Maßgebliche Quelle auf XML-Signatur
https://stackoverflow.com/questions/4860
-
08-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Wir haben eine Frage bezüglich XML-Signatur und benötigen Details zu den optionalen Elementen sowie zu einigen Kanonisierungs- und Transformationsthemen.Wir schreiben eine Spezifikation für eine sehr kleine XML-Syntax-Nutzlast, die in die Metadaten von Mediendateien eingeht und kryptografisch signiert werden muss.Anstatt das Rad neu zu erfinden, dachten wir, wir sollten die XML-Sig-Spezifikation verwenden, aber ich denke, das meiste davon ist für das, was wir brauchen, übertrieben, und deshalb möchten wir mehr Informationen/Dialoge mit Leuten haben, die die Details kennen.
Müssen wir uns insbesondere um Transformationen oder Kanonisierung kümmern, wenn das XML sehr einfach ist, keine Tabulatoren zur Formatierung enthält und speziell auf unsere Bedürfnisse zugeschnitten ist?
Lösung
Wenn die Option dazu besteht nicht Führen Sie eine XML-Signatur durch und behandeln Sie stattdessen einfach das XML als Bytestrom und signieren Sie es.Es wird einfacher zu implementieren, leichter zu verstehen, stabiler (keine Kanonisierung, Transformation, Richtlinie usw.) und schneller sein.
Wenn Sie unbedingt über XML DSIG verfügen müssen (leider müssen einige von uns dies tun), ist dies heutzutage sicherlich möglich, es gibt jedoch viele, viele Einschränkungen.Sie benötigen eine gute Bibliotheksunterstützung. Bei Java ist dies in JDK 1.6 standardmäßig der Fall, andere Plattformen kenne ich nicht.Sie müssen die Interoperabilität mit der Empfängerseite Ihres signierten XML testen, insbesondere wenn diese sich möglicherweise auf einer anderen Plattform befindet.
Unbedingt lesen Warum die XML-Sicherheit gebrochen ist, deckt es im Grunde alles ab, was den Schrecken der XML-Kanonisierung angeht, und gibt einige Hinweise auf einige Alternativen.
Andere Tipps
Können Sie uns mitteilen, welche Technologie Sie verwenden, da es zu diesem Thema einige interessante Dinge und einige Abkürzungen gibt ...d.h.WSE2 ist ein komplexes Biest und etwas, bei dem ich nicht gerne etwas falsch mache!
Ich mag es nicht, wenn Entwickler das tun, und es gibt WSE2-Beschleuniger wie SSL Accelorates, da die Verarbeitung der Verschlüsselung enorme Kosten verursacht, um sie aus dem normalen Code und dem Entwicklungsbereich herauszunehmen.
Wenn dies eine Option für Sie ist – Schauen Sie sich das mal an – ForumSystems
Wenn Sie XML im Code signieren müssen, überprüfen Sie dies XMLBlackbox welches die Kanonisierung und alle anderen Transformationen für Sie bereitstellt.XMLBlackbox unterstützt auch XAdES.
