Um levantamento imparcial, com fontes citadas, das ferramentas de assinatura de código e documentos disponíveis para desenvolvedores Delphi e C++ Builder em 2026: sgcSign, Microsoft SignTool, osslsigncode, Azure Trusted Signing, DigiCert Software Trust Manager, jsign, Adobe Acrobat e os SDKs de PDF iText / Apryse. Cada afirmação sobre recursos tem link para a documentação oficial do projeto.
Um resumo de um parágrafo para cada opção, com link para a documentação ou repositório oficial. A comparação detalhada está na matriz abaixo.
eSeGeCe · Comercial
Suite comercial de assinatura digital para Delphi / C++ Builder / .NET. Distribuída em dois formatos complementares que compartilham o mesmo núcleo de assinatura. A biblioteca de componentes produz assinaturas XAdES, PAdES, CAdES e ASiC em processo, do Delphi 7 ao Delphi 13. O sgcSign Server adiciona um daemon REST de assinatura auto-hospedado que assina Authenticode (binários PE), manifestos ClickOnce, pacotes NuGet, bundles VSIX e scripts PowerShell, além dos formatos de documento. Dez provedores de chave cobrem PFX/PEM local, o Windows Certificate Store, tokens de hardware PKCS#11, AWS KMS, Azure Trusted Signing, Google Cloud KMS, HashiCorp Vault, Certum SimplySign e qualquer QTSP remoto CSC v2. Vinte e um perfis de país pré-configurados atendem à e-fatura europeia e à assinatura de contratos de emprego eIDAS.
Microsoft · Windows SDK EULA (free for development)
A ferramenta de assinatura de código de linha de comando da Microsoft, incluída com o SDK do Windows 10 / Windows 11. Assina e aplica timestamps em arquivos Windows Portable Executable (.exe, .dll, .sys, .cab, .cat) além de pacotes AppX/MSIX, manifestos ClickOnce e projetos Microsoft Office Visual Basic for Applications via o mecanismo SIP (Subject Interface Package). Lê certificados do Windows Certificate Store, arquivos PKCS#12, cartões inteligentes e provedores Cloud Signing Service (CSP). A assinatura de PDF, XML e ETSI XAdES / PAdES / CAdES não está no escopo do SignTool.
Michał Trojnara & contributors · GPL-3.0-or-later (código aberto)
Ferramenta de assinatura Authenticode multiplataforma de código aberto, construída sobre o OpenSSL. Assina binários Microsoft PE (.exe, .dll, .sys, .cab, .cat), arquivos CAB, pacotes AppX/MSIX, pacotes NuGet e arquivos de script. Roda no Linux, BSD e macOS além do Windows, que é a razão histórica do projeto — permite que farms de build Linux assinem binários Windows sem executar o SignTool com Wine. Timestamping RFC 3161 e Authenticode legado; fontes de certificado incluem arquivos PKCS#12 e tokens de hardware PKCS#11.
Microsoft · Commercial (Azure subscription, per-month)
O serviço de assinatura de código totalmente gerenciado da Microsoft no Azure (anteriormente Azure Code Signing). Os clientes não possuem o certificado de assinatura — a Microsoft emite um certificado de curta duração a cada três dias e armazena a chave privada em um HSM Azure. Integrações disponíveis para SignTool, GitHub Actions, Azure Pipelines, Trusted Signing PowerShell e uma dlib dedicada (Trusted Signing CSP) que expõe as chaves para qualquer ferramenta com suporte a CSP. Assina Windows PE, MSIX, AppX, ClickOnce, scripts VBScript / JScript / PowerShell; assinatura de PDF / XML está fora do escopo.
DigiCert · Commercial (subscription)
A plataforma de assinatura de código na nuvem da DigiCert. As chaves privadas ficam em um HSM FIPS 140-2 / 140-3 hospedado pela DigiCert. Assine Windows PE, Java JAR, Android APK, Linux RPM / DEB, imagens de container, NuGet, binários Apple Mach-O e mais por meio de um conjunto de ferramentas dedicadas: o cliente de assinatura smctl, o plug-in DigiCert KSP / CSP para SignTool, integrações nativas com Jenkins / GitHub Actions / Azure Pipelines e uma API REST. Documentos (PDF, XAdES) são assinados pelo produto separado DigiCert Document Trust Manager.
