[go: up one dir, main page]

NO335397B1 - signature Porting - Google Patents

signature Porting Download PDF

Info

Publication number
NO335397B1
NO335397B1 NO20121349A NO20121349A NO335397B1 NO 335397 B1 NO335397 B1 NO 335397B1 NO 20121349 A NO20121349 A NO 20121349A NO 20121349 A NO20121349 A NO 20121349A NO 335397 B1 NO335397 B1 NO 335397B1
Authority
NO
Norway
Prior art keywords
signature
document
signing
pki
user
Prior art date
Application number
NO20121349A
Other languages
Norwegian (no)
Other versions
NO20121349A1 (en
Inventor
Liana Gyulzadyan Svendsen
Original Assignee
Maestro Soft As
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Maestro Soft As filed Critical Maestro Soft As
Priority to NO20121349A priority Critical patent/NO335397B1/en
Priority to PCT/NO2013/050198 priority patent/WO2014077698A1/en
Publication of NO20121349A1 publication Critical patent/NO20121349A1/en
Publication of NO335397B1 publication Critical patent/NO335397B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • G06F21/645Protecting data integrity, e.g. using checksums, certificates or signatures using a third party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/76Proxy, i.e. using intermediary entity to perform cryptographic operations

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Document Processing Apparatus (AREA)
  • Collating Specific Patterns (AREA)
  • Storage Device Security (AREA)

Abstract

En fremgangsmåte for digital signering av dokumenter er tilveiebrakt. Dette tilveiebringes ved et signaturporteringssystem som ekstraherer signatur fra et signert dokument og porterer den ekstraherte signatur til et forhåndsbehandlet dokument. Dette muliggjør multisignering av et dokument.A procedure for digital signing of documents is provided. This is provided by a signature porting system that extracts signatures from a signed document and ports the extracted signature into a pre-processed document. This enables multisignation of a document.

Description

Oppfinnelsens bakgrunn The background of the invention

Teknisk område Technical area

Oppfinnelsen angår digital signering generelt og nærmere bestemt et system for og en fremgangsmåte for digital signering av dokumenter med elektroniske identifiseringssystemer. The invention relates to digital signing in general and more specifically to a system for and a method for digitally signing documents with electronic identification systems.

Bakgrunnsteknikk Background technology

Følgende forkortelser fra faget vil bli benyttet: The following abbreviations from the subject will be used:

Eksisterende PKI-leverandører har sine egne PKI løsninger hvor en digital signatur kan returneres på ulike signaturinnpakkingsformater. For eksempel kan det være CMS signatur basert på PKCS#7 , CMS signatur basert på ETSI CAdES-BES, XML basert signatur formatert i SEID SDO Existing PKI providers have their own PKI solutions where a digital signature can be returned in various signature packaging formats. For example, it can be CMS signature based on PKCS#7, CMS signature based on ETSI CAdES-BES, XML based signature formatted in SEID SDO

(http://www.npt.nO/ikbViewer/Content/44963/SEID_Leveranse_3_v1.0.pdf) eller Adobe PDF signatur. For å kunne lese informasjon om signatar og kunne se selve dokumentet som er signert, krever noen av disse formatene et eget proprietært (http://www.npt.nO/ikbViewer/Content/44963/SEID_Leveranse_3_v1.0.pdf) or Adobe PDF signature. In order to be able to read information about the signer and to be able to see the document itself that has been signed, some of these formats require a separate proprietary

leseverktøy. Det er derfor ønskelig å støtte signering i Adobe PDF formatet som er et allment tilgjengelig format i dag hvor både signatur og dokument kan vises i Adobe PDF Reader som er svært allment utbredt også på verdensbasis. I 2009 utarbeidet ETSI profiler for PAdES dokumenter som imøtekommer kravene til det Europeisk Direktivet 1999/93/EC (European Directive on A Community Framework for Digital Signatures). reading tool. It is therefore desirable to support signing in the Adobe PDF format, which is a widely available format today, where both the signature and the document can be displayed in Adobe PDF Reader, which is also very widely used worldwide. In 2009, ETSI prepared profiles for PAdES documents that meet the requirements of the European Directive 1999/93/EC (European Directive on A Community Framework for Digital Signatures).

Den fysiske plasseringen av selve privat-nøkkelen og sertifikatet kan også inngå som en del av kravene, eksempelvis som at sertifikatet og privat-nøkkelen må være fysisk hos brukeren. I så måte må det vises til BankID der sertifikatet og privat-nøkkelen faktisk ikke er hos brukeren, men i stedet er hos banken. Andre løsninger som Buypass tilveiebringer sertifikatet i brikken som brukeren innehar. The physical location of the private key and the certificate itself can also be included as part of the requirements, for example that the certificate and the private key must be physically with the user. In this respect, it must be shown to BankID where the certificate and private key are not actually with the user, but are instead with the bank. Other solutions such as Buypass provide the certificate in the chip held by the user.

Fra den kjente teknikk skal det vises til følgende teknologier. From the known technique, reference must be made to the following technologies.

