長期署名PAdESライブラリよくいただくご質問

証明書の有効期限を超えて署名を有効（検証可能）にする仕組みです。通常の電子署名では証明書の有効期限後には正しく検証できなくなります。証明書の有効期限は通常数年ですので5～10年以上の保管と有効性を保つ用途には長期署名が必要となります。逆に長期保管が必要無い場合には長期署名では無く通常の電子署名で構いません。

参考資料：有限会社ラング・エッジ社 ブログ　シリーズ長期署名１：長期署名入門

PDFの長期署名（PAdES）仕様はISO32000-2から採用されました。従来のISO32000-1（PDF署名）仕様と比較して以下の3つの要素が追加されました。

• CAdESを署名データに利用した、PAdES-Enhanced仕様
• 長期署名用に証明書と検証情報を埋め込む、PAdES-LTVのDSS/VRI仕様
• タイムスタンプだけを付与できる、PAdES-LTVのDocTimestamp仕様

一方で従来のISO32000-1（PDF署名）仕様は、PAdES-Basic仕様として再整理されました。『長期署名PAdESライブラリ』では機能レベルにより2製品が提供されています。詳しくは「製品概要」をご覧ください。

長期署名の仕様は元々EU（欧州）の標準化組織であるETSIのTC ESI（電子署名基盤技術委員会）にて標準化されました。XMLとCMSの長期署名仕様である、XAdESとCAdESに続いて、PDFの長期署名仕様であるPAdESに関してもETSI TS 102 778として公開されました。PDFの標準仕様であるISO32000-2は、ETSI TS 102 778のPAdES仕様が反映されています。つまりPAdESの元仕様はETSIのPAdES仕様であり、後からISO32000に反映される関係となります。

いいえ。『長期署名PAdESライブラリ』は、PDF/Aをサポートしていません。PDF/A準拠のPDFに署名はできますが、署名したPDFファイルはPDF/A準拠となりません。

未暗号化のPDFファイルの暗号化はできません（応相談）。

※ パスワードによって暗号化されたPDFへの電子署名付与はできます。

『長期署名PAdESライブラリ』は複数の署名が可能です（増分更新）。

※ PDFの仕様上、一度に複数の電子署名を付与することはできません。

これは弊社が提供するものでは無く、GPKI用ドライバーソフトと共に提供されるものです。詳しくは政府認証基盤(GPKI)の官職認証局にお問合せください。

※ 最近ではICカードをセットすると自動的に証明書登録される場合もあるようです。

事前にICカードにある証明書をPCにインストールするのでなく、ICカードのままMicrosoft CryptAPI (CAPI)を利用することを推奨します。弊社証明書選択画面では最初に ""[IC]"" と表示されます。

どちらも、ICカードが正しく認識されていないようです。

1. LCSI_CAPI_ICCARD フラグは設定済みと仮定して、ICカードへアクセスしているようなランプ点灯が確認できていなければ、ICカードを認識できる状態にする必要があります。
2. ICカードが正しく認識されいないため、秘密鍵（ICカード）が連携できずにエラーになっていると考えられます。

それぞれ、最新のGPKIのドライバーをインストールしてみてください。

それぞれのケースについて当てはまるものをお試しください。

1. うまく動作しない場合はほとんどがドライバー異常が多いようです。最新のドライバーの再インストール等をお試しください。
2. GPKIのドライバは旧住基ネットカードのドライバーと競合するので、万が一古いドライバーが入っていると動作しない場合があります。ドライバーを最新のものにしてください。
3. インストールしたPCで署名コマンド（LpaCmd）でのGPKI対応については、下記のとおりです。
   

   LpaCmd -sign -newf -cert card type 3 -in in.pdf -out out.pdf

※ コマンドの引数に関して詳しくは LpaCmd -sign -help で確認できます。これで動作するようであれば、署名コマンド側の問題の可能性が高いということになります。

LpaCmdの動作環境とドライバーの動作環境の不一致で、GPKI設定のドライバーが開けなった状況です。どちらかに環境を合わせる必要があります。多くはLpaCmdを32ビット版にすることで解決できます。

例）

• LpaCmdの動作環境：64ビット
• ドライバーの動作環境：32ビット

Windows版では、CryptoAPI（CAPI）対応のUSBトークンやICカードであれば署名に利用できます。Linux版では基本的に対応していません。実績や詳しくは「機能紹介：認証局とタイムスタンプ局」をご覧ください。

→ 機能紹介：認証局とタイムスタンプ局

基本的にはPKCS#12ファイル形式またはWindows版であればCAPI利用のICカード等で証明書を提供している認証局であれば利用が可能です。GPKI等の官職証明書やICカードも利用可能です。実績に関して詳しくは「機能紹介：認証局とタイムスタンプ局」をご覧ください。

