Цифровые подписи
Добавлено в v0.3.38. PDF Oxide читает подписи из /AcroForm /Fields → /Sig, инспектирует CMS-конверт внутри /Contents, проверяет подпись по атрибутам подписанта (RFC 5652 §5.4) относительно встроенного сертификата и хеш messageDigest (§11.2) относительно переданных байт документа.
Область покрытия. Этот релиз закрывает проверку. Подписание PDF (в отличие от проверки уже подписанных) остаётся второй половиной issue #208 и пока не реализовано.
Что проверяется
- RSA-PKCS#1 v1.5 на SHA-1 / SHA-256 / SHA-384 / SHA-512 — фактически единственный паддинг, который встречается в подписанных PDF в дикой природе — возвращает
Valid/Invalid. - RSA-PSS и ECDSA возвращаются как
Unknown/UnsupportedFeatureException. Для них вы по-прежнему можете прочитать встроенный сертификат черезSignature.GetCertificate()/.get_certificate()и проверить подпись самостоятельно. - Корень доверия, окно валидности и DN подписанта проставляются в результат проверки из встроенного сертификата.
Быстрый пример
Rust
use pdf_oxide::PdfDocument;
let doc = PdfDocument::open("signed.pdf")?;
for sig in doc.signatures() {
println!("{} → {:?}", sig.signer_name(), sig.verify()?);
// End-to-end with document bytes
let pdf_bytes = std::fs::read("signed.pdf")?;
println!("detached ok = {:?}", sig.verify_detached(&pdf_bytes)?);
// Cert inspection + trust-root / expiry / signer DN
let result = pdf_oxide::SignatureVerifier::verify(&sig, &pdf_bytes)?;
println!("signer DN = {}", result.signer_dn);
}
Python
from pdf_oxide import PdfDocument
doc = PdfDocument("signed.pdf")
for sig in doc.signatures():
print(sig.signer_name, "→", sig.verify())
# End-to-end with document bytes
with open("signed.pdf", "rb") as f:
pdf_bytes = f.read()
for sig in doc.signatures():
print("detached ok =", sig.verify_detached(pdf_bytes))
Node / TypeScript
import { PdfDocument } from "pdf-oxide";
import { readFileSync } from "fs";
const doc = PdfDocument.open("signed.pdf");
for (const sig of doc.signatures()) {
console.log(sig.signerName, "→", sig.verify());
console.log("detached ok =", sig.verifyDetached(readFileSync("signed.pdf")));
}
C#
using PdfOxide;
using var doc = PdfDocument.Open("signed.pdf");
foreach (var sig in doc.Signatures)
{
Console.WriteLine($"{sig.SignerName} → {sig.Verify()}");
var cert = sig.GetCertificate();
Console.WriteLine($"subject={cert.Subject} issuer={cert.Issuer} valid={cert.IsValid}");
}
Go (только CGo)
import (
"fmt"
"os"
pdfoxide "github.com/yfedoseev/pdf_oxide/go"
)
doc, _ := pdfoxide.Open("signed.pdf")
defer doc.Close()
pdfBytes, _ := os.ReadFile("signed.pdf")
sigs, _ := doc.Signatures()
for _, sig := range sigs {
ok, _ := sig.Verify()
fmt.Printf("%s → %v\n", sig.SignerName, ok)
// End-to-end with document bytes
detachedOk, _ := sig.VerifyDetached(pdfBytes)
fmt.Println("detached ok =", detachedOk)
}
WASM
import init, { PdfDocument } from "pdf-oxide-wasm/web";
await init();
const doc = new PdfDocument(bytes);
for (const sig of doc.signatures()) {
console.log(sig.signerName, "→", sig.verify());
}
Signature
Перечисление и инспекция подписей. Доступно в Python, WASM, C FFI, C#, Go, Node.
| Свойство / метод | Описание |
|---|---|
.signer_name / .SignerName |
Common Name из сертификата подписанта |
.reason / .Reason |
Причина подписи (например, «I approve this document») |
.location / .Location |
Поле Location |
.contact_info |
Поле контактной информации |
.signing_time / .SigningTime |
Время подписи в UTC из CMS-конверта (DateTimeOffset? в C#) |
.verify() / .Verify() |
Проверка RFC 5652 §5.4 по атрибутам подписанта относительно встроенного сертификата. Возвращает Valid / Invalid / Unknown. |
.verify_detached(pdf_bytes) / .VerifyDetached(pdfBytes) |
Дополнительно проверяет messageDigest (§11.2) против переданных байт документа. |
.get_certificate() / .GetCertificate() |
Возвращает Certificate для детальной инспекции. |
Certificate
Сертификат X.509, извлечённый из CMS-блоба /Contents через x509-parser. Доступен в C FFI, C#, Node.
