如何使用 JavaScript 和 WebCrypto API 安全地对 PDF 进行数字签名？

使用纯 JavaScript 和 WebCrypto API 签署 PDF

使用 WebCrypto API 和纯 JavaScript 对 PDF 文档进行数字签名存在一定的挑战。虽然 WebCrypto API 已经发展并获得了 Chrome 和 Firefox 等浏览器的支持，但它缺乏对密钥存储或本地加密设备的直接访问。

为了安全 PDF 签名，不建议将整个 PDF 文件发送到浏览器或 API 服务器。推荐的方法是创建 PDF 的哈希值进行签名并仅将哈希值发送到浏览器。

基于浏览器的签名注意事项

为了解决 WebCrypto API 在访问本地密钥库方面的限制， Signer.Digital 等浏览器扩展提供了一个解决方案。该扩展弥补了浏览器和用户系统上运行的本地主机应用程序之间的差距。这允许访问本地密钥存储、加密 USB 或智能卡。

使用 Signer.Digital 扩展，JavaScript 代码可以调用方法来签署文档的哈希值。然后，主机应用程序通过 Microsoft 证书存储（在 Windows 上）或 PKCS#11 库（在 Linux 上）利用用户的证书来获取签名。该扩展返回一个 Base64 编码的 pkcs7 签名，可以将其注入到 PDF 中。

浏览器扩展主机函数

浏览器中的 JavaScript 代码可以从 Signer.Digital 浏览器调用以下方法扩展主机：

• signPdfHash(hash, certThumbPrint, hashAlgorithm)
• signHashCAdESBr(hash, certThumbPrint, hashAlgorithm)（适用于 ICP-巴西签名）
• signCAdESEg(hash, certThumbPrint, hashAlgorithm)（适用于埃及 ITIDA CAdES-BES签名）

这些方法使 JavaScript 能够从本地密钥存储和加密设备获取签名，而不会影响私钥的安全性。

以上是如何使用 JavaScript 和 WebCrypto API 安全地对 PDF 进行数字签名？的详细内容。更多信息请关注PHP中文网其他相关文章！