PDF 長期署名の課題と WI 32000-2 の設定

アドビ社が開発した PDF 仕様には PDF1.6 から独自の署名仕様が含まれている。2007 年 1 月、

PDF 仕様は国際標準化を狙ってアドビ社から AIM に移管された。署名仕様に関しては、ISO 32000-1 の原案となったPDF1.7からCAdES/XAdESなどの外部で定義された署名プラグインを組み込むこと が可能になったが、実装の観点からは多くの課題が残されたままであった。具体的には、複数署 名の方式、アーカイブタイムスタンプ付与時のタイムスタンプや検証情報の格納場所、署名プラ グイン名の登録方法などが挙げられる。

これらの課題は、2006 年末から PDF/A（ISO19005-1、PDF の長期保存プロファイル仕様）の標 準化を進めている ISO TC171 SC2 WG5 で認識され、署名問題を解決するチームを立ち上げようと いう動きにあった。その一方で、PDF1.7 仕様が TC171 事務局提案によりファストトラックで（つ まり、仕様内容の審議なしで）ISO 化の投票にかけられた。投票の結果、CAdES の開発者であるデ ニス・ピンカス（AFNOR）から、独自署名仕様に問題があるとのとの理由で反対投票がなされ、2008 年 2 月に投票結果調整会議（Ballot Resolution Meeting）が開催された。長時間に亘る調整の結 果、PDF1.7 仕様に一切手を加えないパート 1 と、独自署名仕様の CAdES/XAdES への置き換えやそ のほかの機能拡張を行ったパート 2 とに分けることで合意され、2008 年 7 月に ISO 32000-1 が発 行された。パート 2 については、WI 32000-2 として審議が始まったところである。

3.2 PDF 署名に関する ISO-ETSI 連携

パート 2 のための、CAdES/XAdES をベースとした PDF 署名仕様の開発は、PDF の標準化を行っ ているTC171 と CAdES/XAdES を開発したETSI とが連携して原案を作成することになったことから

（誰が音頭を取ったかは不明）ETSI 内に PDF 署名の専門家タスクフォース（STF）が設けられた。

この STF は、ETSI 仕様としての PDF 署名仕様の開発と、ISO への提案を目的としている。STF の メンバは、ISO からはアドビ社のローゼンタール、ETSI からは CAdES 担当のニック・ポープ、XAdES 担当のジュアン・カルロスなどである。STF の議長は ETSI メンバでアドビ社のマーク・ストラッ トが務めている。なお、ETSI 仕様だけで漏れなく標準をカバーするために、前者には、既存の PDF 署名が含まれる。

STF における検討スケジュールは、次の通りである。

フェーズ 1 2008 年 12 月 PDF1.7 仕様互換の PDF 署名プロファイル フェーズ 2 2009 年 6 月 CAdES/XAdES ベースの PDF 署名プロファイル

フェーズ 3 2010 年 6 月 視覚インタフェース仕様（visible signatures and interfaces）

ECOM は、先行して PDF の長期署名課題の検討を進めてきており（2006 年度報告書参照）、主要 課題について検討結果を ETSI に入力し賛同を得た。以下にその概要を示す。

(1) 複数署名の方式

署名付き文書に対して署名を行う“従来の PDF 署名の方式”に限定するか、CAdES の複数署名

（複数 SignerInfo、カウンタ署名）も可能にするかに関して、ECOM の結論として、CAdES 導入の 狙いは、PDF の文化を尊重し且つ署名を長期にわたって検証できるようにすることであるから、

従来の PDF 署名の方式に限定する（複数 SignerInfo、カウンタ署名は使わない）ことを提案した。

図 付.3.1 従来の PDF 署名の方式

(2) アーカイブタイムスタンプの格納

証明書、失効情報、アーカイブタイムスタンプの挿入によって、ハッシュ範囲を示すバイトレ ンジパラメタが正しい値を示さなくなる。予め大きな領域を確保しておくべきかについて、ECOM の結論として、何十年も先のサイズの予測は困難であり、更新された CAdES データは添付ファイ ルとして増分更新により付加することを提案した。

図 付.3.2 バイトレンジが示すハッシュ範囲

署名 署名

検証情報 バイトレンジ バイトレンジ

正しい位置 署名１

署名２

署名１の範囲

署名２の範囲

％PDF

%%EOF

%%EOF

図 付.3.3 添付ファイルによる解決案

(3) 署名辞書と CAdES データのマッピング

複数の署名や複数世代のアーカイブタイムスタンプが存在する場合は、CAdES データと署名辞 書との対応付けが必要となる。このため、各署名辞書に名前を付け CAdES データを格納する添付 ファイル用辞書からこれを参照可能にすることを提案した。

図 付.3.4 署名辞書と CAdES データのマッピング

(4) PDF 用署名のプロファイリングの考え方

ECOM では、PDF 用の署名仕様は CAdES、XAdES 両方を準備すべきか一方だけにすべきか、また そのプロファイルはどうあるべきかに関して議論してきた。その結論として、PDF 長期署名は CAdES だけにすべきであり、プロファイルとしては、署名を長期に亘って検証できるようにする という目的から CAdES-T と CAdES-A の両方を定義し、オプショナル要素は極力制限すべきである との提案を行った。本章の末尾に ETSI に提案した PDF 用プロファイルを載せる。

/Type/Sig /sigAdES name2 /Type/Sig /sigAdES name1 /ByteRange

100 Obj /SubType

/refSigAdES name1, n

CAdES-a 200 obj

100 obj

世代 署名

署名

署名

％PDF

obj

%%EOF

%%EOF

検証情報

検証情報 増分更新

添付ファイル