使用 itext 进行数字签名验证不起作用
Posted
技术标签:
【中文标题】使用 itext 进行数字签名验证不起作用【英文标题】:Digital Signature Verification with itext not working 【发布时间】:2018-03-02 22:29:02 【问题描述】:我正在使用 itext 库来验证数字签名的 pdf,下面的示例可在 https://developers.itextpdf.com/examples/security/digital-signatures-white-paper/digital-signatures-chapter-5 站点上找到。验证数字签名文档时出现以下错误。任何人都可以帮助解决这个问题。
Exception in thread "main" ExceptionConverter: java.security.NoSuchAlgorithmException: SHA256with1.2.840.10045.4.3.2 Signature not available
at java.security.Signature.getInstance(Signature.java:229)
at com.itextpdf.text.pdf.security.PdfPKCS7.initSignature(PdfPKCS7.java:697)
at com.itextpdf.text.pdf.security.PdfPKCS7.<init>(PdfPKCS7.java:459)
at com.itextpdf.text.pdf.AcroFields.verifySignature(AcroFields.java:2420)
at com.itextpdf.text.pdf.AcroFields.verifySignature(AcroFields.java:2373)
at nic.test.C5_01_SignatureIntegrity.verifySignature(C5_01_SignatureIntegrity.java:24)
at test.ExtractSignInfor.inspectSignature(ExtractSignInfor.java:95)
at test.ExtractSignInfor.inspectSignatures(ExtractSignInfor.java:135)
at test.ExtractSignInfor.main(ExtractSignInfor.java:63)
【问题讨论】:
您能否发布引发此异常的 PDF? 您是否将 BouncyCastle 注册为安全提供商? 是的,我已将 BC 注册为安全提供商。 抱歉,由于组织政策,我无法共享 PDF。 不,我没有使用 itext 的商业版本。我将尝试创建一个带有符号的示例文件并与您分享。 【参考方案1】:如果您搜索 iText 阻塞的 OID,您会看到这是“ecdsa-with-sha256”:
http://www.oid-info.com/get/1.2.840.10045.4.3.2
这在 iText 5 中不受支持。但我们确实在 iText 7 中添加了对此的支持。尝试使用最新的 iText 7 构建运行此代码示例:
BouncyCastleProvider provider = new BouncyCastleProvider();
Security.addProvider(provider);
PdfReader reader = new PdfReader(INPUT);
PdfDocument pdfDocument = new PdfDocument(reader);
PdfAcroForm acroForm = PdfAcroForm.getAcroForm(pdfDocument, false);
for ( String name : acroForm.getFormFields().keySet() )
PdfFormField formField = acroForm.getField(name);
if (formField != null && formField instanceof PdfSignatureFormField)
SignatureUtil signatureUtil = new SignatureUtil(pdfDocument);
PdfPKCS7 pkcs7 = signatureUtil.verifySignature(name);
pkcs7.verify();
[...]
【讨论】:
【参考方案2】:正如 Michaël Demey 在他的回答中已经解释的那样,iText 5.x 目前不支持有问题的算法 OID。
不过,幸运的是,iText 5.x 在签名验证期间主要依赖于底层的 BouncyCastle 库来支持安全算法,并且它本身只做很少的事情,所缺少的是 iText 正确地找到了“加密算法”ECDSA 的名称(在引号中,因为它不是真正的加密,因为没有并行解密)。
您可以在 iText 5.x 中添加对该 OID 的验证支持(在 5.5.13 的当前 SNAPSHOT 中测试),如下所示:
java.lang.reflect.Field algorithmNamesField = com.itextpdf.text.pdf.security.EncryptionAlgorithms.class.getDeclaredField("algorithmNames");
algorithmNamesField.setAccessible(true);
@SuppressWarnings("unchecked")
HashMap<String, String> algorithmNames = (HashMap<String, String>) algorithmNamesField.get(null);
algorithmNames.put("1.2.840.10045.4.3.2", "ECDSA");
执行此添加后,iText 验证
PdfReader reader = new PdfReader(resource);
AcroFields acroFields = reader.getAcroFields();
List<String> names = acroFields.getSignatureNames();
for (String name : names)
System.out.println("Signature name: " + name);
System.out.println("Signature covers whole document: " + acroFields.signatureCoversWholeDocument(name));
System.out.println("Document revision: " + acroFields.getRevision(name) + " of " + acroFields.getTotalRevisions());
PdfPKCS7 pk = acroFields.verifySignature(name);
System.out.println("Subject: " + CertificateInfo.getSubjectFields(pk.getSigningCertificate()));
System.out.println("Document verifies: " + pk.verify());
表演
Signature name: Signature1 Signature covers whole document: true Document revision: 1 of 1 Subject: ST=[Rajasthan], C=[India], CN=[Devi Singh Pilwal], O=[Personal] Document verifies: true
(VerifySignature.java方法testVerifyTestDsp
中的测试代码)
小心...
上面的代码使用反射,因为有问题的Map
是不公开的。根据您的环境,可能不允许这样的解决方案。在这种情况下,您必须相应地修补 iText。此外,由于访问的Map
不是公开的,因此该解决方案在未来的版本中可能会失败。 (这不太可能,因为 iText 5 处于维护模式,但人们永远不知道。)
这只增加了对这个 OID 的支持。可以类似地添加对许多其他 OID 的最有可能的支持,但不一定适用于所有。
此外,我只在 verification 用例中对此进行了测试。 ECDSA 签名可能需要完全不同的更改。
【讨论】:
两个回复都是正确的,接受了这个 coz 提供的具有向后兼容性的解决方案。非常感谢:) 修复:ExceptionConverter: java.security.InvalidKeyException: No installed provider supports this key: (null) Add this line Security.addProvider(newBouncyCastleProvider());以上是关于使用 itext 进行数字签名验证不起作用的主要内容,如果未能解决你的问题,请参考以下文章
Cryptoapi 签名/验证在 Windows 8.1 上不起作用
使用BouncyCastle Java API进行PGP签名并使用gpg4win进行验证不起作用
当我在属性内容中使用 CSS3 函数 target-counter 时,iText7 不起作用