GB-T 31308.3-2023 行政、商業(yè)和行業(yè)中的數(shù)據(jù)元、過(guò)程和文檔 長(zhǎng)效簽名 第3部分- PDF高級(jí)電子簽名（PAdES）的長(zhǎng)效簽名規(guī)范

ICS35.240.60CCSL79中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)長(zhǎng)效簽名第3部分:PDF高級(jí)電子簽名(PAdES)的長(zhǎng)效簽名規(guī)范administration—Longtermsignature—Part3:LongtermsignatureprofilesforPDFAdvancedElectronicSignatures(PAdES)(ISO14533-3:2017,IDT)國(guó)家市場(chǎng)監(jiān)督管理總局國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)ⅠGB/T31308.3—2023/ISO14533-3:2017前言 Ⅲ引言 Ⅳ1范圍 12規(guī)范性引用文件 13術(shù)語(yǔ)和定義 14符號(hào)和縮略語(yǔ) 15要求 26長(zhǎng)效簽名 2附錄A(規(guī)范性)提供方的一致性聲明及其附件 13附錄B(規(guī)范性)僅使用時(shí)間戳的配置文件 20附錄C(規(guī)范性)時(shí)間戳令牌結(jié)構(gòu) 22附錄D(資料性)通過(guò)CMS簽名來(lái)應(yīng)用PAdES 24附錄E(資料性)多個(gè)簽名的示例 25參考文獻(xiàn) 28ⅢGB/T31308.3—2023/ISO14533-3:2017本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件是GB/T31308的第3部分。GB/T31308已經(jīng)發(fā)布了以下部分:—商業(yè)、工業(yè)和行政的過(guò)程、數(shù)據(jù)元和單證長(zhǎng)效簽名規(guī)范第1部分:CMS高級(jí)電子簽名(CAdES)的長(zhǎng)效簽名規(guī)范(GB/T31308.1—2014);(XAdES)的長(zhǎng)效簽名規(guī)范(GB/T31308.2—2014);(PAdES)的長(zhǎng)效簽名規(guī)范(GB/T31308.3—2023);—行政、商業(yè)和行業(yè)中的數(shù)據(jù)元、過(guò)程和文檔長(zhǎng)效簽名第4部分:用于長(zhǎng)效簽名格式的存證對(duì)象屬性(GB/T31308.4—2023)。本文件等同采用ISO14533-3:2017《商業(yè)、行業(yè)和行政中的數(shù)據(jù)元、過(guò)程和文檔長(zhǎng)效簽名第3部分:PDF高級(jí)電子簽名(PAdES)的長(zhǎng)效簽名規(guī)范》。本文件由全國(guó)電子業(yè)務(wù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC83)提出并歸口。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件起草單位:杭州電子科技大學(xué)、浙江永基智能科技有限公司、中國(guó)標(biāo)準(zhǔn)化研究院、中科標(biāo)準(zhǔn)(寧德)科技有限公司、清華大學(xué)深圳國(guó)際研究生院、福建福昕軟件開(kāi)發(fā)股份有限公司、皖西學(xué)院、浙江煥華檔案管理有限公司、杭州電子科技大學(xué)上虞科學(xué)與工程研究院有限公司、東莞市中標(biāo)科技有限公司、杭州市標(biāo)準(zhǔn)化研究院。ⅣGB/T31308.3—2023/ISO14533-3:2017引言GB/T31308是確保實(shí)現(xiàn)長(zhǎng)效簽名的互操作性,使電子簽名能夠長(zhǎng)期驗(yàn)證的標(biāo)準(zhǔn),對(duì)于電子商務(wù)市場(chǎng)安全有重大作用。GB/T31308擬由4個(gè)部分構(gòu)成。—第1部分:CMS高級(jí)電子簽名(CAdES)的長(zhǎng)效簽名規(guī)范。目的在于闡明CMS高級(jí)電子簽名(CAdES)的長(zhǎng)效簽名規(guī)范,確保該類電子簽名能夠被長(zhǎng)期驗(yàn)證。—第2部分:XML高級(jí)電子簽名(XAdES)的長(zhǎng)效簽名規(guī)范。目的在于闡明XML高級(jí)電子簽名(XAdES)的長(zhǎng)效簽名規(guī)范,確保該類電子簽名能夠被長(zhǎng)期驗(yàn)證?！?部分:PDF高級(jí)電子簽名(PAdES)的長(zhǎng)效簽名規(guī)范。目的在于闡明PDF高級(jí)電子簽名(PAdES)的長(zhǎng)效簽名規(guī)范,確保該類電子簽名能夠被長(zhǎng)期驗(yàn)證?！?部分:用于長(zhǎng)效簽名格式的存證對(duì)象屬性。目的在于闡明長(zhǎng)效簽名驗(yàn)證所需存證對(duì)象屬性的規(guī)范,確保電子簽名能夠被長(zhǎng)期驗(yàn)證。GB/T31308(所有部分)均為一一對(duì)應(yīng)采用ISO14533(所有部分),以保證電子簽名長(zhǎng)效驗(yàn)證的實(shí)施規(guī)范與國(guó)際接軌。通過(guò)制定該系列標(biāo)準(zhǔn),完善相關(guān)標(biāo)準(zhǔn)體系。1GB/T31308.3—2023/ISO14533-3:2017長(zhǎng)效簽名第3部分:PDF高級(jí)電子簽名(PAdES)的長(zhǎng)效簽名規(guī)范1范圍本文件規(guī)定了PDF高級(jí)電子簽名(PAdES)的有關(guān)要素,以確保數(shù)字簽名長(zhǎng)期可被驗(yàn)證。本文件不給出數(shù)字簽名的新技術(shù)規(guī)范,也不對(duì)已有數(shù)字簽名技術(shù)規(guī)范的使用提出新的約束。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對(duì)應(yīng)的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。