签名字段中的“锁定”字典是签名后签名损坏的原因

在 PDFBox 2.x 中我把/Lock字典到签名字段：

import org.apache.pdfbox.cos.COSDictionary;
import org.apache.pdfbox.cos.COSName;
import org.apache.pdfbox.pdmodel.interactive.form.PDAcroForm;
import org.apache.pdfbox.pdmodel.interactive.form.PDSignatureField;

public class SigningUtils {
    public static final COSName COS_NAME_LOCK = COSName.getPDFName("Lock");
    public static final COSName COS_NAME_ACTION = COSName.getPDFName("Action");
    public static final COSName COS_NAME_ALL = COSName.getPDFName("All");
    public static final COSName COS_NAME_SIG_FIELD_LOCK = COSName.getPDFName("SigFieldLock");

    public static void setLock(PDSignatureField pdSignatureField, PDAcroForm acroForm) {
        COSDictionary lockDict = new COSDictionary();
        lockDict.setItem(COS_NAME_ACTION, COS_NAME_ALL);
        lockDict.setItem(COSName.TYPE, COS_NAME_SIG_FIELD_LOCK);
        pdSignatureField.getCOSObject().setItem(COS_NAME_LOCK, lockDict);
    }
}

然后我在签名字段上签名：

PDSignature signature = findExistingSignature(document, signatureFieldName); //This is some method to find signature field and create PDSignature dictionary

signature.setFilter(PDSignature.FILTER_ADOBE_PPKLITE);
signature.setSubFilter(PDSignature.SUBFILTER_ADBE_PKCS7_DETACHED);

signature.setName("blablabla");
signature.setLocation("blablabla");
signature.setReason("blablabla");
signature.setSignDate(Calendar.getInstance());
document.addSignature(signature, this);

一切看起来都不错，除了当我在 Adob​​e Acrobat 中打开签名文档时，它抱怨文档内容已更改。如果我不添加/Lock字典里一切都很好。

任何人都知道出了什么问题吗？

问题是 PDFBox 签名不接受Lock字典考虑在内。

根据 ISO 32000-1（以及类似的 ISO 32000-2）：

12.8.2.4 现场MDP

The FieldMDP变换方法应用于检测表单字段列表值的更改。表 256 列出了其变换参数字典中的条目。

[...]

• 作者还可以指定在特定收件人签署文档后，对特定表单字段的任何修改都将使该收件人的签名无效。每个指定的接收者都应有一个单独的签名字段，每个签名字段都有一个关联的签名字段锁定字典（见表 233），指定应为该用户锁定的表单字段。

• 当接收者对该字段进行签名时，应创建签名、签名引用和转换参数字典。这Action and Fields转换参数字典中的条目应从签名字段锁定字典中的相应字段复制。

因此，签名的预期处理Lock字典包括添加匹配FieldMDP将数据转换为签名字段值。默认情况下，PDFBox 签名不会执行此操作。

您可以在签名时手动执行以下操作：

PDSignatureField signatureField = FIND_YOUR_SIGNATURE_FIELD_TO_SIGN;
PDSignature signature = new PDSignature();
signatureField.setValue(signature);

COSBase lock = signatureField.getCOSObject().getDictionaryObject(COSName.getPDFName("Lock"));
if (lock instanceof COSDictionary)
{
    COSDictionary lockDict = (COSDictionary) lock;
    COSDictionary transformParams = new COSDictionary(lockDict);
    transformParams.setItem(COSName.TYPE, COSName.getPDFName("TransformParams"));
    transformParams.setItem(COSName.V, COSName.getPDFName("1.2"));
    transformParams.setDirect(true);
    COSDictionary sigRef = new COSDictionary();
    sigRef.setItem(COSName.TYPE, COSName.getPDFName("SigRef"));
    sigRef.setItem(COSName.getPDFName("TransformParams"), transformParams);
    sigRef.setItem(COSName.getPDFName("TransformMethod"), COSName.getPDFName("FieldMDP"));
    sigRef.setItem(COSName.getPDFName("Data"), document.getDocumentCatalog());
    sigRef.setDirect(true);
    COSArray referenceArray = new COSArray();
    referenceArray.add(sigRef);
    signature.getCOSObject().setItem(COSName.getPDFName("Reference"), referenceArray);
}

signature.setFilter(PDSignature.FILTER_ADOBE_PPKLITE);
signature.setSubFilter(PDSignature.SUBFILTER_ADBE_PKCS7_DETACHED);
signature.setName("blablabla");
signature.setLocation("blablabla");
signature.setReason("blablabla");
signature.setSignDate(Calendar.getInstance());
document.addSignature(signature [, ...]);

(创建签名 https://github.com/mkl-public/testarea-pdfbox2/blob/master/src/test/java/mkl/testarea/pdfbox2/sign/CreateSignature.java#L328辅助方法signExistingFieldWithLock)

关于P签名中的条目Lock评论中讨论的字典：此条目已在 ISO 32000 扩展级别 3 的 Adob​​e 补充中引入。