Я пытаюсь подписать PDF-файл с помощью PDFBox и стороннего поставщика подписи.
Моя процедура:
- Получение PDF-файла из пользовательского ввода
- Создание PDDocument с содержанием данного pdf
- создание PDSignature со всеми заданными свойствами, такими как организация или местоположение, но без самого хэша подписи.
- добавление этого объекта подписи в PDDocument и создание дайджеста из PDDocument для отправки в API.
- Ожидание успешного ответа от API (содержащего хэш подписи) и вставка этого хеша в объект PDSignature PDDocuments без изменения всего документа.
Моя проблема:
Я могу создать PDDocument, PDSignature и его дайджест и отправить в API. Затем я получаю правильный и действительный хэш подписи обратно из API, и я могу добавить его в PDDocument, но всякий раз, когда это срабатывает, полученный PDF-файл имеет недопустимую подпись из-за изменения или манипуляции (подписывающий, временная метка и сертификат действительны). Я также пробовал использовать ExternalSigningSupport из PDFBox, но я не могу его использовать, так как всегда сталкиваюсь с ошибкой:
"java.lang.IllegalStateException: signature reserve byte range has been changed after addSignature(), please set the byte range that existed after addSignature()".
Мой код, который работает, но аннулирует подпись:
//Pending Signature is just a DTO
public static PendingSignature createPendingSignatureFromPdf(InputStream pdf2sign, OutputStream fos, String sigName, String sigLocation, String sigReason, String contactInfo, Date forcedDate, Long revisionId) throws IOException {
File pdfFileToSigned = createTempFile("chars", "" + Calendar.getInstance().getTimeInMillis());
File pdfPreparedToBeSigned = createTempFile("chars", "" + Calendar.getInstance().getTimeInMillis());
File pdfHashPreparedToBeSigned = createTempFile("chars", "" + Calendar.getInstance().getTimeInMillis());
try {
if (fos == null) {
fos = new FileOutputStream(pdfPreparedToBeSigned);
}
FileUtils.copyInputStreamToFile(pdf2sign, pdfFileToSigned);
PDDocument doc = PDDocument.load(pdfFileToSigned);
PDSignature signature = new PDSignature();
signature.setFilter(PDSignature.FILTER_ADOBE_PPKLITE);
signature.setSubFilter(PDSignature.SUBFILTER_ADBE_PKCS7_DETACHED);
if (contactInfo != null && !contactInfo.isEmpty()) {
signature.setContactInfo(contactInfo);
}
if (sigLocation != null && !sigLocation.isEmpty()) {
signature.setLocation(sigLocation);
}
if (sigReason != null && !sigReason.isEmpty()) {
signature.setReason(sigReason);
}
if (sigName != null && !sigName.isEmpty()) {
signature.setName(sigName);
}
if (forcedDate != null) {
SimpleDateFormat sdf = new SimpleDateFormat("dd/MM/yyyy HH:mm:ss");
Calendar cal = Calendar.getInstance();
cal.setTime(sdf.parse(sdf.format(forcedDate)));
signature.setSignDate(cal);
}
final OutputStream outputStream = new FileOutputStream(pdfHashPreparedToBeSigned);
SignatureInterface signatureInterface = new SignatureInterface() {
@Override
public byte[] sign(InputStream content) throws IOException {
try {
MessageDigest digest = MessageDigest.getInstance("SHA-256");
byte[] imp = digest.digest(content.toString().getBytes(StandardCharsets.UTF_16));
IOUtils.copy(new ByteArrayInputStream(imp), outputStream);
return new byte[0];
} catch (NoSuchAlgorithmException e) {
e.printStackTrace();
return new byte[0];
}
}
};
SignatureOptions signatureOptions = new SignatureOptions();
signatureOptions.setPreferredSignatureSize(SignatureOptions.DEFAULT_SIGNATURE_SIZE * 8);
doc.addSignature(signature, signatureInterface, signatureOptions);
if (revisionId != null) {
doc.setDocumentId(revisionId);
} else {
doc.setDocumentId(0L);
}
doc.saveIncremental(fos);
PendingSignature pendingSignature = new PendingSignature(doc, signature, IOUtils.toByteArray(new FileInputStream(pdfHashPreparedToBeSigned)));
return pendingSignature;
} catch (IOException | ParseException e) {
throw new IOException(e);
} finally {
fos.close();
pdf2sign.close();
FileUtils.deleteQuietly(pdfFileToSigned);
FileUtils.deleteQuietly(pdfPreparedToBeSigned);
FileUtils.deleteQuietly(pdfHashPreparedToBeSigned);
}
}
//Gets called when the api returns sucess with the signedbytes
public static File insertHashToPdf(PendingSignature pendingSignature, final byte[] signedBytes) throws IOException {
File outputDocument = createTempFile("chars", "" + Calendar.getInstance().getTimeInMillis());
FileOutputStream fos = new FileOutputStream(outputDocument);
PDDocument doc = pendingSignature.getPdfDocument();
PDSignature pdfSignature = pendingSignature.getPdfSignature();
//Produces signature that it invalid because it was altered or manipulated
pdfSignature.setContents(signedBytes);
doc.saveIncremental(fos);
if (fos != null) {
fos.close();
}
return outputDocument;
}
Подпись выглядит так:
Кто-нибудь знает, как вставить этот хэш подписи во весь PDDocument, не делая его недействительным?
sign()метод создает только дайджест, но не подпись. Кажется, вы путаете подписание с перевариванием. Я не знаю, что именно вы подразумеваете под «хешем подписи», но что бы вы ни подписали, вы не можете впоследствии изменить содержимое. - person user207421 schedule 30.04.2020insertHashToPdfпытается внедрить реальный контейнер подписи; если бы это был простой хэш, Adobe Reader не смог бы определить личность подписавшего, не говоря уже о том, кому он доверяет. Я думаю, проблема в том, что базовые классы подписи здесь не предназначены для вызоваsaveIncrementalдважды, по крайней мере, не с обратным вызовомPDSignatureи изменением значения его содержимого. POP3, нельзя ли просто получить и вернуть подпись внутри вашейSignatureInterface.signреализации? - person mkl schedule 30.04.2020