ISO14533-1商業(yè)、工業(yè)和行政的過(guò)程、數(shù)據(jù)元和單證長(zhǎng)效簽名規(guī)范第1部分:CMS高級(jí)電子簽名[Processes,dataelementsanddocumentsincommerce,industryandadministration—Longtermsignatureprofiles—Part1:LongtermsignatureprofilesforCMSAdvancedElectronicSignatures(CAdES)]注:GB/T31308.1—2014商業(yè)、工業(yè)和行政的過(guò)程、數(shù)據(jù)元和單證長(zhǎng)效簽名規(guī)范第1部分:CMS高級(jí)電子簽名(CAdES)的卡效簽名規(guī)范(ISO14533-1:2012,IDT)。ISO32000-2文件管理可移植文件格式第2部分:PDF2.0(Documentmanagement—Portabledocumentformat—Part2:PDF2.0)3術(shù)語(yǔ)和定義ISO14533-1界定的以及下列術(shù)語(yǔ)和定義適用于本文件。高級(jí)電子簽名advancedelectronicsignature與簽名人唯一關(guān)聯(lián)的且能夠識(shí)別簽名人的電子簽名。它是用電子簽名數(shù)據(jù)創(chuàng)建的,能檢測(cè)簽字后的所有改動(dòng),簽名人能確定他是唯一可以控制該電子簽名的人。4符號(hào)和縮略語(yǔ)下列符號(hào)和縮略語(yǔ)適用于本文件:C:條件型M:必備型O:可選型P:禁止型(創(chuàng)建或修改)2GB/T31308.3—2023/ISO14533-3:2017CA:認(rèn)證機(jī)構(gòu)(CertificationAuthority)CAdES:CMS高級(jí)電子簽名(CMSadvancedelectronicsignature)CMS:加密報(bào)文語(yǔ)法(CryptographicMessageSyntax)CRL:認(rèn)證撤銷清單(CertificateRevocationList)DSS:文檔安全存儲(chǔ)(DocumentSecurityStore)OCSP:聯(lián)機(jī)證書狀態(tài)協(xié)議(OnlineCertificateStatusProtocol)PAdES:PDF高級(jí)電子簽名(PDFAdvancedElectronicSignatures)PAdES-A:使用存檔驗(yàn)證數(shù)據(jù)的PAdES-T(PAdES-TusingArchivevalidationdata)PAdES-DT:只使用文檔時(shí)間戳字典的PDF(PDFfileusingonlyDocumentTimestampdictionary)PAdES-DTA:使用存檔驗(yàn)證數(shù)據(jù)的PAdES-DT(PAdES-DTusingArchivevalidationdata)PAdES-T:使用時(shí)間戳的PAdES(PAdESusingTimestamp)TSA:時(shí)間戳機(jī)構(gòu)(Time-StampingAuthority)VRI:用于驗(yàn)證的相關(guān)信息(ValidationRelatedInformation)5要求5.1PAdES-T數(shù)據(jù)的生成或驗(yàn)證符合本文件的前提條件是滿足以下要求:a)應(yīng)包含本文件所規(guī)定的PAdES-T配置文件中的所有“必備型”要素;b)應(yīng)提供本文件所規(guī)定的PAdES-T配置文件中所有“條件型”要素的詳細(xì)規(guī)范。5.2PAdES-A數(shù)據(jù)的生成或驗(yàn)證符合下列兩項(xiàng)要求:a)應(yīng)包含本文件所規(guī)定的PAdES-A配置文件中的所有“必備型”要素;b)應(yīng)提供本文件所規(guī)定的PAdES-A配置文件中所有“條件型”要素的詳細(xì)規(guī)范。5.3PAdES-DT和PAdES-DTA數(shù)據(jù)的生成或驗(yàn)證應(yīng)符合附錄B中圖B.1和圖B.2中所列要求,見(jiàn)附錄B。5.4如果使用了第一方的一致性評(píng)定,則實(shí)施者應(yīng)提供符合本文件的一致性聲明。聲明內(nèi)容包括披露供應(yīng)商的一致性聲明及其附件(見(jiàn)附錄A),其中附件還應(yīng)包含實(shí)施狀態(tài)的描述(以及所有“條件型”要素的詳細(xì)規(guī)范)。注1:見(jiàn)ISO/IEC17050-1:2004。注2:圖1給出了PAdES-T數(shù)據(jù)和PAdES-A數(shù)據(jù)生成和驗(yàn)證的流程設(shè)定。6長(zhǎng)效簽名6.1PAdES配置文件的定義和流程設(shè)定為了確保電子簽名可長(zhǎng)期驗(yàn)證,滿足以下要求:—應(yīng)可識(shí)別簽名時(shí)間;—應(yīng)能檢測(cè)到包含簽名主體信息和驗(yàn)證數(shù)據(jù)等各種電子簽名信息的任何非法篡改;—應(yīng)確保信息之間的互操作性。為了滿足這些要求,本文件給出了PAdES的兩個(gè)配置文件。a)PAdES-T配置文件:一種用于創(chuàng)建和驗(yàn)證帶有時(shí)間戳電子簽名的配置文件。時(shí)間戳存儲(chǔ)在該電子簽名的“簽名時(shí)間戳”屬性中,或者存儲(chǔ)在隨后過(guò)程中包含了該時(shí)間戳的任意對(duì)象中,該對(duì)3GB/T31308.3—2023/ISO14533-3:2017象是一個(gè)帶有“簽名時(shí)間戳”屬性的“文檔”時(shí)間戳或電子簽名。b)PAdES-A配置文件:與驗(yàn)證數(shù)據(jù)長(zhǎng)期可用性和完整性的生成和驗(yàn)證相關(guān)的配置文件,以保護(hù)PAdES-T數(shù)據(jù),確保驗(yàn)證數(shù)據(jù)不受任何非法更改的影響。圖1給出了PAdES-T數(shù)據(jù)與PAdES-A數(shù)據(jù)之間的關(guān)系。圖1PAdES-T數(shù)據(jù)與PAdES-A數(shù)據(jù)之間的關(guān)系6.2要求級(jí)別的表示法本文件給出了(配置文件)中構(gòu)成PAdES-T數(shù)據(jù)和PAdES-A數(shù)據(jù)的每個(gè)要素要求級(jí)別的表示方法。a)必備型(M):如果級(jí)別是“必備型”要素應(yīng)被完整無(wú)誤地實(shí)施。如果該“必備型”要素中含有可選的子要素,則應(yīng)至少選擇其中一個(gè)子要素。如等級(jí)是“必備型”要素且其是“可選型”要素中的子要素時(shí),此時(shí)應(yīng)在選擇該“可選型”要素時(shí)同時(shí)選用該“必備型”要素。b)可選型(O):要求級(jí)別為“可選型”的要素可由實(shí)施方自行決定是否實(shí)施。c)條件型(C):要求級(jí)別為“條件型”的要素可由實(shí)施方自行決定是否實(shí)施,如果實(shí)施則需給出使用這些要素的詳細(xì)規(guī)范。