Digital signering av dokumenter med smartkort ( Cryptographic Service Providers) http://msdn.mi crosoft.com/en-us/1i brary/aa380245.aspx Ved å bruke denne teknologien, kan man delvis oppnå ønsket funksjonalitet, men svakheten er at den krever installasjon av tredjeparts programvare hos brukeren eller konfigurasjon av eksisterende rammeverk. Dette er lite levedyktig fordi blant annet det ikke er garantert at løsningen vil ha nok rettigheter til å endre konfigurasjon lokalt hos brukeren. Samtidig kan det være en del begrensninger forbundet med at ikke alle implementeringer av klientprogramvare støtter oppslag i online registre for verifisering av brukersertifikater. Digital signing of documents with smart cards ( Cryptographic Service Providers) http://msdn.mi crosoft.com/en-us/1i brary/aa380245.aspx By using this technology, one can partially achieve the desired functionality, but the weakness is that it requires installation of third-party software by the user or configuration of existing frameworks. This is not viable because, among other things, it is not guaranteed that the solution will have enough rights to change the configuration locally with the user. At the same time, there may be some limitations associated with the fact that not all implementations of client software support lookups in online registers for the verification of user certificates.

Digital Signering av ved hjelp av PKI Digital Signing by means of PKI

Løsningen tilveiebringer muligheten for digital signering med PKI, imidlertid er dette beheftet med flere utfordringer, blant annet fordi PKI tjeneste leverandørene har forskjellige implementeringer av infrastrukturen. Resultatet er at det er vanskelig å få ønsket sluttresultat i den format som man ønsker pluss er det begrensninger når det kommer til multisignering av samme dokument med forskjellige elektroniske identiteter (e-ID). The solution provides the possibility of digital signing with PKI, however, this is fraught with several challenges, among other things because the PKI service providers have different implementations of the infrastructure. The result is that it is difficult to get the desired end result in the format you want, plus there are limitations when it comes to multi-signing the same document with different electronic identities (e-ID).

Fra den kjente teknikk skal det også vises til Masterthesis med tittel «Advanced Electronis Signature» av Azizi, Fazel Ahmad, publisert juni 2011, Norwegian University of Science and Technology, Department of Telematics. Denne omhandler elektroniske signaturer med proxy-signaturer. En fremgangsmåte omtales der man signerer på vegne av en bruker med andre nøkler som er kalkulert ut i fra brukerens nøkler. I og med at løsningen beskriver et signaturfremstillingssystem som signerer med en tiltrodd kopi eller utledet nøkkel av brukerens private nøkkel, opptrer løsningen som en tiltrodd tredjepart og forvalter av nøkler (keyring). Dokumentet omtaler ulike måter å overføre private eller beregnede nøkler til nøkkelbeholder (key ring), men beskriver imidlertid ikke en portering av signaturen etter denne er påført i signaturfremstillingssystemet From the prior art, reference should also be made to the Master thesis entitled "Advanced Electronis Signature" by Azizi, Fazel Ahmad, published June 2011, Norwegian University of Science and Technology, Department of Telematics. This deals with electronic signatures with proxy signatures. A method is described where you sign on behalf of a user with other keys that have been calculated from the user's keys. As the solution describes a signature production system that signs with a trusted copy or derived key of the user's private key, the solution acts as a trusted third party and manager of keys (keyring). The document discusses various ways of transferring private or calculated keys to a key container (key ring), but does not, however, describe a porting of the signature after it has been applied in the signature production system

Det er derfor et behov for en løsning som løser overnevnte problemer. There is therefore a need for a solution that solves the above-mentioned problems.

Kort gjennomgåelse av oppfinnelsen Brief overview of the invention

Et hovedmål med den foreliggende oppfinnelse er å tilveiebringe en løsning der man kommer frem til system for og en fremgangsmåte for digital signering av dokumenter med elektroniske identifiseringssystemer. Det er også et mål å komme frem til system og fremgangsmåte for å ta frem en PAdES-signatur med utgangspunkt i en CMS, SDO, XML basert signatur. Videre er det et mål å muliggjøre flere signatarer med ulike PKI løsninger ved signering av samme dokument. A main aim of the present invention is to provide a solution in which a system for and a method for digitally signing documents with electronic identification systems is arrived at. It is also a goal to arrive at a system and procedure for producing a PAdES signature based on a CMS, SDO, XML based signature. Furthermore, it is a goal to enable several signatories with different PKI solutions when signing the same document.

Problemer som måtte løses med oppfinnelsen Problems that had to be solved with the invention

Av denne grunn er det et hovedmål med den foreliggende oppfinnelse å tilveiebringe en fremgangsmåte for å lage et system hvor man kan signere et PDF-dokument i et proprietært signaturformat som støttes av en gitt PKI leverandør, men likevel klare å ekstrahere signaturen i senere tid og lage en gyldig PAdES kompatibel signatur. Original signatur kan være CMS, SDO, eller XML-basert og for å kunne se både data som er signert og informasjon om hvem som har signert og andre detaljer om signatar kreves i noen tilfeller enten en online tjeneste eller en ikke utbredt ekstern visningsapplikasjon. Av denne grunn har det vært et ønske om å kunne generere et PAdES dokument for å kunne fremvise det signerte dokumentet og detaljer om signatarer i Adobe Reader. Problemet var at PKI-leverandørene enten ikke støttet signaturer i PDF-fil eller de støttet bare en begrenset profil av PDF signatur som gjorde det umulig å bruke deres PDF-signeringstjeneste. Det har også vært et ønske om å kunne ha mulighet til å multi-signere en PDF-fil med flere signatarer hvor de kan bruke flere forskjellige PKI løsninger. Dette var umulig siden de forskjellige PKI løsningene returnerte signaturer i forskjellige filformater. For this reason, it is a main goal of the present invention to provide a method for creating a system where one can sign a PDF document in a proprietary signature format supported by a given PKI provider, but still be able to extract the signature at a later time and create a valid PAdES compliant signature. Original signature can be CMS, SDO, or XML-based and in order to be able to see both data that has been signed and information about who has signed and other details about the signer, in some cases either an online service or a not widespread external viewing application is required. For this reason, there has been a desire to be able to generate a PAdES document in order to be able to display the signed document and details of signatories in Adobe Reader. The problem was that the PKI providers either did not support signatures in PDF file or they only supported a limited profile of PDF signature which made it impossible to use their PDF signing service. There has also been a desire to be able to multi-sign a PDF file with several signatories where they can use several different PKI solutions. This was impossible since the different PKI solutions returned signatures in different file formats.

