Vous trouverez ici les pointeurs vers les outils, et comment vérifier les signatures.

Pour que le destinataire reconnaisse la signature avec votre certificat, il faut :

• Sous Windows:
  • Configurer Acrobat Reader 6 ou supérieur pour vérifier les PDF en utilisant la base Windows de certificats
  • Directement importer le ou les certificats des CAs de confiance
• Sous d'autres OS:
  • Directement importer le ou les certificats des CAs de confiance

Version 0.1

• un utilitaire de signature de documents PDF (telechargement ici)
• un utilitaire de vérification de signature (telechargement ici)

Version 0.2

• un utilitaire de signature de documents PDF (telechargement ici)

Notes

Généralités

Paramètres

Détails paramètres
-in fichierPDF : fichier à signer
-pkcs12 : fichier pkcs12 (de format .p12 ou .pfx)
-passwd : mot de passe du fichier pkcs12
-out fichierPDFsigné : fichier de destination. Par défaut : signed.pdf
-mode PPK* : modes PPKMS, PPKVS, PPKLite. Par défaut : PPKMS
-reason motif : motif signature. Exemple : « document validé »
-location localisation : Localisation de l'entitié. Exemple : « CAEN (France) »
-visibleSignature : affichage de la signature de manière visible sur le document
-visibleSignllx : coordonnée x du coin inférieur gauche de la signature (par défaut 100)
-visibleSignlly : coordonnée y du coin inférieur gauche de la signature (par défaut 100)
-visibleSignurx : coordonnée x du coin supérieur droit de la signature (par défaut 200)
-visibleSignury : coordonnée y du coin supérieur droit de la signature (par défaut 200)
-visibleSignNumPage : numéro de la page sur laquelle la signature sera affichée (par défaut 1)
-alias : spécification d'un alias de certificat contenu dans le keystore à utiliser
-tsaHost: adresse d'une autorité d'horodatage
-tsaLogin : login de connexion à l'autorité d'horodatage
-tsaPasswd : mot de passe de connexion à l'autorité d'horodatage
-proxyHost host : Permet de spécifier l'adresse du proxy
-proxyPort port : Permet de spécifier le port du proxy
-proxyLogin login : Permet de spécifier le login à utiliser sur le proxy (si besoin est)
-proxyPasswd passwd : Permet de spécifier le mot de passe à utiliser sur le proxy (si besoin est)


Horodatage

Certificat de signature

Comment trouver l'alias du certificat à utiliser ?
Nous allons utiliser l'outil java Keytool. Lancez la commande qui suit dans un terminal :
keytool -storetype pkcs12 -v -list -keystore "/chemin/acces/keystore.p12" | grep "Nom d"
En indiquant le chemin d'accès à votre magasin de certificats (à la place de "/chemin/acces/keystore.p12")
Le résultat que vous devez obtenir est :
Nom d'alias : cert1
Dans ce cas nous allons utiliser l'outil de signature de pdf avec l'argument -alias cert1.

Exemples

Signature du document PDF mondoc.pdf en spécifiant le nom d'un fichier de destination
java -jar TBSSignaturePDF.jar -in mondoc.pdf -pkcs12 macle.pfx -passwd maclepwd -out mondoc_signed.pdf

Remarque : pour les noms de fichiers, veillez à spécifier les chemins absolus.

Signature du document PDF mondoc.pdf avec horodatage grâce au serveur (fictif) http://tsa.serv.com
java -jar TBSSignaturePDF.jar -in mondoc.pdf -pkcs12 macle.pfx -passwd maclepwd -alias clef1 -tsaHost http://tsa.serv.com

Signature du document PDF mondoc.pdf avec horodatage grâce au serveur (fictif) http://tsa.serv.com nécessitant une identification par login/mot de passe
java -jar TBSSignaturePDF.jar -in mondoc.pdf -pkcs12 macle.pfx -passwd maclepwd -alias clef1 -tsaHost http://tsa.serv.com -tsaLogin user1 -tsaPasswd s3cret

Signature du document PDF mondoc.pdf avec horodatage grâce au serveur (fictif) http://tsa.serv.com et en passant un proxy avec identification
java -jar TBSSignaturePDF.jar -in mondoc.pdf -pkcs12 macle.pfx -passwd maclepwd -alias clef1 -tsaHost http://tsa.serv.com -proxyHost 192.168.20.02 -proxyLogin userProxy -proxyPasswd passProxy

Problèmes

1. Téléchargez l'archive JCE Unlimited Strength Jurisdiction Policy Files.
2. Décompressez l'archive qui vient d'être télécharger.
3. Placez les fichiers "local_policy.jar" et "US_export_policy.jar" dans le dossier lib/security de votre répertoire d'installation Java.