→ 機能紹介：認証局とタイムスタンプ局

PKCS#12形式のファイルにすれば利用可能です。Windows版ではPKCS#12以外にWindows証明書ストアにインストール頂いても利用頂けます。

対応していないので、ご利用頂けません。Adobe CDS（Certified Document Service）証明書はAdobe社認定の認証局でのみ利用が可能であり、サードベンダーには利用が許可されていないためです。

国内の主な商用タイムスタンプサービス（アマノタイムスタンプサービス3161やSEIKO認定タイムスタンプサービス等）には標準で対応しています。詳しくは「機能紹介：認証局とタイムスタンプ局」をご覧ください。

→ 機能紹介：認証局とタイムスタンプ局

認証局の業界組織である電子認証局会議にて公開されている「電子署名活用ガイド」がおすすめです。法的な観点からだけでなく事例まで分かりやすくまとまっています。冊子としても配布されていますが、PDFファイルとしてダウンロードも可能です。

→ 電子署名活用ガイド 第2版（2013年9月）電子認証局会議

同じと考えて頂いて問題ありません。PFX（Personal inFormation eXchange）はPKCS#12の旧称となります。Windows環境では拡張子 .pfx と .p12 のどちらでも構いません。

『長期署名PAdESライブラリ』はC++で開発されており、インターフェイスとしてC++ / Java / .NET / コマンドの4種類が提供されます。
詳細は、製品ページの「動作環境/制限事項」より、提供APIをご確認ください。

『長期署名PAdESライブラリ』は、JDK 1.6（JRE 6.0）以降でお使い頂けます。なおJNIを利用しているので32ビット版と64ビット版は『長期署名PAdESライブラリ』とJavaのJDK/JREで一致している必要があります。
詳しくは、マニュアル42p 「サポートするJDK環境」をご覧ください。

いいえ、利用できません。『長期署名PAdESライブラリ』のJava APIはJNI（Javaからのネイティブ呼び出し）を利用しているので、Java環境のキーストアにはアクセスできません。Java APIからの利用でも、PKCS#12ファイル形式またはWindows版であればWindows証明書ストアを利用してください。なお Java APIのサンプルが、sample/LePAdES/Javaの下に用意されていますので評価版を入手してご覧ください。

→ 評価版のお申し込み

標準でVisual Studio 2015とVisual Studio 2019に対応しています。リビルドすることで、VS2010/VS2012/VS2013/VS2017に対応可能です。なお、C++ APIのサンプルは、sample/LePAdES/cppの下に用意されていますので評価版を入手してご覧ください。

→ 評価版のお申し込み

『長期署名PAdESライブラリ』では、コマンドプログラム LpaCmdが提供されています。
ここでは、PKCS#12ファイルを利用した、不可視署名フィールドの作成と署名付与の例を記載します。その他利用方法の詳細はヘルプコマンド（LpaCmd -help）を参照してください。また、sample/LePAdES/cmdの下にサンプルコードが用意されていますので、評価版を入手してご覧ください。

→ 評価版のお申し込み

$ LpaCmd -sign -newf -cert p12 LeTest.p12 test -in input.pdf -out singed.pdf

以下のコマンドラインにて、検証を行い結果（レポート）を画面に表示することができます。コマンドラインのサンプルが sample/LePAdES/cmd の下に用意されていますので評価版を入手してご覧ください。

$ LpaCmd -verify -report -in singed.pdf

→ 評価版のお申し込み

できません。PINコードの入力画面はICカードやUSBトークンのドライバが表示していますので、『長期署名PAdESライブラリ』のAPIでは対応できません。

印影として画像ファイルを指定した場合には透過にはできません。ただし、Ver.1.06.R1から、透過PNG画像による透過署名外観が追加されました。予め印影の透過PNGをご用意ください。

PKCS#7はCAdESのベースともなった署名データ形式ですので似ていますが、署名証明書を保護する属性等がCAdESでは追加されているので、CAdESの方がよりセキュアな署名データ形式と言えます。今後生成する署名では可能な限りCAdES署名データ（PAdES-Enhanced）の利用をおすすめします。

複数の署名を付与していく場合には普通署名を使います。MDP署名時にはその後可能な操作の制限ができるというメリットがあありますが、これは、後から検証情報の埋め込みやドキュメントタイムスタンプを付与する必要がある長期署名（長期保管）には対応できないというデメリットになります。

証明書の署名と、PDF署名/PAdESの署名は全く別のデータですので両者のハッシュ方式等は異なっていても構いません。SHA-1署名の証明書で、SHA-2署名のPDF署名を付与することも可能ですし、その逆も可能です。