I noen av PKI-løsningene besitter brukeren sin private nøkkel og sertifikat, mens i de andre PKI løsningene ligger både privat nøkkel og sertifikat lagret hos godkjent tiltrodd tredjepart (TTP). Dette har skapt utfordringer siden vanlig prosess for laging av digital signatur forutsetter at signatar har tilgang til sin private nøkkel og sertifikat. Derfor er det umulig for brukeren å bruke CSP (Cryptographic Service Provider) for å signere dokumentet i det formatet han ønsker. I stedet sendes dokumentet eller en hash av innholdet i dokumentet til PKI leverandøren som ved hjelp av flere sikkerhetsfaktorer henter privat nøkkel til brukeren og lager signatur over innholdet ( samt signaturer over en del andre parametere). Når signaturen over dokumentet lages er den basert på HASH av innholdet i PDF-filen. Dette innebærer at inkludering av signaturfelter i den originale PDF-filen i ettertid vil endre på hash av filen og gjøre signaturen ugyldig. In some of the PKI solutions, the user has his private key and certificate, while in the other PKI solutions both private key and certificate are stored with an approved trusted third party (TTP). This has created challenges since the usual process for creating a digital signature requires that the signatory has access to their private key and certificate. Therefore, it is impossible for the user to use CSP (Cryptographic Service Provider) to sign the document in the format he wants. Instead, the document or a hash of the content of the document is sent to the PKI provider who, with the help of several security factors, retrieves the user's private key and creates a signature over the content (as well as signatures over a number of other parameters). When the signature above the document is created, it is based on the HASH of the contents of the PDF file. This means that including signature fields in the original PDF file will subsequently change the hash of the file and make the signature invalid.

De midler som trengs for å løse problemene The means needed to solve the problems

Den foreliggende oppfinnelse når det mål som er satt opp ovenfor ved en fremgangsmåte for digital signering av dokumenter som definert i innledningen til krav 1, med trekkene i karakteristikken til krav 1. The present invention achieves the goal set out above by a method for digitally signing documents as defined in the introduction to claim 1, with the features of the characteristic of claim 1.

Den foreliggende oppfinnelse når det mål som er satt opp ovenfor ved en fremgangsmåte for digital multisignering av dokumenter som definert i innledningen til krav 3, med trekkene i karakteristikken til krav 3. The present invention achieves the goal set out above by a method for digital multi-signature of documents as defined in the introduction to claim 3, with the features of the characteristic of claim 3.

Den foreliggende oppfinnelse når det mål som er satt opp ovenfor ved et signaturporteringssystem som ekstraherer signatur fra et signert dokument og porterer den ekstraherte signatur til et forhåndsbehandlet dokument. The present invention achieves the goal set out above by a signature porting system that extracts a signature from a signed document and ports the extracted signature to a pre-processed document.

Virkningene av oppfinnelsen Effects of the invention

Den tekniske forskjell fra eksisterende PKI-løsninger er at foreliggende oppfinnelse tilveiebringer signering av dokumenter så som PDF-dokumenter ved bruk av ekstraksjon av mottatt signatur fra signering fra PKI og portering av denne signaturen for å signere dokumentet i ønsket format. The technical difference from existing PKI solutions is that the present invention provides signing of documents such as PDF documents using extraction of received signature from signing from PKI and porting of this signature to sign the document in the desired format.

Disse effektene tilveiebringer i sin tur ytterligere gunstige effekter: These effects in turn provide additional beneficial effects:

det gjør det mulig å signere et PDF-dokument i ønsket PAdES eller annet PDF signaturformat, selv om PKI leverandøren ikke direkte støtter dette, og it makes it possible to sign a PDF document in the desired PAdES or other PDF signature format, even if the PKI provider does not directly support this, and

multisignering av et PDF-dokument med av signatarer som hver kan anvende ulike PKI løsninger. multi-signature of a PDF document with signatories who can each use different PKI solutions.

Oppfinnelsen tilveiebringer en fremgangsmåte der man har funnet en metode hvor man ved å sende ekstra data sammen med PDF-dokumentet klarer å få tilbake signatur som er basert på en hash av PDF-dokumentet med signeringsfelter som signeres senere. The invention provides a method in which a method has been found where, by sending extra data together with the PDF document, you manage to get back a signature that is based on a hash of the PDF document with signature fields that are signed later.

Hvis hovedsertifikat-kjeden er tilgjengelig enten via OCSP oppslag eller via fysisk tilgjengelige rot-sertifikater, kan man også konstruere en gyldig LTV signatur. Samtidig tilføyes tidsstempel fra Time Stamping Authority. If the main certificate chain is available either via OCSP lookups or via physically available root certificates, a valid LTV signature can also be constructed. At the same time, a time stamp from the Time Stamping Authority is added.

