムはRSA方式(鍵長は1024か2048ビット)をサポートしています。これらのアルゴリズムは、オープンソースOpenSSL 0.9.8を改造・利用しています。OpenSSLのDLLは、本製品独自名にしていますので、既にインストールされているOpenSSLと干渉することはありません。署名時の検証
「ルート証明書の信頼性を確認」
証明書チェーンの最後になるルート証明書が、Windows証明書ストアの「信頼されたルート証明機関」に入っているかどうかを判定します。自己署名の証明書を使っている場合にはこの設定を外して使うか、自分でWindows証明書ストアの「信頼されたルート証明機関」にその証明書を入れる必要があります。
Windows証明書ストアの「信頼されたルート証明機関」に入れる操作はセキュリティ上重大な事なので自動的にセットするような操作は行いません。証明書ファイルをエクスプローラで選択し、右クリックメニューから「証明書のインストール」を選択します。その際に証明書ストアを「信頼されたルート証明機関」に指定してインポートします。
「失効リスト(CRL)とOCSPによる失効検証を行う」
署名時にCRLまたはOCSPにより署名用の証明書の失効確認を行ないます。CRLとOCSPのどちらの失効確認を行なうかは次のように自動的に決定します。
- 証明書がCRLまたはOCSPのどちらか一方の失効確認のみサポートしているときは、そのサポートする方法で失効確認を行ないます。
- 証明書が、CRLとOCSPの両方をサポートしているとき、
- OCSPレスポンダに問合せてレスポンスがあれば確認して終了します。
- OCSPレスポンダから応答が無ければCRLを取得して確認します。
「失効リスト(CRL)キャッシュを利用する」
@既に取得済み(キャッシュに残っている)で、A前回取得時より6時間以内であり、かつ、B CRLの有効期限前であれば、サーバに取得に行かずにキャッシュファイルを利用します。
「失効リスト(CRL)検証にLDAPを利用しない(HTTPのみ利用)」
CRLの検証にLDAPを利用せずに検証を行います。
「失効リスト(CRL)キャッシュをクリアする」
失効リストのキャッシュをクリアします。
検証
付与されている署名を検証します。検証結果は、署名パネルに表示されます。
検証はファイル読み込み時に自動的に検証されます。
[検証設定]を変更して再度検証する事もできます。
[検証設定]は、「ルート証明書の信頼性を確認するか」、「失効リスト(CRL)とOCSPによる失効検証を行う」、「失効リスト(CRL)のキャッシュを利用する」、「失効リスト(CRL)検証にLDAPを利用しない(HTTPのみ利用)」は署名時の証明書検証と同じです。以下は、検証時のみの設定です。
「署名日時(タイムスタンプ等)で証明書を検証する」
署名証明書は署名時点では単にその時に有効であれば良いのですが、署名データ検証時には、署名をした時点でその署名証明書が有効であれば良いことになります。署名時間はタイムスタンプがあればタイムスタンプの時間を、タイムスタンプが無ければPDFの署名辞書に記録されている署名日時を利用します。
「署名日時(タイムスタンプ等)で証明書を検証する」
この設定を行わなければ現在の時刻で署名証明書が有効かどうかのチェックをします。
商用タイムスタンプ対応
タイムスタンプの取得
| 運営会社 | タイムスタンプサービス | Webページ |
|---|---|---|
| 株式会社PFU | PFUタイムスタンプ | http://www.pfu.fujitsu.com/tsa/ |
| アマノタイムビジネス株式会社 | アマノタイムサービス3161 | http://www.e-timing.ne.jp/ |
| セイコープレシジョン株式会社 | サイバータイム | http://www.seiko-cybertime.jp/ |
タイムスタンプの検証
本製品で付加した商用タイムスタンプは、Acrobat 8/9/x、Adobe Reader 8/9/xで検証することができます。
本製品で付加した商用タイムスタンプを、Acrobat 7/Adobe Reader 7以前のバージョンで検証するための条件は次の通りです。
- PFUタイムスタンプは、PFUが配布しているAdobe Readerのプラグインが必要です。
- アマノタイムサービス3161タイムスタンプは、Acrobat 7/Adobe Reader7以前では検証できません。
- セイコーサイバータイムのタイムスタンプは、Acrobat 7/Adobe Reader7以前では検証できません。
動作環境
| 対応OS |
Windows 7/SP1 (32ビット/64ビット) 日本語版 Windows Vista/SP1/SP2 (32ビット/64ビット*) 日本語版 ※64ビット版はSP1以降が必要 Windows XP Professional SP3(32ビット/64ビット*) 日本語版 ※64ビット版はSP2 Windows XP Home Edition SP3 日本語版 |
| ランタイムモジュール |
以下のランタイムライブラリが必要です。(環境にインストールされていない場合は、インストール時にインストールされます。) Microsoft Visual C++ 2005 SP1 再頒布可能パッケージ Microsoft .NET Framework 2.0 ランタイム また、本製品では、XML形式の設定ファイルを読み書きするためにMSXMLを使用します。 MSXMLはInternet Explorer (IE) 6または7をインストールすればIEとともにWindowsにインストールされます。 |
| CPU | Intel Pentium III 以上、またはこれと100%の互換性を持つプロセッサ (Pentium III 1.0GHz以上を推奨) |
| 必要メモリ | 上記OSが推奨するメモリ以上(これに加えて512MB以上を推奨) |
| ハードディスク | 本製品のインストールに必要な90MB以上の空き容量 |
| ディスプレイ | SVGA(800×600ドット)以上の解像度で、High Color(16bit)以上が表示可能なカラーディスプレイ |
制限事項
本製品は、PDFの署名・検証を行うためのシンプルなユーティリティ・ソフトです。以下の機能は本製品には用意されておりません。
- PDFを生成する機能
- PDFを印刷する機能
- PDFを編集する機能
