Ce tutoriel suppose que vous avez préalablement installé l'outil libre OpenSSL.

Commencez par récupérer les certificats de l'autorité de certification qui a émis le certificat de signature. Dans mon cas, il s'agit du certificat AC_IAS1_C. Comme ce certificat est au format DER et que nous avons besoin qu'il soit au format PEM lors de la vérification, commençons par le convertir en PEM :
openssl x509 -in AC_IAS1_C.cer -inform DER -out AC_IAS1_C.pem

Pour vérifier la validité de la signature, il ne vous reste alors plus qu'à taper la commande suivante :
openssl smime -verify -inform DER -in data.sig -content data.pdf -CAfile AC_IAS1_C.pem -out /dev/null
où data.pdf est le document signé et data.sig la signature détachée. Cela doit vous répondre :
Verification successful

Après cette vérification, vous avez l'assurance que le document signé n'a pas été altéré après la signature, c'est à dire son intégrité est garantie.
Reste à en vérifier l'authenticité, en tapant la commande suivante :
openssl pkcs7 -inform DER -in data.sig -print_certs
qui va vous afficher le certificat de signature, c'est à dire quelque chose qui ressemble à ça :

subject=/C=FR/O=GOUV/OU=MEFI/OU=ABONNE/CN=3 DUPONT JEAN 1125454445AE
issuer=/O=DIRECTION GENERALE DES IMPOTS/CN=AC SERVICES INDIVIDUELS IAS1 C
-----BEGIN CERTIFICATE-----
MIIDXjCCAsegAw4sd5z6ddd58s453fL7sREF1Xg7gzANBgkqhkiG9w0BAQUFADBR
MSYwJAYDVQQKEx1ESVJFQ1RJT045412erzJBTEUgREVTIElsdfdUUzEnMCUGA1UE
.... etc...
ZtR=
-----END CERTIFICATE-----


Vous savez alors que le document a été signé par Jean DUPONT avec son certificat émis pas le Minefi, et lors de vérification de la signature (commande précédente), vous avez vérifié que le certificat de signature est authentique.