Tips & Tricks

Como validar uma assinatura digital em um PDF que você recebeu

Um PDF assinado chega de um parceiro de negócios. O painel de assinatura mostra um nome, uma data e um status de validade. Você precisa saber se a assinatura é genuína, se o documento foi modificado desde que foi assinado e se a identidade do signatário é confiável. O leitor de PDF fornece indicadores: uma marca de seleção verde, uma fita azul, um ícone de aviso. Mas estes indicadores podem ser enganadores se não compreendermos o que eles verificam e o que não verificam. Validar uma assinatura digital não é apenas verificar o ícone. É compreender a cadeia de confiança por trás disso.

A validação da assinatura digital envolve três verificações. Integridade do documento: o documento foi modificado desde a assinatura? Identidade do signatário: o certificado pertence à pessoa que afirma ter assinado? Confiança do certificado: o certificado foi emitido por uma autoridade confiável? Todos os três devem passar para que a assinatura seja totalmente válida. Uma marca de seleção verde que confirma a integridade do documento, mas vem de um certificado não confiável, é um aviso, não uma confirmação.

O processo de verificação Sign PDF é uma verificação técnica, não legal. Uma assinatura válida prova matematicamente que uma chave privada específica assinou o documento e que o documento não foi alterado. Não prova que a pessoa nomeada no certificado realmente controlava essa chave ou pretendia assinar.

How to Validate a Digital Signature in a PDF You Received

Verificando a integridade do documento

Abra o PDF assinado em um leitor compatível com verificação de assinatura. O painel de assinatura mostra o status de validade. Uma assinatura válida significa que o conteúdo do documento não foi modificado desde que a assinatura foi aplicada. Uma assinatura inválida significa que o documento foi alterado após a assinatura. A mudança pode ser tão pequena quanto adicionar um comentário ou preencher um campo de formulário, ou tão grande quanto alterar os termos do contrato. Qualquer alteração invalida a assinatura. Se a assinatura for inválida, não confie no documento sem entender o que mudou e se o signatário aprovou a mudança.

A verificação de integridade Assinatura Digital é binária. O documento foi alterado ou não. Não há validade parcial. Um documento que mostra uma assinatura válida para a página 1 e uma assinatura inválida para a página 2 foi modificado. Trate todo o documento como potencialmente alterado.

WukongPDF

Experimente assinar PDF

Nenhuma instalação necessária. Funciona diretamente no seu navegador.

Começar agora →

Verificando a identidade do signatário e a confiança do certificado

Clique na assinatura para visualizar os detalhes do certificado. O certificado mostra o nome do signatário, a autoridade de certificação emissora e o período de validade. Verifique se o nome do signatário corresponde à pessoa que você esperava assinar. Verifique se o certificado era válido no momento da assinatura. Um certificado que expirou após a data de assinatura é adequado. Um certificado que expirou antes da data de assinatura significa que a assinatura foi aplicada com um certificado expirado e pode não ser confiável. Verifique a autoridade de certificação. Um certificado de uma CA pública reconhecida oferece uma garantia de identidade mais forte do que um certificado autoassinado.

A cadeia de confiança do certificado PDF Security deve estar intacta. O certificado deve ser vinculado a uma autoridade de certificação raiz em que seu leitor confie. Se a cadeia for quebrada, a assinatura poderá ser considerada inválida mesmo que o documento permaneça inalterado e o signatário seja genuíno.

O que fazer com uma assinatura inválida ou não confiável

Se a assinatura for inválida, entre em contato com o signatário. Pergunte se eles modificaram o documento após a assinatura ou se podem assinar novamente a versão atual. Não aceite um documento assinado de forma inválida como oficial sem confirmação. Se a assinatura for válida, mas proveniente de um certificado não confiável, a assinatura prova que alguém com acesso a esse certificado assinou, mas não prova de forma independente quem é essa pessoa. Para documentos internos, isso geralmente é suficiente. Para contratos externos, solicite a assinatura de um certificado emitido por uma autoridade reconhecida.

WukongPDF suporta assinaturas digitais. As ferramentas de validação Sign PDF em leitores de PDF padrão fornecem os recursos de verificação descritos aqui.

Compreendendo a validação de longo prazo (LTV) em assinaturas recebidas

Uma assinatura com LTV habilitado inclui todas as informações necessárias para verificá-la após a expiração do certificado de assinante. Quando você abre um documento assinado habilitado para LTV anos após a assinatura, a assinatura ainda pode ser verificada porque a cadeia de certificados, o status de revogação e o carimbo de data/hora estão incorporados no documento.

Se você receber um documento assinado que deve permanecer verificável por anos, verifique se o LTV está habilitado. Abra as propriedades da assinatura e procure LTV ou indicadores de validação de longo prazo. Se o LTV não estiver habilitado, a assinatura poderá se tornar não verificável após a expiração do certificado. O status Assinatura Digital LTV afeta o peso legal do documento a longo prazo.

Documentando a verificação de assinatura para registros de conformidade

Para documentos regulamentados, documente a verificação de sua assinatura. Registre o nome do documento, o nome do signatário, a data de verificação e o resultado da verificação. O registro demonstra que você verificou a assinatura e confirmou sua validade antes de confiar no documento. Se a assinatura for contestada posteriormente, o registro de verificação apoia sua confiança.

O registro de verificação PDF Security é uma simples entrada de trilha de auditoria. Leva segundos e fornece evidências de devida diligência.

Tratamento de múltiplas assinaturas em um único documento

Um contrato assinado por duas partes possui duas assinaturas digitais. Cada um deve ser validado de forma independente. Uma assinatura pode ser válida enquanto a outra é inválida. Um documento modificado após a primeira assinatura, mas antes da segunda, mostrará a primeira assinatura como inválida e a segunda como válida. Entenda a sequência de assinaturas e o estado do documento em cada evento de assinatura.

O painel de assinatura lista todas as assinaturas cronologicamente. Revise cada um. A validação Assinatura Digital para documentos com múltiplas assinaturas requer a compreensão do cronograma de assinatura, não apenas o status de validade de cada assinatura.

Certificados revogados e listas de revogação de certificados

Uma assinatura que era válida quando aplicada poderá tornar-se inválida se o certificado de signatário for posteriormente revogado. A revogação do certificado ocorre quando a chave privada é comprometida, o titular do certificado sai da organização ou a autoridade certificadora descobre que o certificado foi emitido indevidamente. Verifique o status de revogação do certificado por meio da Lista de Revogação de Certificados ou do Protocolo Online de Status de Certificado.

Uma assinatura que aparece como válida, mas tem um certificado revogado, não deve ser confiável. A verificação PDF Security inclui a verificação do status de revogação. Uma assinatura com um certificado revogado não oferece nenhuma garantia, independentemente do indicador de validade.

WukongPDF

Experimente assinar PDF

Nenhuma instalação necessária. Funciona diretamente no seu navegador.

Começar agora →