A GpgMe-t egyelőre kihagytam, a NSS is elég ahhoz, hogy PDF-eket írjon alá és aláírást ellenőrizzen (pdfsig program).
Azért egyelőre inkább az openpdfsign-t használnám aláírásra, nem a pdfsig-et, mert: kisebb az outputfájl; keletkezik egy látványelem a PDF-ben, ami az aláírásra utal; nem kell az NSS-kulcstárolóit használni, simán a cert és key fájlokat kéri paraméternek.
Ja és az openpdfsign egy darab (igaz, szép nagy) jar-file, hozza magával az összes függőségét.
Megjegyzés: az aláírás szabványa az egyiknél ETSI.CAdES.detached a másiknál adbe.pkcs7.detached. Ezt nem tudom, mit jelent, de az ETSI-nek olyan európai hangzása van.