使用iTextSharp库提取PDF文件中包含的签名图像

在您的示例文档中，“签名”一词有三重含义：

1. 它包含符合PDF规范ISO 32000-1:2008的数字签名。
2. 相应的可视化内容包含手写签名的位图图像。
3. 相应的签名字典包含软件添加到PDF中的所有签名数据的专有信息。最有可能这些专有信息包含OP评论中提到的生物识别数据。

根据创建这些多级签名的软件制造商，手写签名似乎是主要的身份证明。数字签名仅用于保护文件免受更改；它并不一定反映手动签署人的身份，而是反映手动签名所在设备的所有者的身份（“请在此处签名以确认您已收到包裹”）。

函数

手写签名捕获 - 在签名板、支付终端、iPad或Android设备上收集可法医鉴定的签名。

签名验证 - 将手写签名与预先录入的个人资料进行比对。

控制签名过程中的所有步骤 - 包括定位签名字段、填写表格、添加注释、添加附件等等。

保护文档完整性 - 通过数字签名将其密封。

(xyzmo英文网站首页)

关于使用iText提取所有这些信息的问题...

1. 可以使用AcroFields类中的签名相关方法轻松提取和验证数字签名的属性，正如OP已经观察到的那样。
2. 手写签名的位图显像也可以相当容易地提取。签名表单字典的外观流仅绘制作为资源附加到流中的位图。
3. 包含专有信息的数据容器也可以提取，因为它只是签名字典中另一个关键字的值。
4. 不幸的是，该数据容器的内容被打包成称为EncryptedSignatureDataContainer的XML片段。该XML片段的有效负载数据是否可以正确解密以及如何进行解释，需要向xyzmo公司本身请求信息，我不知道他们是否认为这些信息是公开的。

因此，最相关的信息是最难访问的。

PS 关于加密生物识别有效负载的解密，我在制造商的网站上找到了以下内容：

该文档包含加密的捕获签名(RSA 4096 + AES256)。一个人的签名被立即加密，当它被签名板捕获时，使用一个特殊证书的私钥。这个特殊证书是由使用xyzmo套件的公司选择的，并且通常存储在公司之外的安全环境中(银行保险柜、外部公证处等)。因此，xyzmo本身无法访问这个证书。对于签名的加密，xyzmo套件只需要证书的公钥。只有在解密和从文档中提取签名时，才需要使用私钥。只有公司授权访问这个证书的特定人员，才能使用PenAnalyst工具解密配置文件，这是套件的一部分。(来自xyzmo英文网站数字签名捕获FAQ)
因此，为了解密生物识别数据，您必须可以访问相应的私钥，这个私钥通常存储在公司之外的安全环境中(银行保险柜、外部公证处等)。如果您有这种访问权限，我们可以继续讨论这些已解密数据的格式...;)

顺便说一下，如果有人可以从签署的文件中简单地检索生物识别数据，那么它们就可以轻松地复制到其他文件中以伪造签名。

提取手写签名的位图图像

由于对提取手写签名的位图图像有特别的兴趣，这里提供一个快速而简单的帮助程序来提取签名的图像。如前所述，我在Java中执行此操作，因为我更熟悉该语言：

public class XyzmoSignatureDataExtractor
{
    public XyzmoSignatureDataExtractor(PdfReader reader)
    {
        this.reader = reader;
    }

    public PdfImageObject extractImage(String signatureName) throws IOException
    {
        MyImageRenderListener listener = new MyImageRenderListener();

        PdfDictionary sigFieldDic = reader.getAcroFields().getFieldItem(signatureName).getMerged(0);
        PdfDictionary appearancesDic = sigFieldDic.getAsDict(PdfName.AP);
        PdfStream normalAppearance = appearancesDic.getAsStream(PdfName.N);

        PdfDictionary resourcesDic = normalAppearance.getAsDict(PdfName.RESOURCES);
    
        PdfContentStreamProcessor processor = new PdfContentStreamProcessor(listener);
        processor.processContent(ContentByteUtils.getContentBytesFromContentObject(normalAppearance), resourcesDic);        

        return listener.image;
    }

    class MyImageRenderListener implements RenderListener
    {
        public void beginTextBlock() { }

        public void endTextBlock() { }

        public void renderImage(ImageRenderInfo renderInfo)
        {
            try
            {
                image = renderInfo.getImage();
            }
            catch (IOException e)
            {
                throw new RuntimeException("Failure retrieving image", e);
            }
        }

        public void renderText(TextRenderInfo renderInfo) { }

        PdfImageObject image = null;
    }

    final PdfReader reader;
}

您可以像这样使用它：

PdfReader reader = new PdfReader(resourceStream);
XyzmoSignatureDataExtractor extractor = new XyzmoSignatureDataExtractor(reader);
AcroFields acroFields = reader.getAcroFields();

for (String name: acroFields.getSignatureNames())
{
    System.out.printf("\nTesting signature '%s'.\n", name);
    PdfImageObject image = extractor.extractImage(name);

    OutputStream os = new FileOutputStream("target/test-outputs/SampleXyzmoSignature-image-" + name + "." + image.getFileType());
    os.write(image.getImageAsBytes());
    os.close();

    PdfDictionary imageDictionary = image.getDictionary();
    PRStream maskStream = (PRStream) imageDictionary.getAsStream(PdfName.SMASK);
    if (maskStream != null)
    {
        PdfImageObject maskImage = new PdfImageObject(maskStream);

        os = new FileOutputStream("target/test-outputs/SampleXyzmoSignature-image-" + name + "-mask." + maskImage.getFileType());
        os.write(maskImage.getImageAsBytes());
        os.close();
    }
}

警告：类XyzmoSignatureDataExtractor确实是一个快速而粗糙的hack。许多假设被做出，null检查被省略，...