d)禁止型(P):要求級(jí)別為“禁止型”的要素不應(yīng)被創(chuàng)建或修改,但是可讀取。6.3要求級(jí)別的設(shè)置標(biāo)準(zhǔn)PAdES-T數(shù)據(jù)和PAdES-A數(shù)據(jù)中的每個(gè)要素的要求級(jí)別按照以下要求進(jìn)行設(shè)置。a)PAdES中的“必備型”要素,以及用于生成和驗(yàn)證長(zhǎng)效簽名所必需的要素,其要求級(jí)別都應(yīng)為b)在外部進(jìn)行定義的要素其要求級(jí)別應(yīng)是“條件型”。示例1:OtherCertificateFormat(其他證書格式)。c)與特定應(yīng)用程序進(jìn)行交互的要素,其要求級(jí)別應(yīng)是“條件型”。示例2:CommitmentType(承諾類型)。d)具有操作依賴因素的要素,其要求級(jí)別應(yīng)是“條件型”。示例3:Attributecertificate(屬性證書);timemark(時(shí)間標(biāo)記)。注:ISO/IEC18014-2中的存檔類型時(shí)間戳包含在“時(shí)間標(biāo)記或其他方法”中。e)僅包含引用信息的要素,其要求級(jí)別應(yīng)是“可選型”。4GB/T31308.3—2023/ISO14533-3:20176.4PAdES-T配置文件6.4.1通則PAdES-T配置文件被定義為電子簽名的一種形式,其簽名值受到具有可作為存證的任意可信證據(jù)(如文檔時(shí)間戳)的后續(xù)對(duì)象的保護(hù)。PAdES-T是在PAdES的基礎(chǔ)上使用6.4.2規(guī)定的CAdES簽名擴(kuò)展而來(lái)。6.4.2還規(guī)定了使用CAdES簽名的PAdES各組成要素的要求等級(jí)。PAdES-T配置文件具有以下三種類型:—具有文檔時(shí)間戳的PAdES-T;—具有簽名時(shí)間戳屬性的PAdES-T;—具有簽名時(shí)間戳屬性的后續(xù)簽名的PAdES-T。6.4.3中規(guī)定了PAdES-T配置文件的要求級(jí)別。圖2具有文檔時(shí)間戳的PAdES-T配置文件圖3具有簽名時(shí)間戳屬性的PAdES-T配置文件5GB/T31308.3—2023/ISO14533-3:2017圖4具有簽名時(shí)間戳屬性的后續(xù)簽名的PAdES-T配置文件6.4.2使用CAdES簽名規(guī)范的PAdES表1規(guī)定了使用CAdES簽名規(guī)范所構(gòu)成PAdES簽名的字典條目的要求級(jí)別。未指定要求級(jí)別的要素,其級(jí)別將被設(shè)置為C(條件可選)。表1使用CAdES簽名的PAdES簽名字典條目(Entry)要求級(jí)別(Requiredlevel)值(Value)類型(Type)O簽名(Sig)過(guò)濾器(Filter)M子過(guò)濾器(SubFilter)METSI.CAdES.detacheda內(nèi)容(Contents)M見(jiàn)表2字節(jié)范圍(ByteRange)M存儲(chǔ)最近修改的時(shí)間(M)Mb證書(Cert)P位置(Location)O原因(Reason)O聯(lián)系信息(ContactInfo)Oa見(jiàn)附錄D。b即使簽名不包含M條目,簽名驗(yàn)證應(yīng)用程序也不應(yīng)認(rèn)為此簽名無(wú)效。M條目的時(shí)間基本上不用于驗(yàn)證證書。如果該信息用于驗(yàn)證,則有必要明確定義該信息的用途(例如,在簽名策略中描述用途)。表2規(guī)定了構(gòu)成簽名數(shù)據(jù)中內(nèi)容信息的要素的要求級(jí)別。6GB/T31308.3—2023/ISO14533-3:2017表2簽名中的內(nèi)容信息要素(Element)要求級(jí)別(Requiredlevel)值(Value)內(nèi)容類型(ContentType)MID-簽署數(shù)據(jù)(id-signedData)內(nèi)容(Content)M見(jiàn)表3表3規(guī)定了構(gòu)成簽名數(shù)據(jù)中簽署數(shù)據(jù)(SignedData)的要素的要求級(jí)別。如ISO32000-2所述,加密消息語(yǔ)法(CMS)中規(guī)定的DER編碼的簽署數(shù)據(jù)對(duì)象應(yīng)作為PDF簽名包含在具有簽名字典關(guān)鍵內(nèi)容的條目中。表3簽名中簽署的數(shù)據(jù)(SignedData)要素(Element)要求級(jí)別(Requiredlevel)CMS版本號(hào)(CMSVersion)M摘要算法標(biāo)識(shí)符(DigestAlgorithmIdentifiers)M封裝的內(nèi)容信息(EncapsulatedContentInfo)M—電子內(nèi)容類型(eContentType)M—電子內(nèi)容(eContent)O證書集(多個(gè)證書)[CertificateSet(Certificates)]M—證書(Certificate)Ma—版本2的屬性證書(AttributeCertificateV2)P—其他證書格式(OtherCertificateFormat)C撤銷信息選項(xiàng)(crls)[RevocationInfoChoices(crls)]O—證書列表(CertificateList)O—其他撤銷信息格式(OtherRevocationInfoFormat)C簽名人信息(SignerInfos)Mb—簽名人信息(signerInfo)Ma一個(gè)簽名生成應(yīng)用程序應(yīng)至少包含一個(gè)互用性簽名人證書。即使簽名不包含此要素,簽名驗(yàn)證應(yīng)用程序也不應(yīng)認(rèn)為此簽名無(wú)效。bPDF簽名中只能有一個(gè)簽名人信息。表4規(guī)定了構(gòu)成簽名數(shù)據(jù)中簽名人信息的要素的要求級(jí)別。表4簽名中的簽名人信息要素(Element)要求級(jí)別(Requiredlevel)CMS版本號(hào)(CMSVersion)M簽名人標(biāo)識(shí)符(SignerIdentifier)M—簽發(fā)人及其序列號(hào)(IssuerAndSerialNumber)O—主體密鑰標(biāo)識(shí)符(SubjectKeyIdentifier)O7GB/T31308.3—2023/ISO14533-3:2017表4簽名中的簽名人信息(續(xù))要素(Element)要求級(jí)別(Requiredlevel)摘要算法標(biāo)識(shí)符(DigestAlgorithmIdentifier)M簽名屬性(SignedAttributes)M簽名算法標(biāo)識(shí)符(SignatureAlgorithmIdentifier)M簽名值(SignatureValue)M簽名人未使用的簽署屬性(UnsignedAttributes)O表5規(guī)定了構(gòu)成簽名屬性的要素的要求級(jí)別。