Crédits

Utilitaires gratuits TBS Signature PDF
Outil de vérification TBSSignaturePDFVerify

Script complémentaire

Usage: pdf-signe.sh nom-du-pdf.pdf ["motif de la signature"]

Exemple d'utilisation:

$ pdf-signe 20070119_tarifs_tbs-certificats.pdf "tarifs approuvés"

/home/tag/NT-E/archives/cert/20100120-staff-tag.pfx
Mot de passe du certificat ci-dessus ?
----------------------------------------------------------
Bienvenue dans le programme de Signature de documents PDF

Vous voulez signer le document 20070119_tarifs_tbs-certificats.pdf.nosig
avec le certificat /home/tag/NT-E/archives/cert/20100120-staff-tag.pfx d'alias cert1 en utilisant le mode PPKMS
Vous voulez horodater le document avec le serveur : http://tsa.serv.com
Raison : tarifs approuvés
Localisation : TBS INTERNET - Caen

Etape 1 : Chargement du KeyStore et de la clé .
KeyStore OK
Clé privée OK
Etape 2 : Gestion des fichiers.
Fichiers OK
Etape 3 : Apposition de la signature + du jeton d'horodatage.

Le programme de signature de documents PDF s'est déroulé avec succés.
Le pdf signé se trouve ici : 20070119_tarifs_tbs-certificats.pdf

Généralités

• la portée de la signature (concerne tout le document ?)
• l'intégrité du document signé
• Le certificat utilisé pour signer (approuvé par l'Authorité de Certification ?, expiré ?, révoqué ?, ...)

Paramètres

Exemples

Signature du document PDF mondoc.pdf en spécifiant les informations de proxy
java -jar TBSVerifySignaturePDF.jar -in mondoc.pdf -proxyHost 192.168.2.3 -proxyPort 8080 -proxyLogin login -proxyPasswd s3cret

Signature du document PDF mondoc.pdf en spécifiant un keystore utilisateur
java -jar TBSVerifySignaturePDF.jar -in mondoc.pdf -ks myKeystore.jks -pwd s3cret

Remarque : pour les noms de fichiers, veillez à spécifier les chemins absolus.

Déroulement de l'application

1. Etape 1 : Affichage de la portée de la signature et du numéro de révision. Affiche également le sujet et l'émetteur du certificat ainsi que la liste des CRLs trouvées.
2. Etape 2 : Indique si le document a subi des modifications.
3. Etape 3 : Téléchargement des éventuelles CRLs et confrontation du certificat avec celles-ci.
4. Etape 4 : Affichage des informations liées à un éventuel horodatage du certificat.
5. Pour terminer affichage des éventuelles erreurs.

Crédits

Utilitaires gratuits TBS Signature PDF
Outil de signature TBSSignaturePDF

Les définitions sont pour la plupart, tirées des sites fr.wikipedia.org ou www.dicofr.com .

Utilitaires gratuits TBS Signature PDF
Outil de signature TBSSignaturePDF
Outil de vérification TBSSignaturePDFVerify

Cas d'erreur :

java.io.FileNotFoundException
Vous avez peut être omis de spécifier le chemin absolu du fichier PDF (ou du fichier pkcs12) que vous voulez signer.

java.lang.NoClassDefFoundError
Vous avez peut être omis l'expression « -jar » avant le fichier jar.

Utilitaires gratuits TBS Signature PDF
Outil de signature TBSSignaturePDF
Outil de vérification TBSSignaturePDFVerify

Fixé

Plutôt que de se reposer sur un sécurité illusoire (anti-modification du fichier par exemple), il faut signer électroniquement vos PDF. Certes les modifications du PDF sont possibles, mais le certificat électronique indiquera alors le fichier comme modifié.

           Au signature.TBSSignaturePDF.main <TBSSignaturePDF.java: 124
           5 plus ...

