使用已廢止的 SHA1 演算法套用數位簽名

在 Acrobat 或 Acrobat Reader 中數位簽署 PDF 文件時，可能會出現下列錯誤訊息:

背景: SHA256 自 Acrobat 9.1 版本起為預設的雜湊演算法。然而，在某些情況下，如果簽名裝置 (例如，智慧卡或 USB Token) 或其驅動程式不支援 SHA256 雜湊演算法，那麼為了避免建立簽名失敗，Acrobat 或 Reader 會恢復使用 SHA1 來建立簽名。

最近，研究人員成功產生在應用數位簽名時與SHA1 雜湊演算法發生的衝突。這表示在某些條件下，有可能基於 SHA1 雜湊演算法產生數位簽名，且不僅可應用於一份文件，在應用至不同文件時也可能有效。

Acrobat 和 Reader 的變更內容 (2017.009.20044): 隨著 Acrobat 和 Acrobat Reader 版本 2017.009.20044 推出，Adobe 開始向使用已廢止的 SHA1 雜湊演算法作數位簽名的使用者發出警告。雖然 SHA1 因業內已廣泛廢止而不建議使用，但使用者仍可繼續使用 SHA1 簽名。

解決方法

根據具體情況，有多種解決方案可防止此警告對話方塊出現:

• Adobe 強烈建議您檢查簽名裝置或詢問驅動程式製造商，以取得支援預設 SHA256 或較高階雜湊演算法的新型裝置或驅動程式。
• 如果簽名裝置不支援所要求的雜湊演算法，使用者可選取「不再顯示」核取方塊，然後按一下「繼續」以使用 SHA1 進行簽署。下一次就不會再顯示此對話方塊。
• Acrobat 可能曾經設定為使用 SHA1 而不是使用預設的 SHA256 雜湊。使用者可以刪除設定金鑰 aSignHash，或按此頁的說明，將其設定為 SHA256。
• 如果使用 SHA1 演算法取決於應用於 PDF 文檔中現有簽名欄位的「種子值」(請參閱此頁面)，除非 SHA1 是絕對必須，否則使用者可請求文件作者更新此值以支援 SHA256 或其他更強大的雜湊演算法。