Metoden løser også problemet med multisignaturer fordi ved å sekvensielt sende PDF-dokumentet til de forskjellige PKI løsningene, tilveiebringes et PDF-dokument med flere signaturer. The method also solves the problem of multi-signatures because by sequentially sending the PDF document to the different PKI solutions, a PDF document with several signatures is provided.

Kort gjennomgåelse av tegningene Brief review of the drawings

Oppfinnelsen skal i det følgende beskrives nærmere under henvisning til tegningsfigurene som viser flere utførelseseksempler, og der In the following, the invention will be described in more detail with reference to the drawings which show several examples of implementation, and where

fig. 1 skjematisk viser informasjonsflyten i et signatursystem som er basert på løsningen. fig. 1 schematically shows the information flow in a signature system that is based on the solution.

fig. 2 skjematisk viser et eksempel på multippel signering av et dokument av 2 brukere med 2 forskjellige PKI løsninger. fig. 2 schematically shows an example of multiple signing of a document by 2 users with 2 different PKI solutions.

fig. 3 skjematisk viser strukturen av et signert PDF-dokument. fig. 3 schematically shows the structure of a signed PDF document.

Gjennomgåelse av henvisningstallene som viser til tegningene Review of the reference numbers that refer to the drawings

Nærmere beskrivelse av oppfinnelsen Detailed description of the invention

Oppfinnelsen skal i det følgende beskrives nærmere under henvisning til tegningsfigurene som viser flere utførelseseksempler, og der Fig. 1 viser skjematisk et signatursystem med en interaksjon mellom en bruker, et signaturporteringssystem og en PKI, og Fig. 2 viser skjematisk oppbyggingen av et signert PDF-dokument signert ifølge oppfinnelsen In the following, the invention will be described in more detail with reference to the drawings which show several examples of implementation, and where Fig. 1 schematically shows a signature system with an interaction between a user, a signature porting system and a PKI, and Fig. 2 schematically shows the structure of a signed PDF document signed according to the invention

Prinsipper som ligger til grunn for oppfinnelsen Principles underlying the invention

Dersom et dataobjekt, eller fil, er signert med kvalifisert elektronisk signatur, vil også samtlige kopier være valide signerte utgaver. En kvalifisert elektronisk signatur er knyttet til dataobjektet gjennom en kryptografisk algoritme slik at signaturen ikke validerer dersom dataobjektet endres. Ideen bak oppfinnelsen ligger imidlertid i at en kvalifisert elektronisk signatur kan løses fra sitt signaturobjekt og benyttes til å påføre en valid signatur på en kopi av signaturobjektet i et annet signaturinnpakkingsformat. Denne signaturporteringen kan utføres uten å involvere signatarer, sertifikatautoriteter. Avhengig av hvilke formater som konverteres fra og til vil det være behov å spesifisere noen basiskrav som originalsignaturen må støtte. For eksempel algoritme over beregning av hash, osv. If a data object, or file, is signed with a qualified electronic signature, all copies will also be valid signed editions. A qualified electronic signature is linked to the data object through a cryptographic algorithm so that the signature does not validate if the data object is changed. The idea behind the invention, however, is that a qualified electronic signature can be detached from its signature object and used to apply a valid signature to a copy of the signature object in a different signature packaging format. This signature porting can be performed without involving signers, certificate authorities. Depending on which formats are converted from time to time, there will be a need to specify some basic requirements that the original signature must support. For example, algorithm of hash calculation, etc.

Beste måter å utføre oppfinnelsen på Best ways of carrying out the invention

Utførelseseksempelet av oppfinnelsen vist i Fig. 1 og 2 omfatter system med en signatur og system med flere signaturer på samme dokument, også kalt multisignatursystem. The embodiment of the invention shown in Fig. 1 and 2 comprises a system with a signature and a system with several signatures on the same document, also called a multi-signature system.

Det er ønskelig å benytte BankiD PKI og Buypass PKI til å signere PDF i PAdES format. I utgangspunktet vil vi støtte PAdES, part 4 LTV profile (Long term validation), men andre formater kan også implementeres. It is desirable to use BankiD PKI and Buypass PKI to sign PDF in PAdES format. Initially, we will support PAdES, part 4 LTV profile (Long term validation), but other formats can also be implemented.

På nåværende tidspunkt støtter imidlertid ikke Banki D signering av PDF i Adobe PDF format, men kan returnere en SEID SDO fil (innpakkingsformat). At the moment, however, Banki D does not support signing PDFs in Adobe PDF format, but can return a SEID SDO file (wrapper format).

Foreliggende oppfinnelse for signaturportering løser problemet ved å portere signaturene fra SDO til PAdES-formatet. The present invention for signature porting solves the problem by porting the signatures from SDO to the PAdES format.

Buypass PKI leverandør har begrenset støtte for PDF signering, med begrensning i filstørrelse, samt manglende støtte for fullt PAdES LTV format. Buypass PKI leverandøren støtter imidlertid CMS CADES-BES formatet, og foreliggende oppfinnelse muliggjør derfor PAdES-signatur av PDF-dokumenter ved å portere signaturen fra CMS CADES-BES formatet til PAdES-formatet for PDF-dokumenter av vilkårlig størrelse. The Buypass PKI provider has limited support for PDF signing, with a limitation in file size, as well as a lack of support for the full PAdES LTV format. However, the Buypass PKI provider supports the CMS CADES-BES format, and the present invention therefore enables PAdES signature of PDF documents by porting the signature from the CMS CADES-BES format to the PAdES format for PDF documents of arbitrary size.