Emmanuel Bourg · Apache 2.0 (código aberto)
Ferramenta de assinatura Authenticode de código aberto baseada em Java. Roda como um comando autônomo, um plug-in Maven / Gradle / Ant ou uma API Java programática. Assina binários Microsoft PE, instaladores MSI, arquivos de script Microsoft (.ps1, .vbs, .js), pacotes MSIX / AppX, arquivos CAB e catálogos CAT. Suporta uma ampla lista de HSMs na nuvem por meio de uma única CLI: AWS KMS, Azure Key Vault, Azure Trusted Signing, Google Cloud KMS, DigiCert ONE, HashiCorp Vault, Oracle Cloud KMS, Yubico YubiHSM, AWS CloudHSM (via PKCS#11) e qualquer dispositivo PKCS#11.
Adobe · Commercial (subscription)
O Adobe Acrobat Pro e o Adobe Acrobat Sign são produtos para usuários finais para assinar documentos PDF. O Acrobat Pro aplica assinaturas digitais e assinaturas certificadas com timestamps e valida assinaturas PDF recebidas; o Acrobat Sign (anteriormente EchoSign) é um serviço na nuvem para coletar assinaturas eletrônicas de partes externas. Nenhum deles é uma biblioteca de desenvolvedor: não há SDK para Delphi / C++ Builder nem ferramenta de assinatura por linha de comando incluída. A Validação de Longo Prazo PAdES é suportada no lado de validação por meio da Adobe Approved Trust List (AATL) e da European Union Trusted List (EUTL).
iText Group / Apryse Software (PDFTron) · Commercial (AGPL or commercial license)
Dois SDKs de PDF comerciais amplamente utilizados para assinatura de PDF automática em aplicações server-side. O iText Core (anteriormente iTextSharp) está disponível para Java e .NET sob AGPL-3.0 ou licença comercial; o namespace com.itextpdf.signatures cobre PAdES-B-B / B-T / B-LT / B-LTA, certificações MDP (modification-detection) e aparências visíveis. O Apryse PDFTron é um SDK comercial multiplataforma (Java, .NET, C++, Node.js, Python, Go, iOS, Android, web) com API PDF.SignatureHandler e suporte a PAdES. Nenhum dos fornecedores inclui binding nativo para Delphi.
Um check () significa que o projeto documenta suporte nativo. Um traço (—) significa que o projeto não o fornece nativamente. Um til (~) significa parcial / via add-on / não documentado explicitamente — consulte a seção Fontes para o que foi possível verificar.
| Recurso | sgcSign | Microsoft SignTool | osslsigncode | Azure Trusted Signing | DigiCert Software Trust Manager | jsign | Adobe Acrobat / Adobe Sign | iText / Apryse |
|---|---|---|---|---|---|---|---|---|
| Assinar binários Windows Authenticode para .exe / .dll / .sys / .ocx | — | — | ||||||
| Assinar manifestos ClickOnce Arquivos .application / .manifest | ~ | ~ | — | — | ||||
| Assinar pacotes NuGet / VSIX Contêineres .nupkg / .vsix | ~ | ~ | ~ | ~ | — | — | ||
| Assinar pacotes mobile (APK / IPA) Bundles Android APK ou iOS IPA | — | — | — | — | — | — | — | |
| Assinar documentos PDF (PAdES) ETSI EN 319 142, compatível com Adobe | — | — | — | ~ | — | |||
| Assinar documentos Office Word / Excel / PowerPoint docx / xlsx / pptx | — | ~ | — | — | — | — | — | — |
| Assinar documentos XML (XAdES) ETSI EN 319 132 | — | — | — | ~ | — | — | ~ | |
| API nativa para Delphi / C++ Builder Componentes VCL / FMX de primeira classe | — | — | — | — | — | — | — | |
| Ferramentas multiplataforma Roda em Windows, Linux e macOS | ~ | — | ~ | |||||
| Suporte a cloud HSM AWS / Azure / GCP / HashiCorp / CSC v2 | ~ | ~ | ~ | ~ | ||||
| Perfis de país / eIDAS Perfis de assinatura por país (VeriFactu, KSeF, etc.) | — | — | — | ~ | — | ~ | ~ | |
