Necesita un certificado / clave sin formato para firmar archivos PDF a través de la aplicación Java. Pero los vendedores parecen vender solo HSM para esto. ¿Qué hacer?

Question

Necesita un certificado / clave sin formato para firmar archivos PDF a través de la aplicación Java. Pero los vendedores parecen vender solo HSM para esto. ¿Qué hacer?

#1 de StackzOfZtuff (2 votos)

3

Nuestra organización quiere comprar un certificado de firma digital para firmar documentos PDF financieros. Queremos automatizar este proceso, así que haremos que el código Java haga el trabajo de firma. Para eso, la única forma, supuestamente, es mantener el certificado como un archivo en el servidor.

Me he contactado con muchos proveedores de certificados digitales y con ninguno fue posible obtener un archivo de certificado básico. Todos emitían un token de hardware como un pen drive, un dispositivo USB, etc. que contienen un archivo de certificado en formato no extraíble. Ninguno da la opción de descargar.

¿Por qué es eso? ¿Existe alguna regulación que indique que el certificado de firma digital solo se puede otorgar en forma de token de hardware por razones de seguridad? Si no, ¿qué proveedores permiten descargar certificados en el sistema?

Cualquier sugerencia o referencia es apreciada.

digital-signature certificates

pregunta Shashwat Kumar 03.11.2015 - 11:17

fuente

1 respuesta

Lea otras preguntas en las etiquetas digital-signature certificates

Automatizar la firma de certificados en Linux ¿Sería seguro usar una contraseña ya con hash + con sal?

score 2 · Answer 1

¿Existe alguna regulación que indique que el certificado de firma digital solo se puede otorgar en forma de token de hardware por razones de seguridad?

No estoy seguro de lo que Adobe requiere de ti, pero parece indicar la dirección "solo hardware seguro".

Si desea utilizar Servicios de documentos certificados de Adobe , debe cumplir con algunos requisitos:

6.1.5 Tamaños de clave

Las CA subordinadas de CDS utilizarán un par de claves RSA con al menos 2048 bits.
  Los certificados de suscriptor de CDS utilizarán un par de claves RSA con al menos 2048 bits.

Y más sobre esto: (saltos de línea agregados para facilitar la lectura)

6.2 Protección de clave privada
  6.2.1 Estándares para Módulo Criptográfico
  La Autoridad de Políticas de Adobe decide las normas para los módulos criptográficos que se deben respetar en la PKI de CDS.

Las CA subordinadas de CDS deben usar módulos de hardware criptográfico que cumplan o superen los estándares FIPS 140-1 Nivel 3.

Los suscriptores de CDS deben usar módulos de hardware criptográfico que
  (a) cumple o excede los estándares FIPS 140-1 Nivel 2 o
  (b) para el cual el fabricante del módulo de hardware criptográfico ha solicitado el estado FIPS 140-1 Nivel 2 en el año anterior sin recibir una notificación de incumplimiento u otra comunicación que indique que dicho dispositivo no cumple con dicha norma.

Pero: no sé si "Adobe Certified Document Services" es la única forma de firmar un PDF para que Adobe Reader lo reconozca de inmediato.

Puede haber otras formas. No lo sé. Pero ahora sabemos esto: si desea Adobe CDS, entonces necesita un hardware especial de almacenamiento de claves.