タイムスタンプが埋め込まれた PAdES 署名を検証する必要があるかどうか、およびその方法を理解しようとしています。この埋め込まれたタイムスタンプは、タイムスタンプ機関 (TSA) から取得されます。
署名に crl ファイルまたは ocsp 応答が含まれている場合は、通常、署名からの証明書のチェーンが期限切れになっておらず、このタイムスタンプに対応する日付で取り消されていないことを最初に検証する必要があります。
TSA からのタイムスタンプも署名されているため、このタイムスタンプの証明書のチェーンも検証する必要があるかどうか、およびそれを検証する方法を理解しようとしています。
Bouncy Castle API を使用すると、次のコードでタイムスタンプを簡単に検証できます。
TimeStampToken.validate((SignerInformationVerifier paramSignerInformationVerifier))
ただし、この方法では、証明書のチェーンが期限切れになっていないか、取り消されていないかどうかを確認しません。さらに、埋め込まれたタイムスタンプには crl ファイルも ocsp 応答も含まれていないため、タイムスタンプが署名に埋め込まれた日付で一連の証明書を検証することはできません。
埋め込まれたタイムスタンプに対応する日付で TSA の一連の証明書を完全に検証できない場合、PAdES 署名を検証するにはどうすればよいでしょうか?