| CLI autônomo Cliente de linha de comando incluído | ~ | — | — | |||||
| Biblioteca / SDK API programática para chamada por uma aplicação | — | — | ~ | ~ | ~ | — | ||
| Manutenção ativa Lançamento ou atividade com tag nos últimos 12–18 meses | ||||||||
| Modelo de licença Tipo de licença | Commercial | Windows SDK EULA | GPL-3.0-or-later | Commercial (Azure subscription) | Commercial (subscription) | Apache 2.0 | Commercial (subscription) | AGPL or Commercial (iText) / Commercial (Apryse) |
Cada opção aqui tem um público real. A escolha certa depende de se você assina código, documentos ou ambos, do runtime que hospeda a lógica de assinatura, da sua preferência de custódia de chaves e da sua preferência de licença.
Escolha o sgcSign quando você desenvolve a aplicação em Delphi 7–13, C++ Builder ou .NET e quer uma suite de componentes que produza tanto assinaturas de documentos (XAdES, PAdES, CAdES, ASiC) quanto assinaturas de código (Authenticode, ClickOnce, NuGet, VSIX, PowerShell) a partir da mesma abstração de provedor de chave. Os 21 perfis de país pré-configurados cobrem a e-fatura europeia e a assinatura de contratos de emprego eIDAS; o formato servidor centraliza a custódia de chaves para farms de build.
Escolha o Microsoft SignTool quando os artefatos que você assina são todos binários Windows (PE / .cab / AppX / MSIX) e o host de build é Windows. O SignTool é a interface de linha de comando de referência que se integra com todos os serviços de assinatura na nuvem que fornecem um CSP / KSP (DigiCert KeyLocker, Azure Trusted Signing, GlobalSign Atlas, etc.), e a instalação do Windows SDK é gratuita.
Escolha o osslsigncode quando o host de build roda Linux, BSD ou macOS e os artefatos a assinar são binários Windows — arquivos CAB, arquivos PE, pacotes MSIX ou pacotes NuGet. A licença GPL-3.0 se encaixa naturalmente em pipelines de CI que já usam OpenSSL e tokens de hardware PKCS#11.
Escolha o Azure Trusted Signing quando quiser um serviço de assinatura de código Windows totalmente gerenciado em que a Microsoft detém o certificado e o HSM, quando sua equipe já opera no Azure e quando os artefatos a assinar são Windows PE, MSIX, AppX, ClickOnce ou PowerShell. O modelo de certificado de curta duração elimina o ônus de renovação e de verificação de identidade de possuir um certificado de assinatura de código próprio.
Escolha o DigiCert Software Trust Manager quando você já adquire o certificado de assinatura de código da DigiCert e quer que ele fique armazenado no HSM com validação FIPS deles, com um painel central para renovações, revogações e auditoria. O cliente nativo smctl e o plug-in SignTool KSP cobrem binários Windows, JARs Java, imagens de container e pacotes mobile em um único fluxo de trabalho.
Escolha o jsign quando o pipeline de build já roda em uma toolchain JVM (Maven, Gradle, Ant ou Jenkins no JDK), quando você quer uma CLI que aciona todos os principais cloud HSMs e quando os artefatos a assinar são arquivos Windows PE / MSI / MSIX / script. A licença Apache 2.0 se encaixa perfeitamente em fluxos de build de código fechado.
Escolha o Adobe Acrobat / Adobe Sign quando o fluxo de assinatura é interativo e conduzido por um humano — uma pessoa abre um PDF no Acrobat, insere uma assinatura visível e envia o arquivo. O Acrobat Sign estende esse padrão para fluxos de assinatura multi-partes coletados por e-mail. Nenhuma automação em tempo de build ou no lado do servidor é necessária.