Generelt i denne løsningen er at vi skal kunne portere en slik signatur hvis General in this solution is that we should be able to port such a signature if

1. PKI leverandør kan returnere en PKCS#7-kompatibel signatur blob (CMS eller CADES-BES) over data eller hash av data. 2. PKI leverandør kan prosessere data eller hash uten å anvende noen koding eller dekoding eller noe annet endring av data. 3. Det er ønskelig at PKI leverandør inkluderer all validerings informasjon (sertifikater, CRL og OCSP respons) som er nødvendig for å kunne lage langtids validering av alle involverte sertifikatkjeder. Dette inkluderer hovedsertifikatkjede fra sertifikatet som er brukt til signering til root sertifikatet. I tillegg er det ønskelig kjede av sertifikater for leverandører av valideringsinformasjon (OSCP tjenester, CRL utstedere og TSA) er inkludert. 4. Hvis PKI leverandør ikke inkluderer all nødvendig informasjon for validering, skal denne informasjonen kunne hentes på andre måter (for eksempel via online tjenester). All manglende valideringsinformasjon må være tilgjengelig enten som i form av sertifikater offline eller via online tjenester (CRL). 1. PKI provider can return a PKCS#7-compatible signature blob (CMS or CADES-BES) over data or hash of data. 2. The PKI provider can process data or hashes without applying any coding or decoding or any other change of data. 3. It is desirable that the PKI supplier includes all validation information (certificates, CRL and OCSP response) that is necessary to be able to create long-term validation of all involved certificate chains. This includes the root certificate chain from the certificate used for signing to the root certificate. In addition, it is desirable that the chain of certificates for providers of validation information (OSCP services, CRL issuers and TSA) is included. 4. If the PKI supplier does not include all the necessary information for validation, this information must be obtainable in other ways (for example via online services). All missing validation information must be available either as certificates offline or via online services (CRL).

Fig. 1 viser informasjonsflyten i et signatursystem 100 med bare en enkelt bruker med tilhørende utstyr, fortrinnsvis samlokalisert, 200 som signerer et dokument 210. Brukeren begynner prosessen ved opplasting 211 av dokumentet 210 til signaturporteringssystemet 300. Fig. 1 shows the information flow in a signature system 100 with only a single user with associated equipment, preferably co-located, 200 signing a document 210. The user begins the process by uploading 211 the document 210 to the signature porting system 300.

Signaturporteringssystemet 300 omfatter en rekke komponenter som kan være samlokaliserte, og som i en typisk utførelse ikke ligger hos brukeren. I signaturporteringssystemet blir det mottatte opplastede dokument 210 forhåndsbehandlet og klargjort for signering 311 og lagres eller mellomlagres som et forhåndsbehandlet dokument 312 og som sendes til to forskjellige ruter i systemet. The signature porting system 300 comprises a number of components which may be co-located, and which in a typical embodiment are not located with the user. In the signature porting system, the received uploaded document 210 is pre-processed and prepared for signing 311 and stored or buffered as a pre-processed document 312 and which is sent to two different routes in the system.

I en første rute sendes 313 dokumentet som forespørsel om signering til PKI, og sendes da til Private Key Infrastructure, ofte forkortet som PKI 400 og omfatter en rekke delsystemer. Blant disse er PKI-løsningens lager av sertifikater og eventuelt nøkler 410. Denne krever autentisering, så en forespørsel om autentisering 411 overføres til brukeren 200, som bruker Smartkort, OTP generator, pinkoder eller passord 220 for dette. Responsen er at brukeren autentiserer seg 221 med passord, pinkoder, osv. til PKI 400 slik at PKI-løsningen signerer dokument med privat nøkkel og sertifikat 411. Deretter skjer levering 412 av signatur basert på bruker sine privatnøkler til Signaturporteringssystemet 300 som da skaper en digital signatur 320 i for eksempel SDO, CMS, PKS#7, XML eller andre formater. Deretter ekstraheres 321 signatur fra mottatt fil og overføres til en enhet for portering 330 av signaturen til PDF-dokumentet. In a first route, the 313 document is sent as a request for signing to PKI, which is then sent to Private Key Infrastructure, often abbreviated as PKI 400 and includes a number of subsystems. Among these is the PKI solution's store of certificates and possibly keys 410. This requires authentication, so a request for authentication 411 is transferred to the user 200, who uses a smart card, OTP generator, PIN code or password 220 for this. The response is that the user authenticates 221 with a password, pin codes, etc. to the PKI 400 so that the PKI solution signs the document with a private key and certificate 411. The signature is then delivered 412 based on the user's private keys to the Signature Porting System 300, which then creates a digital signature 320 in, for example, SDO, CMS, PKS#7, XML or other formats. The signature is then extracted 321 from the received file and transferred to a device for porting 330 the signature to the PDF document.

I en andre rute sendes 315 det forhåndsbehandlede dokument for sluttføring av signatur til enheten for portering 330 av signaturen til PDF-dokumentet. I denne prosessen tas signert melding digest ut fra det signerte dokumentet som er mottatt fra PKI og legges til forbehandlet PDF-dokumentet for sluttføring av signatur. I denne fasen mangler man tidstempel fra TSA og OSCP-oppslag. In a second route, the pre-processed document for finalizing the signature is sent 315 to the unit for porting 330 the signature to the PDF document. In this process, a signed message digest is taken from the signed document that has been received from PKI and added to the pre-processed PDF document for finalizing the signature. In this phase, a time stamp from TSA and OSCP notices is missing.