將未指示的要素設(shè)置為C(條件型)。表5簽名中的簽名屬性要素(Element)要求級(jí)別(Requiredlevel)內(nèi)容類型(ContentType)M報(bào)文摘要(MessageDigest)M簽名證書引用(SigningCertificateReference)M—ESS簽名證書(ESSSigningCertificate)O—版本2的ESS簽名證書(ESSSigningCertificateV2)Oa—其他簽名證書(OtherSigningCertificate)C簽名策略標(biāo)識(shí)符(SignaturePolicyIdentifier)Cb承諾類型標(biāo)記(CommitmentTypeIndication)Cb簽名人標(biāo)識(shí)符(SignerIdentifier)C內(nèi)容時(shí)間戳(ContentTimestamp)C簽名時(shí)間(SigningTime)P內(nèi)容引用(ContentReference)P內(nèi)容標(biāo)識(shí)符(ContentIdentifier)P內(nèi)容提示(ContentHints)P簽名人屬性(SignerAttribute)Cc簽名人位置(SignerLocation)Oda當(dāng)使用CAdES簽名生成符合PAdES要求的簽名時(shí),簽名屬性中應(yīng)包含版本2的簽名證書的屬性。b見(jiàn)ISO32000-2:2017中的.4。c見(jiàn)ISO32000-2:2017中的.3。d可使用表1中的簽名人位置屬性或位置條目。表6規(guī)定了簽名人未使用的簽署屬性的構(gòu)成要素的要求級(jí)別。未被指示的要素設(shè)置為C(條件型)。表6簽名中簽名人未使用的簽署屬性要素(Element)要求級(jí)別(Requiredlevel)非主要的簽名(CounterSignature)P8GB/T31308.3—2023/ISO14533-3:20176.4.3PAdES-T配置文件的時(shí)間戳見(jiàn)表7。a)具有文檔時(shí)間戳的PAdES-T配置文件具有文檔時(shí)間戳的PAdES-T配置文件定義為使用CAdES簽名規(guī)范的PAdES擴(kuò)展形式,此CAdES簽名規(guī)范添加了文檔時(shí)間戳字典。b)具有簽名時(shí)間戳屬性的PAdES-T配置文件具有簽名時(shí)間戳屬性的PAdES-T配置文件定義為添加了簽名時(shí)間戳屬性的擴(kuò)展形式。c)具有簽名時(shí)間戳屬性的后續(xù)簽名的PAdES-T配置文件具有簽名時(shí)間戳屬性的后續(xù)簽名的PAdES-T配置文件定義為使用CAdES簽名規(guī)范的PAdES擴(kuò)展形式。此CAdES簽名規(guī)范添加了后續(xù)簽名字典,并包含具有簽名時(shí)間戳屬性的簽名。PAdES-T的時(shí)間值為最早有效時(shí)間戳的時(shí)間值,該時(shí)間戳應(yīng)符合a)、b)和c)簽名值中時(shí)間戳的要求。表7PAdES-T配置文件的時(shí)間戳要素(Element)要求級(jí)別(Requiredlevel)簽名時(shí)間戳(timestampforsignature)M—文檔時(shí)間戳字典(Documenttimestampdictionary)O—簽名時(shí)間戳屬性(SignaturetimestampAttribute)(簽名數(shù)據(jù)中簽名人未使用的簽署屬性)[unsignedattributesinsignaturedata]O—具有簽名時(shí)間戳屬性的后續(xù)簽名—(SubsequentSignaturewithaSignaturetimestampAttribute)(簽名數(shù)據(jù)中簽名人未使用的簽署屬性)[unsignedattributesinsignaturedata]O時(shí)間戳令牌配置文件的描述見(jiàn)附錄C。6.5PAdES-A配置文件6.5.1通則PAdES-A配置文件的構(gòu)成要素在6.5.2~6.5.7中進(jìn)行了規(guī)定。6.5.2PAdES-A配置文件的結(jié)構(gòu)PAdES-A配置文件是一種電子簽名的形式,此電子簽名作為存證作用的可信證據(jù)(例如:文檔時(shí)間戳)用來(lái)保護(hù)所對(duì)應(yīng)的PDF對(duì)象。此PDF對(duì)象包含:—需要簽名的數(shù)據(jù);—簽名值;—保護(hù)簽名值的可信證據(jù);—以往PDF對(duì)象的可信證據(jù);—更新后的驗(yàn)證信息(CRL或OCSP的thisUpdate值的響應(yīng)),該更新指的是在PAdES-T簽名值和可信證據(jù)的時(shí)間值之后的更新。注:見(jiàn)Rec.ITU-TX.509,ISO/IEC9594-8或IETFRFC6960。9GB/T31308.3—2023/ISO14533-3:2017PAdES-A配置文件是PAdES-T配置文件的擴(kuò)展形式,其添加了表8中規(guī)定的要素。PAdES-A確保能夠檢測(cè)與簽名相關(guān)信息的任何非法篡改,包括簽名的主體和驗(yàn)證數(shù)據(jù)。表8PAdES-A配置文件的要素要素(Element)要求級(jí)別(Requiredlevel)文檔安全存儲(chǔ)(DSS)字典[DocumentSecurityStore(DSS)Dictionary]M文檔時(shí)間戳字典(DocumenttimestampDictionary)M6.5.3文檔安全存儲(chǔ)字典文檔安全存儲(chǔ)(DSS)字典的條目應(yīng)符合ISO32000-2中的有關(guān)要求。DSS包含證書和撤銷信息,可對(duì)于簽名、簽名時(shí)間戳和附加在DSS字典之前的文檔時(shí)間戳進(jìn)行驗(yàn)證。6.5.4簽名VRI字典簽名VRI字典的條目應(yīng)符合ISO32000-2的有關(guān)要求。6.5.5文檔時(shí)間戳表9為文檔時(shí)間戳的簽名字典。