Adobe Acrobatであれば電子署名を付けることができますが、Adobe Readerでは電子署名を付けることはできません。Adobe Readerで電子署名を付けるには、サードベンダーには許可されていない方法（つまりAdobe製品でのみ可能な方法）で署名フィールドを生成しておく必要があります。

PDFそのものが変わるか、ということでしたらPDF自体に変更・変化はありません。
PDF電子署名は署名対象PDFを変更するものではないからです。
複数署名の仕組みについては、下記資料（16p）が参考になります。
→ JNSA電子署名WG スキルアップTF（PDF）

署名のステータス（電子署名の状態）が有効かどうかは、Adobe Readerなど検証機能を持つソフトで確認できます。
複数署名を打った時のイメージとしては、下記の製品マニュアル63p（62p）「Adobe Acrobat によるLTV対応の表示例」が参考になります。（バージョン１ ○○により署名済み。バージョン2 ○○により署名済み。なお、バージョン2 のステータスは、その横にある「＋」をクリックすると詳細確認できます。）
→ PDF署名ライブラリ LE:PAdES:Lib マニュアル

ほぼ一致しますが、相互の設定や対応状況の違いにより一致しないケースもあります。
例えばX.500とディレクトリサーバによる検証が必要な証明書（GPKIの官職証明書等）はAdobe Acrobat/Readerでは標準対応していませんし、毎年ルート証明書が更新して、同時に複数の有効なルート証明書がある証明書（商業登記証明書等）では、Adobe Acrobat/Readerでは検証できない時があります。『長期署名PAdESライブラリ』ではどちらも対応しています。

署名証明書が信頼されていないか、ルート証明書が信頼されていません。次の三通りの方法があります。

1. 自分で信頼する証明書に登録する。
   たとえば、Adobe Acrobat/Readerの「署名のプロパティ」ダイアログから「概要」タブの「証明書を表示」をクリックすると、「証明書ビューア」ダイアログが開きます。ここの「信頼」タブで「信頼済み証明書に追加」の設定をします。 ただし、これは利用する環境すべてで設定する必要があります。
2. 信頼されているパブリック認証局から証明書を購入する（有償です）
   WebTrust認定されたパブリック認証局であれば標準でWindows証明書ストアにルート証明書が信頼済みとなっています。この場合にはAdobe Acrobat/ReaderにWindows証明書ストアを利用する設定が必要です。
   • Adobe Acrobat/Reader 9以前であれば、「環境設定」ダイアログから「セキュリティ」の「詳細環境設定」をクリックすると「電子署名の詳細環境設定」ダイアログが開きます。そこの「Windows 統合」タブのチェックを全てオンにしておけば信頼されます。
   • Adobe Acrobat/Reader X以降であれば、「環境設定」ダイアログから分類「署名」＞「検証」の「詳細」をクリックして「署名検証の環境設定」ダイアログを開きます。そこの「Windows 統合」のチェックを全てオンにしておけば信頼されます。
     
     デフォルト設定はWindows証明書ストアを利用しない状態になっているため、この設定が必要となります。
3. その他、使用している証明書のルート証明書が標準でWindows環境に入っていない場合は、必要なルート証明書を取得し、Windows証明書ストアの「信頼されたルート証明書機関」にインポートする必要があります。Windows証明書ストアの証明書は、「コントロールパネル」＞「ネットワークとインターネット」＞「インターネット オプション」で「インターネットのプロパティ」ダイアログを開き、「コンテンツ」タブから「証明書」をクリックすることで画面を開くことができます。

これは『長期署名PAdESライブラリ』の問題ではなく、CRL（失効した証明書のリスト）またはOCSP（証明書の失効問合せ）の取得に失敗している可能性が高いです。ネット環境としてCRL配布ポイントやOCSPサーバにアクセス可能かどうかを確認してください。特に取得にLDAPを使っている場合にはファイアーウォール等で許可されていない場合があります。他にも認証局のサーバが一時的にメンテナンスを行なっている場合にもこのエラーが出ることがあります。この場合は、時間をおいて試すことで成功します。

無効の理由として「署名後、文書が変更されたか壊れています」と出なければ改変されていないと言う事になります。ただし秘密鍵が流出して偽造されたかどうかの確認は、署名者が確認でき無いので保証できません。

署名後に署名を追加した、と言うことが「その他の変更」として表示されます。つまり署名した後に何か追加した場合に表示されます。増分更新と言う仕組みで追加していますので、その前の署名自体は正しく検証できます。
『長期署名PAdESライブラリ』でこの増分更新をチェックするには LePAdES::getSign() で署名辞書の情報を取得して、PdaSign::getByteRange() で署名範囲（ByteRange）を取得して判断します。ByteRangeでは [開始位置1　長さ1　開始位置2　長さ2] の4つの数値が取得できます。このうち「開始位置2＋長さ2」がその署名のサイズです。ファイルサイズがこの値よりも大きい場合には、署名後に追加（その他の変更）があったと判断できます。

