Acrobat Readerでの電子署名検証とは
最新のAcrobat Readerでは、電子署名やタイムスタンプが適用されたPDF文書を容易に(プラグインを追加することなく)検証できます。
Acrobat Readerは、電子署名やタイムスタンプが適用されたPDF文書を開くときに自動でその検証を行います。以下の説明は、その結果の確認手順を含めて説明しています。
Acrobat Readerは、電子署名やタイムスタンプが適用されたPDF文書を開くときに自動でその検証を行います。以下の説明は、その結果の確認手順を含めて説明しています。
注意)Acrobatの設定でPDF文書を開くときに署名を検証しないようにできます。「PDF文書を開くときに署名の検証を行う方法」を参照してください。
ここでは、電子署名およびタイムスタンプが適用されたPDF文書の検証の意味とその方法を説明します。
署名の検証には、署名されたPDF文書が署名されてから変更されていないこと、その署名に使用された電子証明書が信頼できる、さらにその電子証明書を発行した認証機関(Certification Authority)がそのルート認証機関まですべて信頼できることの確認が必要です。 さらに、タイムスタンプが適用されている場合は、そのタイムスタンプの電子証明書が同様に信頼できることを確認しなければなりません。
以下の手順に従ってPDF文書に適用された電子署名と、タイムスタンプの検証方法を説明します。
署名の検証には、署名されたPDF文書が署名されてから変更されていないこと、その署名に使用された電子証明書が信頼できる、さらにその電子証明書を発行した認証機関(Certification Authority)がそのルート認証機関まですべて信頼できることの確認が必要です。 さらに、タイムスタンプが適用されている場合は、そのタイムスタンプの電子証明書が同様に信頼できることを確認しなければなりません。
以下の手順に従ってPDF文書に適用された電子署名と、タイムスタンプの検証方法を説明します。
1. | 署名されてから変更されていないことを検証 | |||
2. | 電子署名の証明書 | |||
2.1 | Windows環境に導入された証明書を信頼する手順 | |||
2.2 | 信頼する電子証明書をAcrobatに取り込む手順 | |||
2.3 | 電子署名に含まれている電子証明書をそのまま信頼する手順 (非推奨手順) | |||
2.3.1 | 電子証明書を署名領域をクリックして表示させる | |||
2.3.2 | 電子証明書を署名パネルから表示させる | |||
2.3.3 | 表示した電子証明書を信頼する (非推奨手順) | |||
3. | 電子署名を検証する | |||
4. | 署名のプロパティで詳細を確認する |
1.署名されてから変更されていないことを検証
電子署名を検証するにはまず、署名されてからその文書が変更されていないことを検証します。Acrobatでは、署名されてから後に文書が変更された場合は、その旨が警告されます。
万一文書が、署名者の意に反して、変更されている場合は電子証明書やタイムスタンプの検証はその意味がありません。
PDF文書が変更されていないことの検証は、署名パネルで行います。
図1_A 署名アイコン(赤丸内) |
図1_Aのナビゲーションパネルにある署名アイコン(赤丸内)をクリックすると、下図1_Bのように署名の詳細が表示されます。
ナビゲーションパネルが表示されていない場合は、PDF文書が表示されている領域で右クリックして表示されたメニューから「ナビゲーションパネルボタンを表示(H)」を選択して表示させます。
図1_B | 図1_C |
2.電子署名の証明書
Acrobat Readerでは、いくつかの証明書が信頼されています。その証明書以外で電子署名された場合は、図1_Bにあるように警告アイコンと共に電子署名が有効でない(その有効性を確認できない)として、「署名の完全性は不明です」と表示されます。
このように表示されるのは、署名に使われている電子証明書が信頼されていないためです。この証明書をそのまま信頼すれば表示が「署名は有効です」に変わります(署名が変更されていない場合のみ)。 なお、この方法は推奨されませんので、ご注意ください。電子証明書は、信頼する認証局によって公開された電子証明書を正しい手順で入手しそれを信頼すべきです。