表9文檔時(shí)間戳的簽名字典條目(Entry)要求級(jí)別(Requiredlevel)值(Value)類型(Type)M文檔時(shí)間戳(DocTimeStamp)過(guò)濾器(Filter)M子過(guò)濾器(SubFilter)METSI.RFC3161內(nèi)容(Contents)M時(shí)間戳令牌a(TimeStampToken)字節(jié)范圍(ByteRange)Mb引用(Reference)P變更(Changes)P名稱(Name)P簽名時(shí)間(M)P證書(Cert)P位置(Location)P原因(Reason)P聯(lián)系信息(ContactInfo)P簽名處理器版本(R)P10GB/T31308.3—2023/ISO14533-3:2017表9文檔時(shí)間戳的簽名字典(續(xù))條目(Entry)要求級(jí)別(Requiredlevel)值(Value)簽名字典格式的版本(V)O0簽名處理器可使用字典(Prop_Build)O簽名者身份驗(yàn)證時(shí)間(Prop_AuthTime)P簽名者身份驗(yàn)證類型(Prop_AuthType)Pa如IETFRFC3161中所規(guī)定。b字節(jié)范圍應(yīng)覆蓋整個(gè)文件,包括簽名字典,但不包括內(nèi)容值。文檔時(shí)間戳應(yīng)附在作為附錄的DSS字典之后。ISO32000-2規(guī)定了構(gòu)成文檔時(shí)間戳的條目的要求。附錄C中描述了時(shí)間戳令牌的規(guī)范。6.5.6更新PAdES-A當(dāng)最新文檔時(shí)間戳中使用的密碼算法可靠,且文檔時(shí)間戳的證書未過(guò)期時(shí),應(yīng)隨附該文檔的時(shí)間戳,從而確保簽名和/或時(shí)間戳的長(zhǎng)效性。操作步驟如下:a)獲取證書集和撤銷信息,用于驗(yàn)證最新文檔時(shí)間戳;b)將證書集和撤銷信息作為流對(duì)象存儲(chǔ)在PDF文件中,包含這些對(duì)象引用的DSS字典可作為其附錄,如要求,VRI作為其附錄;c)按照步驟b)所獲得PDF文件帶有文檔時(shí)間戳。6.5.7簽名和時(shí)間戳的驗(yàn)證數(shù)據(jù)驗(yàn)證數(shù)據(jù)是一組證書,這些證書包括需要用于驗(yàn)證簽名和時(shí)間戳的信任錨和撤銷信息。驗(yàn)證數(shù)據(jù)可與表10所述的PAdES簽名一起存儲(chǔ)。當(dāng)未與PAdES簽名一起存儲(chǔ)時(shí),驗(yàn)證數(shù)據(jù)應(yīng)通過(guò)另一種安全方式進(jìn)行存儲(chǔ),這些方式包括但不限于由認(rèn)證機(jī)構(gòu)(CA)作為可信第三方機(jī)構(gòu)(TrustedThirdParty,TTP)存儲(chǔ)或由時(shí)間戳機(jī)構(gòu)(TSA)存儲(chǔ)。表10存儲(chǔ)驗(yàn)證數(shù)據(jù)的要素驗(yàn)證數(shù)據(jù)的類型(Typeofvalidationdata)存儲(chǔ)驗(yàn)證數(shù)據(jù)的要素(Elementsofstoringvalidationdata)要求級(jí)別(Requiredlevel)優(yōu)先次序(Preferredorder)簽名的驗(yàn)證數(shù)據(jù)(Validationdataforsignatures)(FieldsinsidetheSignedDataofthesignature)ODSS引用的流對(duì)象(StreamobjectsreferredbyDSS)O1VRI引用的流對(duì)象(StreamobjectsreferredbyVRI)O211GB/T31308.3—2023/ISO14533-3:2017表10存儲(chǔ)驗(yàn)證數(shù)據(jù)的要素(續(xù))驗(yàn)證數(shù)據(jù)的類型(Typeofvalidationdata)存儲(chǔ)驗(yàn)證數(shù)據(jù)的要素(Elementsofstoringvalidationdata)要求級(jí)別(Requiredlevel)優(yōu)先次序(Preferredorder)簽名時(shí)間戳屬性的時(shí)間戳令牌的驗(yàn)證數(shù)據(jù)(Validationdatafortimestamptokenofsignaturetimestampat-tribute)含時(shí)間戳簽名中的已簽署數(shù)據(jù)(SignedData)字段(FieldsinsidetheSignedDataoftheO簽名時(shí)間戳的字段(FieldsinsidethesignatureOaDSS引用的流對(duì)象(StreamobjectsreferredbyDSS)O1VRI引用的流對(duì)象(StreamobjectsreferredbyVRI)O2證數(shù)據(jù)(ValidationdatafortimestamptokenofDocumenttimestamp)含時(shí)間戳簽名中的已簽署數(shù)據(jù)(SignedData)字段(FieldsinsidetheSignedDataoftheP文檔時(shí)間戳的字段(FieldsinsidetheDocu-menttimestamp)OaDSS引用的流對(duì)象(StreamobjectsreferredbyDSS)O1VRI引用的流對(duì)象(StreamobjectsreferredbyVRI)O2a宜使用DSS或VRI存儲(chǔ)撤銷信息。6.6多個(gè)簽名6.6.1通則PDF文件中的多個(gè)簽名可以使用增量更新實(shí)現(xiàn)。當(dāng)有多個(gè)簽名時(shí),該P(yáng)DF文件的一致性定義如下:—當(dāng)PDF文件中所有簽名符合PAdES-A配置文件的要求時(shí),則該P(yáng)DF文件可聲稱符合PAdES-A配置文件的要求;—當(dāng)符合PAdES-T配置文件要求的簽名和符合PAdES-A配置文件要求的簽名在同一PDF文件中共存時(shí),則該P(yáng)DF文件符合PAdES-T配置文件的要求。附錄E給出了PDF文件的多個(gè)簽名示例。6.6.2多個(gè)簽名的時(shí)間戳PAdES-T應(yīng)用于多個(gè)簽名時(shí),即使原有的簽名不帶時(shí)間戳,PAdES-T的時(shí)間戳也可以應(yīng)用于所有簽名。圖5是以文檔時(shí)間戳作為多個(gè)簽名的時(shí)間戳一個(gè)示例。因?yàn)榇宋臋n時(shí)間戳是由包括簽名1和簽名2的字節(jié)范圍生成,所以它提供兩個(gè)簽名的存在證明。12GB/T31308.3—2023/ISO14533-3:2017圖5以文檔時(shí)間戳表示的多個(gè)簽名的時(shí)間戳圖6描述了以簽名時(shí)間戳屬性表示的多個(gè)簽名的時(shí)間戳示例。簽名2中的簽名時(shí)間戳屬性是由簽名2的簽名值生成,簽名2的簽名值是由包括簽名1的字節(jié)范圍生成。