CAdESを使った電子署名（PAdES-Enhanced）またはDocTimestamp（ドキュメントタイムスタンプ）を、Adobe Reader/Acrobat 9以前で開いています。Adobe Reader/Acrobat X以降をご利用のうえご検証ください。

CRLは失効した証明書のリストを使って失効していないことを確認する仕組み、OCSPは証明書の失効をサーバーに問合せして確認する仕組みです。どちらを使うかは認証局で決められており、普通は証明書にCRLやOCSPの情報が記載されています。従って自動的にCRLかOCSPを使って失効検証が行われますので、通常はどちらと指定する必要はありません。

この現象は、Acrobat/Adobe Readerでタイムスタンプ局の証明書の信頼性を検証できない状態になっている時に生じます。（※ Adobe Acrobat/Reader 7はSHA-2方式に対応していません。SHA-2を利用している日本の商用タイムスタンプの検証はできませんので、ご注意ください）

PDFの中にあるXMP情報にエラーがあります。
署名やタイムスタンプを付与してPDF保存をする際に、PDFの文書情報辞書の更新日（ModDateキー）を更新すると同時にXMP情報がある場合にはXMPの更新日（ModifyDateタグ要素）も更新しています。このとき、XMLとして不正な文字が使われていたり、XMPとして認められないタグ要素が使われていると、PDFの読み込み時にXMP解析するとエラーとして表現されます。

PDFとしては、正しく何も問題はありません。XMP情報を使わないのであれば無視することでご利用いただけます。

V1.07.R3以降で、XMPの読み込みをスキップできるようになりました。
LpaCmd コマンドでも、 -noxmp 引数で回避可能です。

製品には、いくつかの制限事項があります。

• 署名外観のフォントは現在 "MS-Mincho" のみ利用可能です。
• 入力ファイルのサイズが64ビット版では2GB、32ビット版では200MBを超えるPDFファイルの利用は未対応です。
• 証明書による暗号化には未対応です。
• PdaEncrypt（新規暗号化）クラスは未サポートです。

その他の未対応（未サポート）については、製品Webページの動作環境/制限事項をご確認いただくか、製品（評価版含む）に同梱されているAPIリファレンスをご確認ください。

→ 動作環境/制限事項

はい、あります。評価版の制限事項及び注意事項は下記の通りです。

• 評価版で試せるPDFのページ数は最大3ページです。4ページ以上のPDFに署名しようとすると、エラーコードPDA_ERR_EVALUATION（-4992）が返ります。
• 評価版で付与する電子署名の署名理由には「LE:PAdES:Lib Evaluation」がセットされてます。評価版において署名理由は変更や指定はできません。
• 評価版はフル機能の長期署名版(LE:PAdES:Lib)となります。署名基本版(LE:PAdES-Basic:Lib)単体の評価版はありません。
• 評価版にソースコードは付属しません。
• 評価期間はインストールから90日です。

その他詳細は、評価版ダウンロードページをご確認ください。
→ 評価版のお申し込み

幾つかのオープンソースを利用しています。
利用しているのは、OpenSSL/OpenLDAP/libjpeg/libpng/libxml2/zlib/iconv/AES/MD5です。いずれも商用利用可能かつソースコード公開の義務が無いライブラリです。コピーライト表示は必要なものがありますが、詳しくは製品マニュアルに記載されています。評価版を入手してご確認ください。

以下にベンチマーク結果を示します。ただし、利用環境やPDFファイルによって変動しますので参考程度とお考えください。

○ コマンドラインによる署名試験
コマンドラインを使い署名をループして繰り返し（1000または100ループ）実行

• 実行マシン：Intel Core i7 3.4GHz/4core/mem 8GB/Windows 7 Pro x64
• 実行環境：CentOS 5.7 64bit/2CPU/mem 2.8GB
  • 実行マシン上のVMwareで実行環境を利用
  • タイムスタンプは付与していないので注意

○ Java APIによる検証試験
Java APIを使い検証をマルチスレッドで64同時実行

• 実行マシン：P4/Xeon 3GHz/4core/2CPU/mem 1GB/Linux Debian 5 32bit/RAID
• CRLは社内ネットなので高速の為ほぼ遅延無し

• ※ メモリ総利用量は25～30MB程度（Java実行環境を含む）
• ※ メモリ利用量はPDFファイルサイズに依存する（現在はメモリ上に保持の為）

大きな入力ファイルを同時に処理する場合にはメモリサイズが足りなくなり性能が低下する可能性があります。小さな入力ファイルを使っている場合はメモリサイズの影響はほとんどありません。

はい対応しています。スレッド毎にインスタンスを生成して利用してください。