瞬簡PDF 編集 2024機能紹介:電子署名(官公庁向け)
このページではPDFへの電子署名の付与、署名の検証などについて紹介します。
- 本ページの機能について
- 本ページで説明されている電子署名関連の機能は『瞬簡PDF 統合版 2024 官公庁向け』バージョンを購入された方のみが使用できる機能となりますのでご注意ください。
署名付与
署名フィールドの作成
署名フィールドを作成できます。
署名フィールドとは電子署名をするための枠です。本製品で作成した署名フィールドには本製品およびAdobe Acrobat / Adobe Reader(XI以降)を用いて署名できます。
署名付与
既存のPDFファイルに電子署名を付与して、署名値をその内部に含む新しいPDFファイルを作成します。 本製品ではISO 32000-1に適合する電子署名、およびISO 32000-2に追加されたPAdES(ETSI TS 102 778)※仕様に適合する電子署名をPDFファイルに付与できます。
※ただし、PAdES(ETSI TS 102 778)の「Part5: PAdES for XML Content」は除く。
PDF電子署名の種類
本製品では普通署名とMDP署名(証明)を付与できます。なお、本製品の用語と、Adobe製品やISO 32000用語の対応は次の表の通りです。
| 本製品の用語 | Acrobatの用語 | ISO 32000 の用語 |
|---|---|---|
| 普通署名 | 承認用署名 | Approval Signature |
| MDP 署名(証明) | 証明用署名 | Certification Signature |
MDP署名(証明)は署名後に変更可能な内容について次のいずれかの制限ができます。
- 変更を許可しない
- フォームフィールドの入力と署名フィールドに署名
- 注釈の作成、フォームフィールドの入力と署名フィールドに署名
MDP署名(証明)は、PDFファイルに1個だけしか付与できません。したがって、PDFファイルにMDP署名(証明)を付与する場合には、最初に付与しなければなりません。
電子証明書の種類
電子証明書には、対応する秘密鍵を持つ証明書と対応する秘密鍵を持たない証明書があります。対応する秘密鍵を持つ証明書を「個人の証明書」と表記し、また、対応する秘密鍵を持たない証明書を「他人の証明書」と表記することもあります。
電子署名には、対応する秘密鍵を持つ証明書が必要です。対応する秘密鍵を持たない「他人の証明書」ではPDFファイルに電子署名することができません。
通常、署名に用いる電子証明書は、認証局(CA:Certification
Authority)が発行したものを使います。必ずしも認証局が発行したものでない自己署名証明書でも署名することはできます。この自己署名証明書と認証局の証明書との違いは、信頼できる証明書発行機関である認証局が、証明書発行時に保有者の認証を行なっているか否かにあります。
電子証明書の保存形式
対応する秘密鍵を持つ証明書は、一般的には秘密鍵と一体にしたPFX、または、PKCS#12形式のファイルとして受け渡されます。
通常、Microsoft Windowsでは、PFX/PKCS#12ファイルはWindows証明書ストアにインポートして使います。
本製品では、ログオンしたユーザーのWindows証明書ストアに保存されている証明書、また直接証明書ファイルを指定して使用します。
Windows
証明書ストアに保存されている証明書は、ログインしたユーザーのアカウントからパスワードなしに使うことができるという点で便利ですが、一方、そのアカウント以外のユーザーには使えないという制約があります。
本製品の電子署名機能
本製品の電子署名では、ハッシュアルゴリズムはSHA-1、SHA-2(SHA-256/384/512)です。公開鍵暗号アルゴリズムはRSA方式(鍵長は2048、または4096 ビット)をサポートしています。
長期署名
長期署名に対応しています。
- 「長期署名 PAdES-Enhanced(CAdES)」形式の署名付与
- 検証情報の埋め込み
- ドキュメントタイムスタンプの付与
長期署名の仕組み
PDFファイルに付与された電子署名が正しいか否かは、電子署名に利用された電子証明書が信頼された認証局によって発行されたものであること、 またその有効期間や失効情報によって確認できます。 しかし、電子署名に利用された電子証明書には有効期間が存在します。 そのため、この有効期限を過ぎてしまうとその信頼性を保証することができなくなってしまいます。
長期署名とは、署名データだけではなく、電子証明書やその失効情報をまとめて管理することで電子証明書の有効期間を過ぎた後でも、電子署名の検証を行なうことができるようにする仕組みです。
長期署名は、「署名タイムスタンプ」の有効期限が切れる前に「ドキュメントタイムスタンプ」を付与し続けることで、付与されている電子署名の有効性を維持し続けます。
長期署名を運用するには、通常次の手順で行います。
- 対象となる PDF ファイルに長期署名形式で普通署名を付与します。[普通署名の付与]
- タイムスタンプが付与されていない場合には、署名タイムスタンプを付与します。[ドキュメントタイムスタンプの付与]
- 認証局の証明書失効リスト(CRL)の更新後(通常、普通署名付与後、1日程度が経過した後)、検証情報の追加を行います。[検証結果の追加]
- 最初のドキュメントタイムスタンプを付与します。[ドキュメントタイムスタンプの付与]
- 上記4の手順で付与したドキュメントタイムスタンプの有効期間内(通常10年程度)に検証情報の追加とドキュメントタイムスタンプの付与を行います。
- 以降、この作業を同様のタイミングで継続して行い、電子署名の有効性を維持し続けます。
署名検証
署名時の検証
署名付与時に証明書を検証できます。その際のオプションを設定できます。
- LDAP接続しない
- LDAP経由の証明書失効リスト(CRL: Certificate Revocation List)および証明書の取得を行いません。
- HTTP接続しない
- HTTP経由のCRL取得を行いません。
- OCSPを利用しない
- OCSP(Online Certificate Status Protocol)による失効検証を行いません。
検証
付与されている署名を検証します。検証結果は署名パネルに表示されます。
検証はファイル読み込み時に自動的に検証されます。
[検証設定]を変更した場合など、再度検証する事もできます。
タイムスタンプ
商用タイムスタンプ対応
日本国内では、日本データ通信協会の「タイムビジネス認定制度」の認定を得て商用サービス(有償)を行っているタイムスタンプ局があります。 この中で、RFC3161方式を使用しているタイムスタンプを取得できます。また、それらのタイムスタンプを検証できます。
タイムスタンプの取得
本製品では次の国内商用タイムスタンプサービスを取得して、PDFファイルに付与できます。
| 運営会社 | タイムスタンプサービス | Web ページ |
|---|---|---|
| アマノセキュアジャパン株式会社 | アマノタイムスタンプ サービス3161 |
http://www.e-timing.ne.jp/ |
| セイコーソリューションズ株式会社 | サイバータイム | http://www.seiko-cybertime.jp/ |
弊社が保証しているのは、商用タイムスタンプサービスとの相互運用性(タイムスタンプを取得したり、検証することができること)だけです。
上記の商用タイムスタンプサービスの利用にあたっては、各タイムスタンプサービスの提供会社と、お客様の間で、直接サービスの利用契約を交わしていただく必要があります。