如果我自己购买 pdf 签名证书,是不是就不需要买第三方的电子签章服务(或者 SDK)了?

空无
  • 2.8k

有没有这块的专业人士,可以给科普一下。最近在调研电子签章的东西(保险单证业务场景),但是业内的公司都是采购电子签章服务商提供的服务或者 SDK,配合授信的 CA 颁发证书,完成 PDF 的电子签章(数字签名+电子签章一起,也有叫域签章的)。

但我用程序完全可以实现啊,只要我购买了PDF签名证书,配合 PDF 库(比如 itext ),同样可以完成签章+数字签名的操作。

这样一来,还买这些厂商提供的电子签章服务干啥?直接买个证书一年几千块钱就搞定了, 数安 的 PDF 证书连 ADOBE 都信任,它不香吗?

回复
阅读 495
2 个回答

证书只是数字签名,证明你的文件确实是你的主体签发的。但你要的不是签章么?

电子签章也跟实体公章一样,不是你自己刻一个长的一样的就有法律效应了呀。

如果你的签章是经过公证、有受到国家承认的互联网存证机构存证,那确实就用不着买第三方服务了。

但我了解的这种服务也不光是提供一个签章的功能吧?一般都有配套的权限管理啊、合同归档啊、审批工作流啊之类的配套服务的吧?

当然你也可以选择这些全都自己做,没人拦着你说不行。但人家卖的不就是因为很多企业没能力做这些 IT 服务建设、或者外包出去成本更低么?

你自己给自己签名时,承担了一个签名过程中最最重要角色「 CA 机构」,因为证书都是你自己颁发的。

因为当你自己是一个 CA 机构,你可以给自己颁发证书,给自己签名,同样,你也可以伪造别人的证书,毕竟证书里面信息就那几样,所以系统不会信任你。

验证的过程实际上就是,你拿着你签名的文件给系统验证,系统因为信任 CA 机构,所以信任了你的签名。

因为这些 CA 机构的证书已经在放在了系统里面,所以验证时,不再需要安装根证书,而你自己要想让系统信任,你就需要让使用者在他的电脑上安装你的根证书,这样系统就能够信任你,但是这对于用户来说是存在安全隐患的。

说到这里,就要考虑另一个问题:
系统一开始就信任了一部分 CA 机构,把他们的根证书放到了系统里面,那万一有 CA 机构从中作妖,乱发证书,怎么办,岂不是乱了,所以就需要一定的费用,这也就是为啥你找一些知名的 CA 机构签名,需要花钱的原因。一旦被发现乱发证书,系统就有可能移除其 CA 机构的根证书,导致其签名过的内容,全部不能验证,风险是极大的,除了主动以外还有被动的,比如:私钥泄露。

注:上文中提到的系统,仅为代名词,不一定是操作系统,可以是浏览器等。

撰写回答
你尚未登录,登录后可以
  • 和开发者交流问题的细节
  • 关注并接收问题和回答的更新提醒
  • 参与内容的编辑和改进,让解决方法与时俱进
宣传栏