因此,此簽名時(shí)間戳屬性在邏輯上保護(hù)了簽名2和簽名1。此簽名時(shí)間戳屬性能用作兩個(gè)簽名的時(shí)間戳。圖6以簽名時(shí)間戳屬性表示的多個(gè)簽名的時(shí)間戳則,應(yīng)在每個(gè)簽名簽署后立即生成PAdES-T時(shí)間戳。13GB/T31308.3—2023/ISO14533-3:2017附錄A(規(guī)范性)提供方的一致性聲明及其附件A.1通則本附錄規(guī)定了提供方符合PAdES長(zhǎng)效簽名規(guī)范的一致性聲明格式。A.2提供方一致性聲明的格式提供方符合長(zhǎng)效簽名規(guī)范的一致性聲明編號(hào):簽發(fā)人姓名:簽發(fā)人地址:聲明對(duì)象:上述聲明對(duì)象符合以下長(zhǎng)效簽名規(guī)范的配置文件要求。PAdES-T配置文件和/或PAdES-A配置文件PAdES-DT配置文件(見(jiàn)B.2)和/或PAdES-DTA配置文件(見(jiàn)B.3)所使用的要素符合A.3條款規(guī)定。附加信息:(操作檢查結(jié)果等其他內(nèi)容可以寫在此處。)簽名人和代表在此簽名:(簽發(fā)地點(diǎn)和日期)(姓名,頭銜)A.3提供方一致性聲明的附件格式A.3.1通則提供方一致性聲明的附件應(yīng)包括從A.3.2~A.3.9的條款,見(jiàn)表A.1~表A.13。A.3.2引用標(biāo)準(zhǔn)的版本號(hào)14GB/T31308.3—2023/ISO14533-3:2017A.3.3配置文件實(shí)施范圍表A.1配置文件實(shí)施配置文件標(biāo)識(shí)符(Profileidentifier)生成器(Generator)驗(yàn)證器(Verifier)PAdES-TPAdES-APAdES-DTPAdES-DTAA.3.4符合PAdES-T配置文件的內(nèi)容表A.2PAdES-T配置文件實(shí)施配置文件標(biāo)識(shí)符(Profileidentifier)生成器(Generator)驗(yàn)證器(Verifier)具有文檔時(shí)間戳的PAdES-T配置文件(PAdES-TprofilebyDocumenttimestamp)具有簽名時(shí)間戳屬性的PAdES-T配置文件(PAdES-TprofilebySignaturetimestampAttribute)多個(gè)簽名的時(shí)間戳(timestampformultiplesignatures)—文檔時(shí)間戳(byDocumenttimestamp)—簽名時(shí)間戳(bySignaturetimestamp)—具有簽名時(shí)間戳的后續(xù)簽名—(bySubsequentSignaturewithaSignaturetimestamp)表A.3簽名字典條目(Entry)要求級(jí)別(Requiredlevel)生成器(Generator)驗(yàn)證器(Verifier)類型(Type)O過(guò)濾器(Filter)M子過(guò)濾器(SubFilter)M內(nèi)容(Contents)M字節(jié)范圍(ByteRange)M簽名時(shí)間(M)M證書(Cert)P15GB/T31308.3—2023/ISO14533-3:2017表A.3簽名字典(續(xù))條目(Entry)要求級(jí)別(Requiredlevel)生成器(Generator)驗(yàn)證器(Verifier)位置(Location)O原因(Reason)O聯(lián)系信息(ContactInfo)O表A.4簽名數(shù)據(jù)中的內(nèi)容信息要素(Element)要求級(jí)別(Requiredlevel)生成器(Generator)驗(yàn)證器(Verifier)內(nèi)容類型(ContentType)M內(nèi)容(Content)M表A.5簽名數(shù)據(jù)中的簽署數(shù)據(jù)(SignedData)要素(Element)要求級(jí)別(Requiredlevel)生成器(Generator)驗(yàn)證器(Verifier)CMS版本號(hào)(CMSVersion)M摘要算法標(biāo)識(shí)符(DigestAlgorithmIdentifiers)M封裝的內(nèi)容信息(EncapsulatedContentInfo)M—電子內(nèi)容類型(eContentType)M—電子內(nèi)容(eContent)O證書集(多個(gè)證書)[CertificateSet(Certificates)]M—證書(Certificate)M—版本2的屬性證書—(AttributeCertificateV2)P—其他證書格式—(OtherCertificateFormat)C撤銷信息選項(xiàng)(crls)[RevocationInfoChoices(crls)]O—證書列表(CertificateList)O—其他撤銷信息格式—(OtherRevocationInfoFormat)C簽名人信息(SignerInfos)M—簽名人信息(signerInfo)M16GB/T31308.3—2023/ISO14533-3:2017表A.6簽名數(shù)據(jù)中的簽名人信息要素(Element)要求級(jí)別(Requiredlevel)生成器(Generator)驗(yàn)證器(Verifier)CMS版本號(hào)(CMSVersion)M簽名人標(biāo)識(shí)符(SignerIdentifier)M—簽發(fā)人及其序列號(hào)—(IssuerAndSerialNumber)O—主體密鑰標(biāo)識(shí)符—(SubjectKeyIdentifier)O摘要算法標(biāo)識(shí)符(DigestAlgorithmIdentifier)M簽署屬性(SignedAttributes)M簽名算法標(biāo)識(shí)符(SignatureAlgorithmIdentifier)M簽名值(SignatureValue)M簽名人未使用的簽署屬性(UnsignedAttributes)O表A.7簽名數(shù)據(jù)中的簽署屬性要素(Element)要求級(jí)別(Requiredlevel)生成器(Generator)驗(yàn)證器(Verifier)內(nèi)容類型(ContentType)M報(bào)文摘要(MessageDigest)M簽名證書引用(SigningCertificateReference)M—ESS簽名證書—(ESSSigningCertificate)O—版本2的ESS簽名證書—(ESSSigningCertificateV2)O—其他簽名證書—(OtherSigningCertificate)C簽名策略標(biāo)識(shí)符(SignaturePolicyIdentifier)C承諾類型標(biāo)記(CommitmentTypeIndication)C簽名人標(biāo)識(shí)符(SignerIdentifier)C內(nèi)容時(shí)間戳(ContentTimestamp)C內(nèi)容引用(ContentReference)P內(nèi)容標(biāo)識(shí)符(ContentIdentifier)P內(nèi)容提示(ContentHints)P簽名人屬性(SignerAttribute)C簽名人位置(SignerLocation)O17GB/T31308.3—2023/ISO14533-3:2017表A.8簽名數(shù)據(jù)中簽名人未使用的簽署屬性要素(Element)要求級(jí)別(Requiredlevel)生成器(Generator)驗(yàn)證器(Verifier)非主要的簽名(CounterSignature)P簽名時(shí)間戳(timestampforsignature)O—簽名時(shí)間戳令牌—(Signaturetimestamptoken)OA.3.5與PAdES-A配置文件的一致性表A.9PAdES-A配置文件的要素條目(Entry)要求級(jí)別(Requiredlevel)生成器(Generator)驗(yàn)證器(Verifier)文檔安全存儲(chǔ)(DSS)字典[DocumentSecurityStore(DSS)Dictionary]M文檔時(shí)間戳字典(DocumenttimestampDictionary)M表A.10驗(yàn)證信息存儲(chǔ)驗(yàn)證數(shù)據(jù)的類型(Typeofvalidationdata)存儲(chǔ)驗(yàn)證數(shù)據(jù)的要素(Elementsofstoringvalidationdata)要求級(jí)別(Requiredlevel)生成器(Generator)驗(yàn)證器(Verifier)簽名的驗(yàn)證數(shù)據(jù)(Validationdataforsigna-tures)簽名中已簽署數(shù)據(jù)(SignedData)的字段(FieldsinsidetheSignedDataofthesigna-ture)OaDSS引用的流對(duì)象(StreamobjectsreferredbyDSS)OVRI引用的流對(duì)象(StreamobjectsreferredbyVRI)O簽名時(shí)間戳屬性的時(shí)間戳令牌的驗(yàn)證數(shù)據(jù)含時(shí)間戳簽名中的已簽署數(shù)據(jù)(SignedData)字段(FieldsinsidetheSignedDataofthetimes-O簽名時(shí)間戳的字段(Fieldsinsidethesignaturetimestamp)OaDSS引用的流對(duì)象(StreamobjectsreferredbyDSS)OVRI引用的流對(duì)象(StreamobjectsreferredbyVRI)O18GB/T31308.3—2023/ISO14533-3:2017表A.10驗(yàn)證信息存儲(chǔ)(續(xù))驗(yàn)證數(shù)據(jù)的類型(Typeofvalidationdata)存儲(chǔ)驗(yàn)證數(shù)據(jù)的要素(Elementsofstoringvalidationdata)要求級(jí)別(Requiredlevel)生成器(Generator)驗(yàn)證器(Verifier)的驗(yàn)證數(shù)據(jù)(Validationdatafortimes-tamptokenofDocumenttimestamp)含時(shí)間戳簽名中的已簽署數(shù)據(jù)(SignedData)字段(FieldsinsidetheSignedDataofthetimes-P文檔時(shí)間戳的字段(FieldsinsidetheDocumenttimestamp)OaDSS引用的流對(duì)象(StreamobjectsreferredbyDSS)OVRI引用的流對(duì)象(StreamobjectsreferredbyVRI)Oa宜使用DSS或VRI存儲(chǔ)撤銷信息。A.3.6與PAdES-DT配置文件的一致性(見(jiàn)B.2)表A.11PAdES-DT配置文件的要素條目(Entry)要求級(jí)別(Requiredlevel)生成器(Generator)驗(yàn)證器(Verifier)文檔時(shí)間戳字典(Documenttimestampdictionary)MA.3.7與PAdES-DTA配置文件的一致性(見(jiàn)B.3)表A.12PAdES-DTA配置文件的要素條目(Entry)要求級(jí)別(Requiredlevel)生成器(Generator)驗(yàn)證器(Verifier)文檔安全存儲(chǔ)(DSS)字典[DocumentSecurityStore(DSS)Dictionary]M文檔時(shí)間戳字典(DocumenttimestampDictionary)M19GB/T31308.3—2023/ISO14533-3:2017A.3.8“條件型”要素引用規(guī)范編號(hào)(Number)要素名稱(Elementname)引用規(guī)范(Referencedspecification)1.2.A.3.9備注20GB/T31308.3—2023/ISO14533-3:2017附錄B(規(guī)范性)僅使用時(shí)間戳的配置文件B.1通則文檔時(shí)間戳能應(yīng)用于不包含電子簽名數(shù)據(jù)的PDF文件。此文檔時(shí)間戳用作PDF文件存在的證明。B.2PAdES-DT配置文件B.2.1通則將PAdES-DT配置文件定義為包含文檔時(shí)間戳字典但不包含簽名的PDF文件。符合PAdES-DT配置文件要求的數(shù)據(jù)應(yīng)滿足以下要求:—數(shù)據(jù)不包含簽名字典[該數(shù)據(jù)類型為Sig(簽名)];—數(shù)據(jù)包含文檔時(shí)間戳字典[該數(shù)據(jù)類型為DocTimeStamp(文檔時(shí)間戳)]。PAdES-DT數(shù)據(jù)可能包含超過(guò)一個(gè)的文檔時(shí)間戳。圖B.1給出PAdES-DT的數(shù)據(jù)結(jié)構(gòu)。圖B.1PAdES-DT的數(shù)據(jù)結(jié)構(gòu)B.2.2文檔時(shí)間戳字典ISO32000-2中規(guī)定了構(gòu)成文檔時(shí)間戳字典要素的要求。B.3PAdES-DTA配置文件將PAdES-DTA配置文件定義為能夠檢測(cè)與文檔時(shí)間戳相關(guān)的任何非法篡改信息(包括時(shí)間戳和驗(yàn)證數(shù)據(jù)主體)的PDF文件。