以下では、電子証明書を信頼する手順を説明します。
このように表示されるのは、署名に使われている電子証明書が信頼されていないためです。この証明書をそのまま信頼すれば表示が「署名は有効です」に変わります(署名が変更されていない場合のみ)。 なお、この方法は推奨されませんので、ご注意ください。電子証明書は、信頼する認証局によって公開された電子証明書を正しい手順で入手しそれを信頼すべきです。
以下では、電子証明書を信頼する手順を説明します。
2.1 Windows環境に導入された証明書を信頼する手順
Windows環境には、(Acrobatとは別に)電子証明書が導入されています。この手順では、その電子証明書をAcrobatに統合します。
Acrobat Readerのメインメニューから、「編集(E)->環境設定(N)...」を選択します。表示されたダイアログで分類の中から「セキュリティ」を選択し、電子署名の中にある「詳細環境設定(A)」ボタンをクリックします。 下図2.1_Aのようなダイアログが表示されますので、「Windows 統合」タブをクリックしてから「Windods 証明書ストアからの証明書の取り込みと使用を有効にする(C)」にチェックを入れます。
Acrobat Readerのメインメニューから、「編集(E)->環境設定(N)...」を選択します。表示されたダイアログで分類の中から「セキュリティ」を選択し、電子署名の中にある「詳細環境設定(A)」ボタンをクリックします。 下図2.1_Aのようなダイアログが表示されますので、「Windows 統合」タブをクリックしてから「Windods 証明書ストアからの証明書の取り込みと使用を有効にする(C)」にチェックを入れます。
図2.1_A |
この手順で、Windowsの電子証明書は信頼されますが、その証明書を発行した認証局の証明書(ルート証明書など)が信頼されていません。そのため、電子署名の検証は失敗します。
認証局の証明書(ルート証明書など)を信頼するために、図2.1_Aのダイアログで「署名の検証(S)」をチェックします。 注意書きにあるように、ここにチェックを入れるとWindowsにインポートされているすべての認証局の証明書が信頼されます。 場合によっては、意図しない電子署名が信頼性が高いと判断される場合があります。ご利用には十分注意してください。 これを避けるには、信頼する証明書をだけをAcrobatに取り込む必要があります。
認証局の証明書(ルート証明書など)を信頼するために、図2.1_Aのダイアログで「署名の検証(S)」をチェックします。 注意書きにあるように、ここにチェックを入れるとWindowsにインポートされているすべての認証局の証明書が信頼されます。 場合によっては、意図しない電子署名が信頼性が高いと判断される場合があります。ご利用には十分注意してください。 これを避けるには、信頼する証明書をだけをAcrobatに取り込む必要があります。
2.2 信頼する電子証明書をAcrobatに取り込む手順
Acrobat Readerのメインメニューから「編集(E)->保護(I)->信頼済み証明書(D)...」を選択します。表示されたダイアログで、表示(S)を「連絡先」にしてから、「連絡先を追加(A)...」ボタンをクリックします。
ここで表示されたダイアログ(図2.2_A)で信頼する電子証明書を指定してAcrobat Readerに取り込みます。
ここで表示されたダイアログ(図2.2_A)で信頼する電子証明書を指定してAcrobat Readerに取り込みます。
図2.2_A |
電子証明書は、電子署名を検証するユーザー電子証明書ばかりでなく、それを発行した認証局の電子証明書(中間証明書やルート証明書)をすべて取り込みます。
2.3 電子署名に含まれている電子証明書をそのまま信頼する手順 (非推奨)
電子署名には、その署名を検証できる証明書が含まれています。その証明書をそのまま信頼することで、署名を検証する手順です。