Fra enheten for portering går prosessen til en enhet 331 for kobling til Time Stamping Authority, ofte forkortet TSA, for tidsstempling, og deretter en enhet 332 for å lage Online Certificate Status Protocol, ofte kalt OCSP, oppslag. TSA gir tid fra uavhengig tiltrodd tredjepart fra for eksempel atom-klokke. Tidsstempelet kan verifiseres og gir nødvendig bevis om signeringstidspunktet. OSCP-oppslag gjøres for å kunne verifisere gyldighet til brukersertifikat på signeringstidspunktet. Hvis for eksempel sertifikatet er utgått eller sperret må signeringsprosessen avbrytes. I tillegg lages LTV signatur hvor valideringsdata (CA-sertifikater, OSCP-oppslag eller CRL) lagres sammen med dokumentet for å kunne brukes senere ved validering av digital signatur. From the device for porting, the process goes to a device 331 for connecting to the Time Stamping Authority, often abbreviated TSA, for time stamping, and then a device 332 for making Online Certificate Status Protocol, often called OCSP, lookups. TSA provides time from an independent trusted third party from, for example, atomic clock. The time stamp can be verified and provides the necessary proof of the time of signing. OSCP lookups are done to be able to verify the validity of the user certificate at the time of signing. If, for example, the certificate has expired or been blocked, the signing process must be interrupted. In addition, LTV signature is created where validation data (CA certificates, OSCP lookup or CRL) is stored together with the document to be used later when validating the digital signature.

Til slutt i signaturporteringssystemet går dette til en enhet 333 for sluttføring av signering og lag PAdES dokument med LTV, og som returnerer til brukeren et digitalt signert PAdES PDF-dokument 230. Finally, in the signature porting system, this goes to a device 333 for finalizing the signing and creating PAdES document with LTV, and which returns to the user a digitally signed PAdES PDF document 230.

Fig. 2 viser skjematisk et eksempel 101 på multippel signering av et dokument av 2 brukere omfattende en første bruker 1200 og en andre bruker 2200 med 2 forskjellige PKI løsninger. Hver bruker omfatter tilhørende utstyr som fortrinnsvis er samlokalisert hos hver enkelt bruker, mens hver bruker kan være lokalisert separat. Fig. 2 schematically shows an example 101 of multiple signing of a document by 2 users comprising a first user 1200 and a second user 2200 with 2 different PKI solutions. Each user includes associated equipment which is preferably co-located with each individual user, while each user can be located separately.

I dette eksempelet signeres PDF-dokumentet fortrinnsvis først av BrukeM 1200, deretter av Bruker_2 2200. In this example, the PDF document is preferably signed first by BrukeM 1200, then by Bruker_2 2200.

BrukeM 1200 laster opp PDF-dokumentet 210 til Multi-signaturporteringssystemet 1300. Deretter behandles dokumentet i 1340 og lages dokument som sendes 1342 til signering til PKI system 1400. PKI systemet krever autentisering 1401 fra BrukeM. BrukeM klargjør maskinvare nødvendig til autentisering (brikker, smartkort) 1212 og autentiserer seg 1213 med OTP, pinkoder, passord. På bakgrunn av det, lages signatur og sendes tilbake 1402 til Multi-signaturporteringssystemet 1300. BrukeM 1200 uploads the PDF document 210 to the Multi-signature porting system 1300. The document is then processed in 1340 and a document is created which is sent 1342 for signing to the PKI system 1400. The PKI system requires authentication 1401 from BrukeM. BrukeM prepares hardware necessary for authentication (chips, smart cards) 1212 and authenticates itself 1213 with OTP, PIN code, password. Based on that, a signature is created and sent back 1402 to the Multi-Signature Porting System 1300.

Signeringsprosessen sluttføres i 1343 med å kontakte OSCP og TSA servere og lagres som PAdES PDF-dokument med LTV 1230. Deretter forbehandles dette dokumentet i 2340 for klargjøring til signering av Bruker_2 2200. Bruker_2 kan ha tilgang ti en annen PKI løsning 2400. Dokumentet som er forbehandlet i 2340 sendes 2342 til PKI system 2400 til signering. Bruker_2 får forespørsel 2401 om autentisering, klargjør smartkort, brikker 2212 og autentiserer seg 2213 med pinkoder, OTP eller passord. PKI 2400 lager digital signatur. The signing process is completed in 1343 by contacting the OSCP and TSA servers and is saved as a PAdES PDF document with LTV 1230. This document is then pre-processed in 2340 for preparation for signing by User_2 2200. User_2 may have access to another PKI solution 2400. The document which is pre-processed in 2340, 2342 is sent to PKI system 2400 for signing. User_2 receives request 2401 for authentication, prepares smart card, chip 2212 and authenticates 2213 with pin codes, OTP or password. PKI 2400 creates a digital signature.

Når signaturen overføres tilbake 2402 til Multi-siganturporteringssystemet 1300, sluttføres signeringsprosessen i 2343 ved å portere signatur, samt gjøre oppslag til OSCP og TSA server og tidsstempling for laging av PAdES LTV signatur. When the signature is transferred back 2402 to the Multi-signature porting system 1300, the signing process is completed in 2343 by porting the signature, as well as making lookups to the OSCP and TSA server and time stamping for creating the PAdES LTV signature.

