Python M2Crypto : signature numérique d'un document PDF

Version imprimable

Bonjour les amis,

Après de longues recherches sur la toile, je n'arrive pas à mettre la main sur une méthode pour signer numériquement une document PDF avec la classe M2Crypto de Python
je travaille sous debian6 x86_64 et python2.6.6

et j'utilise une clé RSA 2048 issue d'un certificat self-signed pour mes tests réalisé avec la commande native openssl :

Code:

openssl req -x509 -newkey rsa:2048 -keyout mykey.pem -out cert.pem -days 365

contexte : je sais comment signer un "teste brut", voici comment je procède :
Code:

1 2 3 4 5 6 7 from M2Crypto import RSA, EVP import base64, hashlib pkey = RSA.load_key("mykey.pem") signText = pkey.sign(hashlib.sha256("text").digest()) print base64.b64encode(signText)
objectif : au lieu de signer un texte brut "text" je veux signer mon document "doc.pdf" (format PDFA1)

Dans l'idée ce serait qq chose comme :
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 from M2Crypto import RSA, EVP import base64, hashlib # le PDF que je veux signer monPDF = open('test.pdf','rb').read() pkey = RSA.load_key("mykey.pem") signPDF = pkey.sign(hashlib.sha256(monPDF).digest()) # ou signPDF = pkey.sign(hashlib.sha256(monPDF).hexdigest()) encodeSignPDF = base64.b64encode(signPDF) # comment intégrer la signature "encodeSignPDF" à mon PDF # c'est ici que je coince ...
Comment intégrer la signature à mon PDF initial
et par la suite comment extraire le PDFinitial du PDFsigné
Avez-vous des suggestions?

13/06/2014, 18h35
wiztricks

Salut,

Citation:

Envoyé par sweetasnz

Comment intégrer la signature à mon PDF initial
et par la suite comment extraire le PDFinitial du PDFsigné
Avez-vous des suggestions?

Le format d'un document PDF "signé" est défini par des standards ISO.
Si vous n'avez pas pris le temps de les lire (et ils sont payants), difficile de savoir à quoi devra ressembler le document "taggué" qu'il faut produire.
Pourquoi ne pas utiliser une application/bibliothèque qui fait déjà le boulot pour vous (Google est votre ami pour sélectionner celle qui répond à vos besoins).
Sinon LibreOffice sait fabriquer du PDF/1A. On devrait pouvoir automatiser l'opération avec un script Python.

- W
16/06/2014, 12h09
sweetasnz

Citation:

Envoyé par wiztricks

Salut,
Pourquoi ne pas utiliser une application/bibliothèque qui fait déjà le boulot pour vous (Google est votre ami pour sélectionner celle qui répond à vos besoins).

Merci pour votre réponse.
Ce que je veux réaliser (si possible avec Python):
1. importer mon pdf (ok)
2. générer une signature (ok)
3. générer un PDF-Signé (???)
--> disposer d'un fichier composé de mon PDF et de la signature, avec hashage... du style
-----BEGIN PKCS7-----
MIMExxxxzkjnroefneocnoerncnec
zfcecrjncvoernvoevevevbvvrcve
AEFEVRVervkeovjervnioernvionv
.....
-----END PKCS7-----
4. exporter le fichier PDF-signé final (ok)

On devrait pouvoir faire cela en python, mais je ne sais pas par ou commencer pour constituer le PDF-Signé.
J'ai donc d'un côté mon PDF, et d'un autre côté ma signature.
Reste à fusionner les 2 pour qu'il soit lisible et extractible lorsque je décrypte et désigne.
Si vous avez des éléments de doc ou des liens, je suis preneur pour mieux comprendre le processus d'intégration de signature dans un PDF.
16/06/2014, 12h51
wiztricks

Citation:

Envoyé par sweetasnz

On devrait pouvoir faire cela en python, mais je ne sais pas par ou commencer pour constituer le PDF-Signé.
J'ai donc d'un côté mon PDF, et d'un autre côté ma signature.
Reste à fusionner les 2 pour qu'il soit lisible et extractible lorsque je décrypte et désigne.
Si vous avez des éléments de doc ou des liens, je suis preneur pour mieux comprendre le processus d'intégration de signature dans un PDF.

Côté doc, je vous ai donné l'endroit ou trouver les "spécifications" ISO: c'est plus de 150 francs suisses.
Après vous avez Google, pour trouver des documentations qui expliquent ce qu'est PDF-signé/tagué.

- W
17/06/2014, 17h52
sweetasnz

Petit UP,
finalement, je viens de m'apercevoir que je confond 2 concepts:aie: :
- concept 1 : le "PDF-signé" certifié par GS1
- concept 2 : le "PDF" + la "SIGNATURE" générée par la clé privée issue du certificat de signature.

En résumé, la méthode que je décris plus haut (1er post) permet de générer une signature détachée de mon document (concept 2 :"PDF" + la "SIGNATURE"). Cette signature pourra être contrôlée par le destinataire du document avec ma clé publique...
Ici j'ai un PDF, mais je pourrai bien avoir un PNG ou autre format et procéder de la même façon pour générer une signature.
Cela répond donc à mes attentes.

Je vais creuser au niveau du "PDF-Signé" au sens GS1, pour en savoir plus
Je clos donc ce post.
Merci d'y avoir participé.
23/06/2014, 17h41
sweetasnz

Citation:

Envoyé par sweetasnz

- concept 1 : le "PDF-signé" certifié par GS1

Je veux dire PDF-signé au sens "ADOBE" (et non pas GS1)
23/06/2014, 18h13
wiztricks

Salut,

Si vous voulez "signer" un message, gnupg fait déjà cela très bien.
Ca le mérite de fonctionner, c'est documenté, c'est open source,...

- W
01/03/2015, 13h59
sweetasnz

juste pour conclure (et pour infos) pour faire de la signature "de masse" et "en mode server - signature automatisée disons - sans action manuelle" (sinon oui, il existe un tas de logiciel opensource ... ouf )

j'ai dévellopé ma propre appli java pour faire la job avec l'utilisation d'un certificat format PKCS11 et PKCS12.
voir documentation sur la librairie "itext", avec de nombreux et bons exemples décris et documentés
http://itextpdf.com/examples/iia.php?id=12