電子簽名揭秘：了解PAdES如何確保PDF簽名的安全性

上一篇文章我們簡單理解了ESI，本篇我們將針對PAdES這個概念進行更加深入的研究和對比，讓我們看到針對PDF的電子簽名格式是如何規定的。

一、什麼是PAdES？

1. 一句話定義 PAdES (PDF Advanced Electronic Signature) 是一套為PDF文檔設計高級電子簽名的國際標準。它遠不止是簡單地在PDF裡放一個簽名圖章，而是通過一套複雜但標準化的數據結構和機制，確保簽名後的PDF文件在多年後依然能被驗證和信任。

二、PAdES的核心作用：

普通的電子簽名，它會隨著時間推移面臨三大風險：

證書過期：用來簽名的數字證書有效期通常只有1-3年，過期後如何驗證當初的簽名？ 算法破解：現在安全的加密算法，未來可能被更強大的計算機破解。 材料丟失：驗證簽名所需的證書吊銷列表（CRL）等材料，其伺服器可能關閉，導致無法驗證。 PAdES通過定義不同級別的簽名，層層遞進地解決這些問題：

PAdES-B-B (基礎級)：證明簽名者身份和文檔完整性。 PAdES-B-T (帶時間戳)：增加可信時間戳，證明簽名在某個時間點已經存在，防止事後抵賴。 PAdES-B-LT (長期驗證)：將驗證所需的所有材料（證書、吊銷列表等）打包嵌入PDF自身，防止因外部伺服器關閉而無法驗證。 PAdES-B-LTA (長期驗證且存檔)：定期用更安全的算法生成新的時間戳，覆蓋整個簽名包，對抗算法過時的風險，實現永久有效。 目前一般只要採用PAdES-B-T (帶時間戳)即可滿足基本的電子簽名規範訴求（畢竟CA本身倒閉的可能性並不大，所以證書狀態驗證一般都是可以支持的）

三、PAdES的組成：

一個PAdES簽名在PDF文件裡內置了一个完整的“信任數據包”：

簽名值 (Signature Value)：基於密碼學運算的核心簽名值。 簽名者證書 (Signer’s Certificate)：證明簽名者身份的電子身份證。 可信時間戳 (Trusted Timestamp)：由權威機構簽發，證明簽名時間。 驗證數據 (DSS - Document Security Store)： 證書鏈 (Certificates)：簽名者證書的上級頒發機構證書。 吊銷信息 (Revocation Information)：證明簽名時證書未被撤銷的清單。 檔案時間戳 (Archive Timestamp)：在LTA級別，用於周期性“加固”整個簽名包的新時間戳。

四、PAdES、CAdES 和 XAdES 的關係

PAdES並非一個孤立的標準，它與CAdES和XAdES一同構成了ETSI（歐洲電信標準協會）高級電子簽名標準的“三駕馬車”。這三個標準的核心理念是相同的，旨在實現電子簽名的長期有效性和信任保障。但它們針對不同的文件格式和應用場景，具有不同的特點。

CAdES（CMS高級電子簽名）是一種廣泛適用於任何文件格式的電子簽名標準，尤其在文件需要分離式簽名時表現得尤為出色。XAdES（XML高級電子簽名）則專門針對XML數據進行電子簽名，能夠細緻到數據元素級別，適用於結構化數據的簽名。與這兩者相比，PAdES（PDF高級電子簽名）則專注於PDF文件的簽名，強調簽名與文檔的緊密結合，提供良好的視覺體驗，使用者能夠直觀感知簽名的存在。

這三者共享同一套理念，都支持B-B、B-T、B-LT、B-LTA等不同級別的簽名，力求實現長期有效性。它們依賴於相同的基礎設施，包括公鑰基礎設施（PKI），以及時間戳服務（TSA）。在法律框架方面，三者也遵循類似的法規要求，符合歐盟eIDAS等法規對高級電子簽名的規定。

根據文件格式的不同，使用者可以根據需要選擇合適的標準：如果需要簽署任何類型的文件，可以選擇CAdES；如果簽署的是XML數據，則選擇XAdES；而對於PDF文檔的簽署，則選擇PAdES。

五、PAdES vs 中國標準 GB/T 31308.3-2023

我國的GB/T 31308.3-2023標準與國際PAdES標準（ETSI EN 319 142）在技術上完全一致。兩者的核心機制、簽名級別和目標都是相同的，旨在解決PDF電子簽名的長期有效性和法律效力問題。簡而言之，國際PAdES標準和GB/T 31308.3標準在技術規範上沒有任何差異，但在一些關鍵方面存在不同的要求，主要體現在密碼算法和信任根的選擇上。

國際標準PAdES通常使用RSA、ECDSA和SHA-2等國際通用的密碼算法，而GB/T 31308.3標準則更加強調使用中國自主研發的國密算法（如SM2、SM3、SM9）。此外，PAdES依賴於國際或歐盟認可的CA/TSA機構，而GB/T 31308.3則要求使用經過中國商用密碼產品認證和CA許可的國內服務機構。

在應用領域方面，國際PAdES更多地應用於跨境電子合同和國際貿易單據等場景，符合國際市場需求和跨境互認的要求。而GB/T 31308.3則主要應用於國內政務公文、金融合同、司法存證等領域，符合中國國內的行業規範和法律要求。

總的來說，國際PAdES可以被看作是一本“國際通用護照”，而GB/T 31308.3是這本護照的“中國特別版”。雖然技術規範完全一致，但在實際應用時，必須遵循中國的法律要求，如《電子簽名法》和《密碼法》，並使用指定的“防偽技術”（國密算法）。

六、總結

PAdES是數字時代構建長期信任的基石技術之一。通過與CAdES、XAdES的結合，它為不同應用場景提供了全面的解決方案，確保從數據到文檔的電子簽名都能經得起時間的考驗。

對於企業而言，理解並採用PAdES（或國內的GB/T 31308.3）意味著：

法律保障：簽署的電子合同具有更強的司法證據效力。 降本增效：實現全流程無紙化，合同管理、歸檔、查驗更便捷。 長期合規：滿足國內外各類法規對電子簽名的長期存檔要求。