什么'；将证书撤销列表嵌入PDF（CRL）而不是在线检查PDF有什么意义？

我不明白什么。有一个概念叫做将CRL嵌入pdf，这样，如果我的私钥被盗，我可以向CA报告，他们会在网站上更新他们的CRL。我一直在读到，将CRL嵌入到pdf中的目的对于具有多个页面的pdf文件是有益的，这样pdf就不必在线查看每个页面。问题是，如果CRL嵌入到pdf中，而不是让pdf与CA进行检查，那么如果CRL嵌入到pdf中，是否不可能发现被吊销的证书？我错过什么了吗

更新：

---

即使有TSA时间戳，如何防止窃贼使用旧证书并嵌入一个不表示其证书已被吊销的CRL？这是我不明白的，对我来说，证明文件真实性的唯一可靠方法是TSA时间戳和在线OCSP。否则，我认为嵌入式CRL和TSA是不够的。有了CRL，就好像让小偷说他不是小偷一样。否则，我对嵌入式CRL有些误解

更新日期2 2014年10月1日太平洋标准时间上午8:06：回答如下。 “顶级CRL包含一个datetime thisUpdate，它指示此CRL的颁发日期。此外，它还可以选择包含一个datetime nextUpdate”每个被吊销的证书是否都有日期和时间？CRL可以有许多证书。如果每个被吊销的证书没有一个无效日期，我不知道如何确定证书和签名文档是从什么时期开始的。答案是，白皮书第76页确实显示了撤销列表的外观：它包含证书的序列号以及撤销日期。这就是它如何确定签名的文档何时是坏的。然而，从上次签署的合法pdf文件到报告证书被盗的时间，似乎存在不确定性差距

谢谢。

简而言之 如果您报告您的密钥被盗，它将在该时间（甚至仅在发布下一个CRL时）被吊销。因此，您以前的签名仍然有效

如果在签名期间将当前CRL嵌入到PDF中，则在验证期间可将该信息视为签名的最新信息

为了使其正常工作，签名时间戳显然也是必要的

详细地说，CRLs CRL顶层包含datetime

thisUpdate

，此外，还可以选择包含datetime

nextUpdate

，第二个字段实际上是符合当前标准的CAs所必需的

因此，如果您在集成PDF签名中嵌入了一个CRL，该签名在签名时被认为是当前的（例如，在签名后带有

nextUpdate

的CRL），则稍后的验证者可以使用该嵌入的CRL推断签名者的证书在签名时未被列为吊销

实际上，验证过程不需要一个拥有自己CRL缓存的独立验证者来更新，如果他在签名时间之后已经有一个带有

nextUpdate

的CRL，除非

那么你的担心呢

如果CRL嵌入到pdf中，而不是让pdf与CA进行检查，那么如果CRL嵌入到pdf中，是否不可能发现被吊销的证书

仅指出在被盗时间和CRL更新（包括您的盗窃报告）的预定发布日期之间创建的签名存在问题

这些签名对你来说永远是个问题，因为在这段时间里，他们也可能会通过其他方式得到肯定的验证，并导致法律后果。（因此，这就是为什么您应该选择一个以短顺序重新发布CRL的CA。）

由于该验证过程严重依赖于所保证的签名时间，因此需要签名时间戳作为签名时间的确定来源

OCSP响应也是如此，顺便说一下，它们还包含

thisUpdate

和

nextUpdate

字段。OCSP响应同样可以嵌入PDF中

但系统如何知道早期签名（比如2014年1月）仍然有效？我的意思是，假设你偷了我的钥匙并使用了它（比如2014年9月），那么由于我们使用相同的证书，系统如何区分我的合法事先签署文件（2014年9月）和我的文件（2014年1月）

CRL（和OCSP响应）包含日期时间

revocationDate

，即。在此日期之前的签名仍然必须被视为有效（就撤销而言）。如前所述，签名时间戳是正常工作的必要条件

顺便说一句 你已经

一直在读到，将CRL嵌入到pdf中的目的对于具有多个页面的pdf文件是有益的，这样pdf就不必在线查看每个页面

这很奇怪，而且总的来说没有意义

无论一个PDF文档有多少页。。。如果你签了字，一个签名就足以一次签下整个文件。在签名之后，您通常不再可以在文档中添加其他页面。

您提到“因此，您以前的签名仍然被认为是有效的。”但系统如何知道以前的签名（如2014年1月）仍然有效？我的意思是，假设你偷了我的钥匙并使用了它（比如2014年9月），那么由于我们使用相同的证书，系统如何区分我的合法事先签署文件（2014年9月）和我的文件（2014年1月）？我真的不明白。我的理解有点遗漏。还有，什么是“签名带？”还有，你所说的签名是指对pdf散列的加密，对吗？Th