Tips & Tricks

如何使用来自时间权威机构的可信时间戳对 PDF 进行签名

应用于 PDF 的数字签名证明该文档自签名以来未被修改,并且签名来自特定的私钥。但它并不能证明签名是何时应用的。提供签名时间戳的签名者计算机时钟可以设置为任意时间。今天申请的签名可以声称是去年申请的。对于法律、合规和监管文件,签署时间必须是可独立验证的。来自外部时间权威机构的可信时间戳解决了这个问题。

可信时间戳是来自时间戳机构 (TSA) 的加密签名声明,表明特定文档在特定时刻存在。当您使用可信时间戳签署 PDF 时,TSA 会独立记录和验证签名时间。时间戳无法伪造,因为它是由 TSA 而非签名者签名的。即使签名者计算机时钟错误,TSA 时间戳也能提供权威的签名时间。

具有可信时间戳的Sign PDF操作为签名添加了独立的临时见证。签名证明签名者是谁。时间戳证明了时间。

How to Sign a PDF With a Trusted Timestamp From a Time Authority

可信时间戳如何工作

当您在启用时间戳的情况下签署 PDF 时,您的签名软件会通过互联网将文档的哈希值发送到时间戳机构。 TSA 将您的文档哈希与其自己的同步时钟的当前时间相结合,使用其私钥对该组合进行签名,然后返回签名的时间戳令牌。您的软件会将此令牌与您的签名一起嵌入到 PDF 中。任何验证签名的人都可以通过检查 TSA 签名来验证时间戳。

数字签名时间戳提供长期可验证性。即使您的签名证书过期,来自 TSA 的时间戳仍然有效并证明签名的应用时间。

WukongPDF

尝试签署 PDF

无需安装。直接在您的浏览器中工作。

立即开始 →

时间戳与系统时钟:法律影响

方面系统时钟时间戳受信任的 TSA 时间戳
可验证性无法独立核实。依赖于签名者计算机时钟,可以对其进行操作可通过 TSA 签名进行独立验证。无法伪造
法定重量由于时钟源不独立可信,可能会在法律环境中受到质疑法律效力强。 TSA 是独立第三方,其时间戳受到法院认可
长期有效有限的。当签名证书过期时,系统时钟时间戳不提供持续验证长期。只要 TSA 证书可信,TSA 时间戳就保持可验证

在 PDF 签名工具中配置时间戳

在 PDF 签名工具中,查找时间戳服务器设置。输入时间戳机构的 URL。一些公共 TSA 提供免费时间戳服务。当您签署文档时,启用时间戳选项。该工具将联系 TSA,获取时间戳令牌,并将其嵌入签名中。

WukongPDF 支持数字签名。对于可信时间戳,请使用与时间戳颁发机构集成的签名工具。 PDF 安全时间戳为您的数字签名添加了独立的临时验证。

选择时间戳机构

选择您所在司法辖区认可的 TSA。对于欧盟文件,请使用欧盟信任列表中的 TSA。对于国际文件,请使用由主要证书颁发机构运营的 TSA。免费 TSA 可供使用,但法律认可度可能有限。

时间戳的数字签名法定权重取决于 TSA 的认可。来自未经认可的 TSA 的时间戳不提供任何法律利益。

签名后验证时间戳

使用时间戳签名后,打开签名文档并检查签名属性。时间戳应该与签名一起可见。验证时间戳日期和时间是否准确以及 TSA 证书是否有效。

Sign PDF时间戳验证确认时间戳已正确嵌入并且可独立验证。

使用时间戳进行长期文档保存

对于必须在数十年内保持可验证性的文档,请将可信时间戳与长期验证 (LTV) 结合起来。 LTV 将所有证书链和吊销数据嵌入到签名中,从而在原始证书过期后很长时间内仍能进行验证。

PDF 安全 LTV 加上时间戳组合为数字签名文档提供了最强的长期可验证性。

在 Adobe Acrobat 中配置时间戳

在 Adobe Acrobat Pro 中,转到“编辑”、“首选项”、“签名”。在文档时间戳下,单击更多。添加您选择的时间戳颁发机构的 URL。启用该选项以在签名中包含时间戳信息。

Sign PDF Acrobat 时间戳配置是一次性设置。所有后续签名将包含可信时间戳。

排除时间戳故障

如果无法访问 TSA 服务器、您的系统不信任 TSA 证书或者您的防火墙阻止连接,则时间戳请求可能会失败。首先在浏览器中测试 TSA URL。如果浏览器无法访问它,您的签名工具也将无法访问它。

数字签名时间戳故障排除从网络连接开始。 TSA 是一项网络服务。没有连接意味着没有时间戳。

了解时间戳准确性和法律要求

TSA 将其时钟与权威时间源同步。时间戳精度通常在协调世界时的一秒以内。出于法律目的,来自认可机构的 TSA 时间戳满足证明文件签署时间的大多数证据要求。

来自认可的 TSA 的 PDF 安全时间戳具有很强的法律效力。独立第三方对签名时间的验证很难受到质疑。

使用多个 TSA 实现冗余

对于重要文档,请配置多个 TSA URL。如果主 TSA 发生故障,则使用备用 TSA。冗余可确保签名工作流程不会因单一 TSA 中断而受阻。

Sign PDF 多 TSA 配置为不能容忍时间戳故障的文档提供签名时间可靠性。

了解时间戳令牌及其结构

时间戳令牌包含文档哈希、TSA 时钟的时间戳以及 TSA 数字签名。该数据嵌入在 PDF 签名字典中。验证签名的任何人都可以独立提取和验证令牌。

数字签名时间戳令牌是文档签名时间的独立证明。它不依赖于签名者系统或验证者系统。

使用符合 RFC 3161 的时间戳服务器

时间戳请求的标准协议是 RFC 3161。大多数 TSA 支持该协议。配置签名工具时,请验证 TSA URL 是否指向符合 RFC 3161 的服务。非标准时间戳服务器可能会生成无法验证的令牌。

Sign PDF RFC 3161 合规性确保时间戳可普遍验证。非标准时间戳不是可信时间戳。

通过文档更新保留时间戳

如果文档在签名后需要进行较小的更新,例如添加表单字段或更正元数据,则原始签名和时间戳将变得无效。进行更改后,使用新时间戳重新签署文档。新的时间戳记录了更新时间。

更改后 PDF 安全性重新签名可在整个文档生命周期中维护可信时间戳链。

验证 TSA 证书的有效性

TSA 证书在加盖时间戳时必须有效。在签名工具中配置 TSA 证书之前,请检查 TSA 证书的到期日期。过期 TSA 证书的时间戳不提供法律保证。

数字签名 TSA 证书验证是可信时间戳的先决条件。过期的 TSA 不是值得信赖的权威机构。

记录用于审计的时间戳配置

记录使用的 TSA、其证书指纹以及您组织的时间戳策略。该文档支持有关签名时间可靠性的审计查询。

Sign PDF时间戳文档表明签名时间过程是受控且可审计的。

WukongPDF

尝试签署 PDF

无需安装。直接在您的浏览器中工作。

立即开始 →