Det signerte dokumentet 12230 lagres klar til nedlasting. Til slutt kan dokumentet 12230 som har nå signaturer fra begge brukere lastes ned 1344 av BrukeM for lagring lokalt 1344 og lastes ned 2344 av Bruker_2 for lagring lokalt. The signed document 12230 is saved ready for download. Finally, the document 12230 which now has signatures from both users can be downloaded 1344 by BrukeM for storage locally 1344 and downloaded 2344 by Bruker_2 for storage locally.

BrukeM har signert det originale dokumentet, mens Bruker2 har signert original dokumentet med signatur fra BrukeM. BrukeM has signed the original document, while Bruker2 has signed the original document with BrukeM's signature.

Merk at multisignering skjer ved å kjede sammen en prosess. I eksempelet over er det overføringen 1343 som knytter signeringsprosessen fra bruker_1 sammen med signeringsprosessen for bruker_2. Det er derfor mulig å utvide prosessen til fler enn 2 brukere ved å fortsette kjedingen. En slik kjede omfatter typisk en oppstart der en første bruker laster opp et dokument som skal signeres, en signering for hver enkelt bruker, og Note that multisigning occurs by chaining together a process. In the example above, it is transfer 1343 that links the signing process from user_1 with the signing process for user_2. It is therefore possible to extend the process to more than 2 users by continuing the chain. Such a chain typically includes a startup where a first user uploads a document to be signed, a signing for each individual user, and

en avslutning, der dokumentet sammenstilles og overføres til hver enkelt som skal motta dokumentet. a conclusion, where the document is compiled and transferred to each individual who is to receive the document.

Typisk er mottakerne de samme som signerte dokumentet. Typically, the recipients are the same as those who signed the document.

Fig. 3 viser skjematisk en struktur 500 av et signert PDF-dokument, omfattende innhold 510, et sertifikat 511, en signert melding digest 512, og et tidsstempel 513. Fig. 3 schematically shows a structure 500 of a signed PDF document, comprising content 510, a certificate 511, a signed message digest 512, and a time stamp 513.

Ytterligere utførelsesformer Additional embodiments

En kan se for seg en rekke variasjoner over overstående, men som ikke er en del av kravomfanget. Eksempelvis muliggjør signaturportering så lenge noen det finnes algoritmisk kompatibilitet mellom formatene. One can imagine a number of variations on the above, but which are not part of the scope of requirements. For example, signature porting is possible as long as there is algorithmic compatibility between the formats.

Man kan også tenke seg å kunne lage en del av signaturen offline, for eksempel så lenge man sitter med private nøkler for deretter å legge til annet informasjon tilgjengelig online for å imøtekomme standardene. You can also imagine being able to create part of the signature offline, for example as long as you have private keys and then add other information available online to meet the standards.

Industriell anvendbarhet Industrial applicability

Oppfinnelsen finner sin nytte ved bruk i av digital signering av dokumenter. The invention finds its use in the use of digital signing of documents.

Claims (4)

1. Fremgangsmåte for digital signering av dokumenter (210) av en bruker (200) omfattende trinnene: mottak (211) av et dokument (210), klargjøring for signering (311) og lagring eller mellomlagring som et forhåndsbehandlet dokument (312), overføring (313) av det forhåndsbehandlede dokument som forespørsel om signering til PKI, mottak (412) av signatur fra PKI, skape en digital signatur (320), ekstrahering (321) av signatur fra mottatt signatur fra PKI og overføring til en enhet for portering (330) av signaturen, overføring (315) av det forhåndsbehandlede dokumentet for sluttføring av signatur til enheten for portering (330) av signaturen til dokumentet, tidsstempling (331), oppslag for å lage OCSP (332), sluttføring av signering (333), og returnering av signert dokument (230), karakterisert vedat brukeren (200) signerer med sin egen private nøkkel.1. Method for digitally signing documents (210) by a user (200) comprising the steps: receiving (211) a document (210), preparing for signing (311) and storing or buffering as a pre-processed document (312), transferring (313) of the pre-processed document as request for signing to PKI, receiving (412) signature from PKI, creating a digital signature (320), extracting (321) signature from received signature from PKI and transfer to a device for porting ( 330) of the signature, transfer (315) of the pre-processed document for finalization of signature to the device for porting (330) of the signature to the document, timestamping (331), lookup to create OCSP (332), finalization of signing (333), and return of signed document (230), characterized in that the user (200) signs with his own private key. 2. Fremgangsmåte ifølge krav 1,karakterisert vedat sluttføring av signering lager et PAdES-dokument med LTV.2. Procedure according to claim 1, characterized in that finalization of signing creates a PAdES document with LTV. 3. Fremgangsmåte for digital multisignering av dokumenter (210) omfattende trinnene: mottak (211) av et dokument (210), signering av minst en bruker (200, 1200, 2200) omfattende klargjøring for signering (311) og lagring eller mellomlagring som et forhåndsbehandlet dokument (312), overføring (313) av det forhåndsbehandlede dokument som forespørsel om signering til PKI, mottak (412) av signatur fra PKI, skape en digital signatur (320), ekstrahering (321) av signatur fra mottatt signatur fra PKI og overføring til en enhet for portering (330) av signaturen, overføring (315) av det forhåndsbehandlede dokumentet for sluttføring av signatur til enheten for portering (330) av signaturen til dokumentet, tidsstempling (331), oppslag for å lage OCSP (332), sluttføring av signering (333), og overføring (2340) til en påfølgende bruker (2200) for signering, returnering (1344, 2344) av signert dokument (230, 12230), karakterisert vedat brukerne (200, 1200, 2200) signerer med egen private nøkkel.3. Method for digital multi-signature of documents (210) comprising the steps: receipt (211) of a document (210), signing by at least one user (200, 1200, 2200) comprising preparation for signing (311) and storage or intermediate storage as a pre-processed document (312), transfer (313) of the pre-processed document as a request for signing to PKI, receipt (412) of signature from PKI, create a digital signature (320), extraction (321) of signature from received signature from PKI and transfer to a device for porting (330) of the signature, transfer (315) of the pre-processed document for signature finalization to the device for porting (330) the signature to the document, timestamping (331), lookup to create OCSP (332), completion of signing (333), and transfer (2340) to a subsequent user (2200) for signing, return (1344, 2344) of signed document (230, 12230), characterized in that the users (200, 1200, 2200) sign with their own private key. 4. Fremgangsmåte ifølge krav 3,karakterisert vedat sluttføring av signering lager et PAdES-dokument med LTV.4. Method according to claim 3, characterized in that finalization of signing creates a PAdES document with LTV.
NO20121349A 2012-11-15 2012-11-15 signature Porting NO335397B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
NO20121349A NO335397B1 (en) 2012-11-15 2012-11-15 signature Porting
PCT/NO2013/050198 WO2014077698A1 (en) 2012-11-15 2013-11-15 Signature porting

