使用 Python USB 令牌签名签署 PDF 文档

2024-03-29 10:56:31

使用 Python USB 令牌签名签署 PDF 文档

简介

在数字世界中，文档签名对于确保文件完整性和真实性至关重要。对于需要高安全性级别的文档，可以使用 USB 令牌签名来确保文件经过授权用户的验证和批准。本文将指导您如何使用 Python 编程语言，将来自 USB 令牌签名的签名添加到 PDF 文档中，从而创建一个自定义的桌面工具，简化这一过程。

步骤 1：设置桌面工具

首先，我们需要创建一个桌面工具来简化文件选择和签名过程。使用 Tkinter 模块创建一个简单的 GUI，其中包含以下组件：

文件选择器：选择源 PDF 文档和签名后的输出 PDF 文档的路径。
PIN 输入字段：用户输入用于访问 USB 令牌签名的 PIN。

步骤 2：导入必要模块

接下来，导入所需的 Python 模块以处理 USB 令牌签名和 PDF 签名：

PySmartcard：用于与 USB 令牌签名进行交互。
PyPDF2：用于处理 PDF 文档。
Cryptography：用于生成签名。

步骤 3：读写 USB 令牌签名

要从 USB 令牌签名中读取签名，我们必须执行以下步骤：

初始化智能卡阅读器。
连接到令牌并验证 PIN。
从令牌获取证书和私钥。

步骤 4：签署 PDF 文档

使用从 USB 令牌签名中检索到的私钥，我们可以对 PDF 文档进行签名：

加载源 PDF 文档并创建新的空 PDF 文档。
遍历文档中的页面，并将它们添加到新文档中。
计算 PDF 文档的哈希值。
使用私钥和哈希值生成签名。
将签名添加到新 PDF 文档。

代码示例

以下代码片段演示了 USB 令牌签名签署 PDF 文档的过程：

import smartcard
import PyPDF2
import cryptography
from cryptography.hazmat.backends import default_backend
from cryptography.hazmat.primitives import hashes, serialization
from cryptography.hazmat.primitives.asymmetric import padding

# 初始化智能卡阅读器
reader = smartcard.System.readers()[0]

# 连接到令牌并验证 PIN
connection = reader.createConnection()
connection.connect()
pin = input("请输入 PIN：")
connection.getATR()  # 验证 PIN

# 从令牌获取证书和私钥
certificate = connection.getCertificate()
key = connection.getPrivateKey()

# 加载 PDF 文档并创建新的空文档
pdf_reader = PyPDF2.PdfFileReader(open("input.pdf", 'rb'))
pdf_writer = PyPDF2.PdfFileWriter()

# 遍历文档中的页面并将其添加到新文档中
for page_num in range(pdf_reader.numPages):
    page = pdf_reader.getPage(page_num)
    pdf_writer.addPage(page)

# 计算 PDF 文档的哈希值
hash = hashes.SHA256()
hasher = hash.update(pdf_writer.write())
digest = hasher.finalize()

# 使用私钥和哈希值生成签名
private_key = serialization.load_der_private_key(key, default_backend())
signature = private_key.sign(
    digest,
    padding.PKCS1v15(),
    hashes.SHA256()
)

# 将签名添加到新 PDF 文档
pdf_writer.addSignature(certificate, signature)

# 保存签名后的 PDF 文档
with open("output.pdf", 'wb') as f:
    pdf_writer.write(f)

print("签名已添加到 PDF 文档！")