PAdES は PDF/A-2 に必須ですか? または、PDF/A-2 の他の署名形式も許可されますか?
PAdES は必須ではありません。特に、「PAdES」という名前は、PDF/A-2 仕様にも記載されていません。一部の要件だけが PAdES 要件と類似しています。
ファイルのダイジェストを計算するときは、署名辞書を含むが PDF 署名自体を除く、ファイル全体に対して計算する必要があります。この範囲は、シグネチャ ディクショナリの ByteRange エントリによって示されます。
これは、PAdES 署名によって導入された要件でもあります。ISO 32000-1 では、これは単なる推奨事項でした。しかし、事実上、これはずっと前に Adobe Reader によって要求されていました。
ISO 32000-1 では、シグネチャ ディクショナリの Contents エントリの値を DER でエンコードされた PKCS#1 バイナリ データ オブジェクトにすることも許可されていますが、その形式は推奨されません。
これにより、PKCS#7/CMS 署名コンテナー ベースの PDF 署名の使用が効果的に推奨されます。これは、実際にはさらに一歩進んでそれを必要とする PAdES にも匹敵します。しかし、ネイキッドの PKCS#1 オブジェクト ベースの PDF 署名は、プレーンな PDF の世界でさえ、ファッショナブルではありません。
ISO 32000-1:2008 では、1 つ以上の RFC 3281 属性証明書を署名者証明書に関連付けることができます。ただし、これらは広くサポートされておらず、この属性を使用すると相互運用性が低下するため、準拠するライターはそれらを含めるべきではありません。
PAdES パート 2 (基本プロファイル) にも、同様に定式化された推奨事項があります。PAdES パート 3 (PAdES-BES および PAdES-EPES プロファイル) では、属性証明書も禁止されています。しかし、今日では一般的に、属性証明書は流行りではありません。
したがって、類似点はありますが、それだけです。
PAdES は新しい PDF 2.0 標準で必須になりますか? それとも、PDF 2.0 は PAdES と互換性があり、他の署名形式も許可されますか?
PDF 2.0 はまだ公開されていないため、これは厳密に言えば憶測です。
しかし、私が読むことができた最後のドラフトでは、PAdES 署名が既存の形式に追加され、adbe.pkcs7.sha1 署名のみが廃止されました。SHA1 (少なくとも 1 回はその形式で使用されている) は信頼を失っているため、現在の PDF であっても、この形式はとにかく使用しないでください。
したがって、PDF/A-2 も ISO 32000-2 も PAdES スタイルの署名を強制せず、adbe.pkcs7.detached スタイルの署名は引き続き有効なオプションです。ただし、相互運用性と長期的な検証機能に関心がある場合は、PAdES の方が適している可能性が高くなります。