PAdES-DTA數(shù)據(jù)由PAdES-DT數(shù)據(jù)擴(kuò)展而來(lái)。除了數(shù)據(jù)不包含簽名字典(類型為Sig(簽名))之外,其要求與PAdES-A配置文件的要求相同。PAdES-DT數(shù)據(jù)與PAdES-DTA數(shù)據(jù)之間的關(guān)系如圖B.2所示。21GB/T31308.3—2023/ISO14533-3:2017圖B.2PAdES-DT數(shù)據(jù)與PAdES-DTA數(shù)據(jù)之間的關(guān)系22GB/T31308.3—2023/ISO14533-3:2017附錄C(規(guī)范性)時(shí)間戳令牌結(jié)構(gòu)C.1通則本附錄規(guī)定了長(zhǎng)效簽名中時(shí)間戳令牌的結(jié)構(gòu)要求。C.2標(biāo)準(zhǔn)規(guī)范本文檔中的簽名時(shí)間戳令牌和用作驗(yàn)證數(shù)據(jù)長(zhǎng)期可用性和完整性的存檔時(shí)間戳令牌應(yīng)符合CMS、TSP和CAdES的要求。注:時(shí)間戳協(xié)議(TSP)在IETFRFC3161中定義。C.3構(gòu)成要素的要求級(jí)別表C.1規(guī)定了簽名時(shí)間戳令牌和用作驗(yàn)證數(shù)據(jù)長(zhǎng)期可用性和完整性的存檔時(shí)間戳令牌中的每個(gè)要素的要求級(jí)別。表C.1時(shí)間戳令牌每個(gè)要素的要求級(jí)別條目(Entry)要求級(jí)別(Requiredlevel)值(Value)內(nèi)容類型(ContentType)MID-簽署數(shù)據(jù)(id-signedData)內(nèi)容(Content)M簽署數(shù)據(jù)(signedData)—CMS版本號(hào)(CMSVersion)M—摘要算法標(biāo)識(shí)符(DigestAlgorithmIdentifiers)M—封裝的內(nèi)容信息(EncapsulatedContentInfo)M●電子內(nèi)容類型(eContentType)Mid-ct-TST信息●電子內(nèi)容(eContent)MTST信息的DER編碼值—證書集(多個(gè)證書)[CertificateSet(Certificates)]O●證書(Certificate)M至少應(yīng)提供一份簽名人TSA證書●版本1的屬性證書(AttributeCertificateV1)O●版本2的屬性證書(AttributeCertificateV2)O●其他證書格式(OtherCertificateFormat)O—撤銷信息選項(xiàng)(crls)[RevocationInfoChoices(crls)]O●證書列表(CertificateList)O●其他撤銷信息格式(OtherRevocationInfoFormat)O—簽名人信息(SignerInfos)M●簽名人信息(signerInfo)M23GB/T31308.3—2023/ISO14533-3:2017表C.1時(shí)間戳令牌每個(gè)要素的要求級(jí)別(續(xù))條目(Entry)要求級(jí)別(Requiredlevel)值(Value)a)CMS版本號(hào)(CMSVersion)Mb)簽名人標(biāo)識(shí)符(SignerIdentifier)M●簽發(fā)人及其序列號(hào)(IssuerAndSerialNumber)O●主體密鑰標(biāo)識(shí)符(SubjectKeyIdentifier)O—摘要算法標(biāo)識(shí)符(DigestAlgorithmIdentifier)M—簽署屬性(SignedAttributes)M●內(nèi)容類型(ContentType)Mid-ct-TST信息●報(bào)文摘要(MessageDigest)M●簽名證書引用(SigningCertificateReference)Ma)ESS簽名證書(ESSSigningCertificate)Ob)版本2的ESS簽名證書(ESSSigningCertifi-cateV2)Oac)其他簽名證書(OtherSigningCertificate)C●簽名算法標(biāo)識(shí)符(SignatureAlgorithmIdentifier)M—簽名值(SignatureValue)M—簽名人未使用的簽署屬性(UnsignedAttributes)O●完整證書引用(CompleteCertificateReferences)O●完整撤銷引用(CompleteRevocationReferences)Oa)完整撤銷引用CRL(CompleteRevRefsCRL)Ob)完整撤銷引用OCSP(CompleteRevRefsOCSP)O●證書值(CertificateValues)Oa)證書值(CertificateValues)Ob)認(rèn)證機(jī)構(gòu)證書存儲(chǔ)(StorageofthecertificatebyCA)C●撤銷值(RevocationValues)Oa)證書列表(CertificateList)Ob)基礎(chǔ)OCSP響應(yīng)(BasicOCSPResponse)Oc)其他撤銷值(OtherRevVals)Ca若使用SHA-1以外的其他哈希算法,版本2的ESS簽名證書則應(yīng)在獲得新的時(shí)間戳令牌時(shí)被使用。24GB/T31308.3—2023/ISO14533-3:2017(資料性)通過(guò)CMS簽名來(lái)應(yīng)用PAdES使用CMS簽名(PKCS#7簽名)的PAdES可以替代使用CAdES簽名的PAdES被應(yīng)用于PAdES-T配置文件和PAdES-A配置文件中,進(jìn)行“驗(yàn)證數(shù)據(jù)長(zhǎng)期可用性和完整性”的驗(yàn)證。使用CAdES簽名的PAdES應(yīng)在新簽名中使用。25GB/T31308.3—2023/ISO14533-3:2017附錄E(資料性)多個(gè)簽名的示例E.1概述當(dāng)一份PDF文件包含多個(gè)簽名時(shí),此PDF文件與配置文件要求的一致性取決于此PDF文件中所有簽名的配置文件一致性。本附錄給出多簽名配置文件一致的示例。E.2PAdES-T配置文件的示例圖E.1展示的示例中,一份PDF文件包含了一個(gè)符合PAdES-T配置文件要求的簽名以及一個(gè)符合PAdES-A配置文件要求的簽名。圖E.1符合PAdES-T配置文件要求的PDF文件示例圖E.1中的PDF文件包含兩個(gè)簽名,分別為簽名(A)和簽名(D),兩個(gè)簽名各自的一致性如下所示?！灻?A)符合PAdES-A配置文件的要求,因?yàn)槠浒铝幸?●可用作簽名(A)時(shí)