| Свойство / метод | Описание |
|---|---|
.subject |
Distinguished Name владельца сертификата |
.issuer |
DN выпустившего CA |
.serial |
Серийный номер (big-endian байты или строка) |
.not_before |
Начало окна валидности (DateTimeOffset) |
.not_after |
Конец окна валидности |
.is_valid |
true, если not_before ≤ now ≤ not_after |
Timestamp — RFC 3161 TSTInfo
Разбор метки времени из атрибута TimeStampToken подписи или из самостоятельного ответа RFC 3161. Доступно в Python, WASM, C FFI, C#, Go.
from pdf_oxide import Timestamp
ts = Timestamp.parse(tst_bytes)
print(ts.time, ts.serial, ts.policy_oid, ts.tsa_name, ts.hash_algorithm)
Node / TypeScript
import { Timestamp } from "pdf-oxide";
const ts = Timestamp.parse(tstBytes);
console.log(ts.time, ts.serial, ts.policyOid, ts.tsaName, ts.hashAlgorithm);
ts.close();
| Свойство | Описание |
|---|---|
.time |
Время в UTC, подтверждённое TSA |
.serial |
Уникальный серийный номер метки |
.policy_oid |
OID политики TSA |
.tsa_name |
Идентификатор TSA |
.hash_algorithm |
Алгоритм хеширования message_imprint |
.message_imprint |
Хеш подписанной полезной нагрузки |
.verify() |
Проверяет подпись TSTInfo против встроенного TSA-сертификата |
TsaClient — HTTP-клиент RFC 3161
Запрос свежей метки времени у Time Stamp Authority по HTTP. За Cargo-фичей tsa-client. Доступен в Python, C FFI, C#, Go (в WASM не поставляется — ureq не совместим с wasm).
Python
from pdf_oxide import TsaClient
client = TsaClient(
url="https://freetsa.org/tsr",
username=None,
password=None,
timeout_seconds=30,
hash_algorithm=2, # 2 = SHA-256
use_nonce=True,
cert_req=True,
)
ts = client.request_timestamp(pdf_bytes)
print(ts.time, ts.serial)
C#
import { TsaClient } from "pdf-oxide";
const client = new TsaClient({
url: "https://freetsa.org/tsr",
timeoutSeconds: 30,
hashAlgorithm: 2, // 2 = SHA-256
useNonce: true,
certReq: true,
});
const ts = client.requestTimestamp(pdfBytes);
console.log(ts.time, ts.serial);
ts.close();
client.close();
C#
var client = new TsaClient("https://freetsa.org/tsr");
var ts = client.RequestTimestamp(pdfBytes);
Console.WriteLine($"{ts.Time} serial={ts.Serial}");
Go
client := pdfoxide.NewTsaClient("https://freetsa.org/tsr")
ts, err := client.RequestTimestamp(pdfBytes)
if err != nil { log.Fatal(err) }
fmt.Println(ts.Time, ts.Serial)
TsaClient отправляет RFC 3161 TimeStampReq через HTTP POST с nonce и HTTP Basic auth (когда заданы username / password). Ответ разворачивается и парсится через Timestamp::parse.
Сводка по биндингам
| Поверхность | Rust | Python | Node | C# | Go | WASM |
|---|---|---|---|---|---|---|
Signature — перечисление + verify |
✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
Certificate — инспекция |
✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
Timestamp — разбор + verify |
✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
TsaClient — HTTP-запрос |
✓ | ✓ | ✓ | ✓ | ✓ | — |
— в ячейке TsaClient × WASM — намеренно и навсегда: ureq не компилируется в wasm32. Если нужно осмотреть ответ в браузере, вызывайте TsaClient из серверной привязки и передавайте сырые байты метки времени в Timestamp.parse() на WASM.
Связанные страницы
- Метаданные и XMP — извлечение метаданных уровня документа
- Справочник API — Rust-поверхность
SignatureVerifier