Escolha o iText ou o Apryse PDFTron quando a aplicação é construída em Java, .NET, C++ ou um dos outros runtimes suportados e o PDF é o formato de documento predominante. Ambos os SDKs têm suporte maduro a PAdES, forte cobertura de recursos PDF além da assinatura (formulários, redação, renderização) e referências empresariais consagradas.
Notas breves sobre as diferenças ao migrar de uma das opções acima. Sem confronto — apenas o mapeamento prático.
O SignTool cobre apenas assinatura de código Windows. Se sua aplicação já chama o SignTool a partir de um script de build, o sgcSign Server expõe um endpoint REST de assinatura que recebe um binário e um nome de provedor e retorna o artefato assinado — o mesmo fluxo de trabalho, mas a operação Authenticode roda de forma centralizada e a trilha de auditoria, o fluxo de aprovação e as cotas por projeto ficam em um único lugar. A assinatura de documentos (XAdES / PAdES / CAdES / ASiC) fica então disponível no mesmo daemon.
Se seu pipeline de build usa o osslsigncode para assinar com Authenticode binários Windows a partir de agentes de build Linux, o sgcSign Server oferece o mesmo fluxo via uma API HTTPS e adiciona drivers de primeira classe para AWS KMS, Azure Trusted Signing, Google Cloud KMS e HashiCorp Vault, além do caminho PKCS#11 que você já pode usar. Os formatos de documento (PDF / XML / CMS) ficam então disponíveis no mesmo endpoint.
O sgcSign expõe o Azure Trusted Signing como um dos seus dez provedores de chave (TsgcAzureTrustedSigningProvider), para que uma aplicação Delphi ou C++ Builder possa acionar o Azure Trusted Signing diretamente — a mesma chave privada, o mesmo certificado de confiança pública emitido pela Microsoft, mas o assinador roda em processo. Se você também precisar de assinatura de documentos PDF / XAdES / CAdES, o mesmo provedor de chave atende aos assinadores de documentos.
Se você assina binários Windows com o smctl hoje, o sgcSign Server pode acionar o mesmo certificado de assinatura de código via o provedor PKCS#11 que a DigiCert expõe, e adiciona assinatura de documentos XAdES / PAdES / CAdES de primeira classe por cima — útil quando uma aplicação precisa tanto de assinaturas de código quanto de documentos a partir de um único daemon.
O jsign cobre assinatura de código Windows em uma ampla gama de cloud HSMs. O sgcSign Server se sobrepõe na matriz de cloud-HSM (AWS KMS, Azure Trusted Signing, Google Cloud KMS, HashiCorp Vault) e acrescenta assinatura de documentos ETSI (PAdES, XAdES, CAdES, ASiC) mais os 21 perfis de país — útil quando a mesma chave precisa produzir tanto assinaturas de código quanto de documentos.
O Adobe Acrobat é uma ferramenta para o usuário final, não uma biblioteca de desenvolvedor. Se você atualmente pede aos usuários finais que assinem PDFs no Acrobat e agora quer assinaturas PAdES desassistidas no lado do servidor, o sgcSign fornece o assinador de PDF (TsgcPAdESSigner) mais os clientes de timestamp e OCSP para produzir assinaturas PAdES-T e PAdES-LT a partir de um pipeline de build ou de um serviço backend.
O iText e o Apryse não fornecem um binding nativo para Delphi, então as aplicações Delphi geralmente encapsulam o SDK .NET ou Java deles atrás de uma ponte fina. O sgcSign produz assinaturas PAdES-B-B / B-T / B-LT a partir de código Delphi e C++ Builder nativo — a camada de ponte desaparece, e a mesma cadeia de provedor de chave que assina PDFs também assina artefatos XML, CMS e Authenticode.
Cada célula da matriz acima remete a uma dessas páginas de documentação oficial, repositórios ou notas de versão. Todos os URLs foram verificados no momento da redação.