  StrTemp As String
  RepFile As String Dim
  RepFile = CurrentProject.Path 'FileNamePath (FileName)
  strTemp = "java-jar" & Chr (34) & CurrentProject.Path & "\ TBSSignaturePDF-0.1.jar" & Chr (34) & ""
  strTemp = strTemp & "-in" & Chr (34) & FileName & Chr (34) & ""
  strTemp = strTemp & "" pkcs12 "& Chr (34) et certificat & Chr (34) &" "
  strTemp = strTemp & "-passwd" & CertificatKey & ""
  strTemp = strTemp & "-ppkLite mode"
  strTemp = strTemp & "motif-raison" Je certifie l'exactitude et la validité de ce «document»
  strTemp = strTemp & "" location "de Barcelone"
  «Tuez-le fichier temp vieux cas échéant
  On Error Resume Next
  Kill RepFile & "\ signed.pdf"
  On Error GoTo 0
  StrTemp SyncShell,, -1
  «Si nous avons obtenu le contrôle signed.pdf
  If Dir (RepFile & "\ signed.pdf") <> "" Then
    «La signature est ok
    SignPdf = True
    'copier le fichier temporaire, en écrasant le PDF original
    Kill FileName
    Nom RepFile & "\ signed.pdf" Comme FileName
  Autre
    «La signature a échoué
    SignPdf = False
  End If

• TBS Signature PDF (voir Utilitaires gratuits TBS Signature PDF ): gratuit et multi-plateforme (java), en ligne de commande
• BROADGUN pdfMachine - Signer: Windows 98/Me/NT/2000/XP/2003/x64, utilise les magasins Windows pour stocker les certificats
• ITEKSOFT pdfSealer: Windows 2000/XP/2003, utilise les magasins Windows pour stocker les certificats, a un mode batch
• PortableSigner: gratuit et multi-plateforme (java)

• UTIMACO Convert & Sign
• IPSCA U-Sign PDF: plugin pour Adobe Acrobat 5.0.5+

• NitroPDF

• TBS Signature PDF Verify (voir Outil de vérification TBSSignaturePDFVerify ): gratuit et multi-plateforme (java), en ligne de commande
• UTIMACO plugin pour Acrobat Reader 6+, utilise le magasin de certificats Windows.

Idéalement, il faudrait que le Reader puisse déterminer si à la date de signature du PDF, le certificat était valide. Hors une fois le certificat expiré, il ne figure plus dans la liste de révocation (si il y avait figuré). Le Reader ne peut donc pas savoir si il est valide, et il le considère donc comme invalide et non vérifiable.

Il est donc préférrable d'utiliser un jeu de certificats de longueu durée de vie pour signer des documents qui doivent être valident longtemps.

Nous espérons que ce programme permette de reconnaitre nos certificats à terme.

voir http://www.adobe.com/security/approved-trust-list.html

• Importer les certificats des autorités à reconnaitre
• Sous Windows, utiliser la base de certificats Windows en complément (non recommandé)

Dans Acrobat Reader 7, 8 ou 9, allez dans le menu Document, "(Manage) Trusted Identities" ou "(Gérer) Identités approuvées". Puis sur "Add Contact" puis Browse. Sélectionnez alors le fichier TBSX509CA-pdf.p7b
Il vous faudra enfin utiliser "Edit Trust" ou "Trust" dans la zone basse pour cocher la case "Signatures and as a trusted root" et affecter les droits suivants:

Nom du certificat	Signatures and as Trusted root	Certified Documents	Dynamic content	Embedded high privilege JavaScript
TBS X509 CA business	ok	ok
TBS X509 CA institutionnel	ok	ok	ok	ok
TBS X509 CA persona	ok	ok
TBS X509 CA signature composants	ok	ok	ok	ok

Terminez le cliquant le bouton "Importer".

Désormais les PDFs signés par nos certificats seront reconnus dans votre logiciel Adobe Acrobat Reader.

(Note: dans Acrobat Reader 7, les certificats non-dérivés de la racine Adobe n'héritent pas des réglages de confiance. Il est peut être nécessaire de définir les droits sur chaque racine générant des certificats end-entity.)

• Allez dans Edition, puis Préférences
• Cliquez sur Signatures Numériques dans la partie gauche de la fenêtre
• Cliquez sur le bouton Préférences Avancées... (en bas)
• Cochez la case Activer l'importation d'identités du stock de certificats Windows...
• Cochez la case Validation de signatures
• Cochez la case Validation de documents certifiés
• Cliquez sur OK
• Cliquez encore sur OK

Evidement, d'un point de vue de la sécurité, autoriser toutes les autorités présentes dans Microsoft à valider les PDF est un peu génant, à moins de n'avoir conservé que les racines de confiance.