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
NO20121349A NO335397B1 (en) 2012-11-15 2012-11-15 signature Porting

Publications (2)

Publication Number Publication Date
NO20121349A1 NO20121349A1 (en) 2014-05-16
NO335397B1 true NO335397B1 (en) 2014-12-08

Family

ID=50731503

Family Applications (1)

Application Number Title Priority Date Filing Date
NO20121349A NO335397B1 (en) 2012-11-15 2012-11-15 signature Porting

Country Status (2)

Country Link
NO (1) NO335397B1 (en)
WO (1) WO2014077698A1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9722794B2 (en) 2014-02-10 2017-08-01 Ims Health Incorporated System and method for remote access, remote digital signature
FR3048530B1 (en) * 2016-03-01 2019-09-06 Lex Persona OPEN AND SECURE SYSTEM OF ELECTRONIC SIGNATURE AND ASSOCIATED METHOD

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7162635B2 (en) * 1995-01-17 2007-01-09 Eoriginal, Inc. System and method for electronic transmission, storage, and retrieval of authenticated electronic original documents
AU2001275298A1 (en) * 2000-06-06 2001-12-17 Ingeo Systems, Inc. Creating and verifying electronic documents
US8086859B2 (en) * 2006-03-02 2011-12-27 Microsoft Corporation Generation of electronic signatures
IL176711A0 (en) * 2006-07-05 2006-10-31 Wondernet Ltd System and method for embedding digital fields in electronic files
JP4891844B2 (en) * 2007-06-19 2012-03-07 日本電信電話株式会社 Signature format conversion apparatus, pre-processing apparatus, signature verification apparatus, signature format conversion method, program, and storage medium thereof
US8949706B2 (en) 2007-07-18 2015-02-03 Docusign, Inc. Systems and methods for distributed electronic signature documents
JP5700422B2 (en) 2011-02-23 2015-04-15 セイコーインスツル株式会社 Long-term signature terminal, long-term signature server, long-term signature terminal program, and long-term signature server program

Also Published As

Publication number Publication date
NO20121349A1 (en) 2014-05-16
WO2014077698A1 (en) 2014-05-22

Similar Documents

Publication Publication Date Title
US11695782B2 (en) Electronic interaction authentication and verification, and related systems, devices, and methods
US9628281B2 (en) Server generating basic signature data using signing target data, electronic signature value and timestamp
US10742420B1 (en) Quantum-resistant double signature system
US8386647B2 (en) Method for time source calibration and system thereof
US8954731B2 (en) Distributive computation of a digital signature
CN110635913B (en) Electronic prescription verification method and device
US20180041333A1 (en) System and method for encryption
CN111506632B (en) A data processing method and device
WO2005029292A1 (en) Server-based digital signature
CN105635070B (en) Anti-counterfeiting method and system for digital file
CN107248075A (en) A kind of method and device for realizing bidirectional authentication of smart secret key equipment and transaction
CN110597836A (en) Information query request response method and device based on block chain network
EP4415310B1 (en) Unified secure device provisioning
JP2008198147A (en) A method for adjusting the time of a token for generating a time synchronization type one-time password, a token having a function for securely correcting the time of a clock, and a server for generating a message for correcting the time of the token
EP4329322A2 (en) Authentication of digital broadcast data
NO335397B1 (en) signature Porting
M'Raihi et al. OCRA: OATH challenge-response algorithm
US20050246539A1 (en) Trusted signature with key access permissions
US20180034645A1 (en) Arrangement and method for operating the arrangement containing a substation and at least one terminal device connected to it
US12081676B2 (en) Method for signing and submitting electronic documents through visual indicia
O'Neill et al. Protecting flight critical systems against security threats in commercial air transportation
Rückemann et al. Object security and verification for integrated information and computing systems
JP2013239878A (en) Personal attribute information management system and personal attribute information management method
JP2012239233A (en) Server for verifying long-term signature and server for verifying signature
M'Raihi et al. RFC 6287: OCRA: OATH Challenge-Response Algorithm