この手順では、署名を根拠なしに信頼しますので、セキュリティ上の問題があります。CA証明書などもこの電子証明書に記載されたものを信頼して入手しますので、好ましくありません。 そのため、この信頼手順は非推奨です。
この手順では、署名を根拠なしに信頼しますので、セキュリティ上の問題があります。CA証明書などもこの電子証明書に記載されたものを信頼して入手しますので、好ましくありません。 そのため、この信頼手順は非推奨です。
以下の手順で電子署名に含まれている電子証明書のプロパティを表示してから、信頼します。
2.3.1 電子証明書を署名領域をクリックして表示させる
署名領域とは、PDF文書に署名する際に指定された電子署名の情報が表示される領域です。下図2.3.1_Aの場合は、印影が表示されて周辺が署名領域になります。
ここをクリックすると、署名の検証のステータス ダイアログが表示されますので、「署名のプロパティ(P)...」をクリックします。署名のプロパティ ダイアログが表示されたら、「署名者」の欄にある「証明書を表示(H)...」ボタンをクリックします。
証明書ビュアー ダイアログが表示され署名に使われた証明書が表示されます。
ここをクリックすると、署名の検証のステータス ダイアログが表示されますので、「署名のプロパティ(P)...」をクリックします。署名のプロパティ ダイアログが表示されたら、「署名者」の欄にある「証明書を表示(H)...」ボタンをクリックします。
証明書ビュアー ダイアログが表示され署名に使われた証明書が表示されます。
2.3.2 電子証明書を署名パネルから表示させる
ナビゲーションパネルの署名アイコン(図1_A 参照)をクリックして署名パネルを表示させます。表示されたものの中から、信頼したい証明書を含むバージョンの“+”をクリックして開きます。
開いた中にある「署名の詳細」の“+”をクリックして開きます。開かれた中の「証明書の詳細...」をクリックすると証明書ビュアー ダイアログが表示され署名に使われた証明書が表示されます。
2.3.3 表示した電子証明書を信頼する (非推奨)
証明書ビュアー ダイアログの右ペーンにある「信頼」タブをクリックします。
すると、信頼設定と書かれた枠の中に「信頼済み証明書に追加(A)...」ボタンがあります。このボタンをクリックすると、それ以降はこの電子証明書が信頼されます。
すると、信頼設定と書かれた枠の中に「信頼済み証明書に追加(A)...」ボタンがあります。このボタンをクリックすると、それ以降はこの電子証明書が信頼されます。
証明書ビュアー ダイアログの左ペーンには、電子証明書のパスが表示されています。このパス上にある認証局の電子証明書(中間証明書やルート証明書)も同様に証明書ビュワーで表示させます。
ユーザーの電子証明書を信頼済み証明書に追加した場合は、これらの電子証明書も追加しなければなりません。
ユーザーの電子証明書を信頼済み証明書に追加した場合は、これらの電子証明書も追加しなければなりません。
ご注意ください。電子署名に含まれている電子証明書をそのまま信頼することは、推奨されません。
3.電子署名を検証する
署名パネル(図1_B参照)で検証したいバージョンを右クリックします。表示されたメニューで「署名を検証(V)」を選択します。
署名の検証後に以下のようなダイアログが表示されます。ダイアログには、署名のステータスが表示されます。必要に応じて「署名のプロパティ(P)...」ボタンをクリックしてその詳細を確認します。
署名の検証後に以下のようなダイアログが表示されます。ダイアログには、署名のステータスが表示されます。必要に応じて「署名のプロパティ(P)...」ボタンをクリックしてその詳細を確認します。
図3_A 有効な署名 | 図3_B 無効な署名 |
なお、検証で電子署名が有効となるとそのバージョンは以下のように表示されます。
図3_C |
4.署名のプロパティで詳細を確認する
署名の検証のダイアログ(図3_A、図3_B参照)で「署名のプロパティ(P)...」ボタン、または署名パネルで目的のバージョンを右クリックして表示されたメニューで「署名のプロパティを表示(P)...」を選択すると、以下のようなダイアログが表示されます。
必要に応じて各項目を確認してください。
図4_A |
(記載の会社名および製品名は、各社の登録商標および商標です。)