Source faisant autorité sur XML-sig
https://stackoverflow.com/questions/4860
-
08-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Nous avons une question concernant XML-sig et avons besoin de détails sur les éléments facultatifs ainsi que sur certains éléments de canonisation et de transformation.Nous écrivons une spécification pour une très petite charge utile de syntaxe XML qui ira dans les métadonnées des fichiers multimédias et qui doit être signée cryptographiquement.Plutôt que de réinventer la roue, nous avons pensé que nous devrions utiliser la spécification XML-sig, mais je pense que la plupart d'entre elles sont excessives pour ce dont nous avons besoin, et nous aimons donc avoir plus d'informations/dialogues avec des personnes qui connaissent les détails.
Plus précisément, devons-nous nous soucier des transformations ou de la canonisation si le XML est très basique, sans onglets pour le formatage et spécifique à nos besoins ?
La solution
Si l'option existe pour pas faites une signature XML et traitez simplement le XML comme un flux d'octets et signez-le, faites-le.Il sera plus facile à mettre en œuvre, plus facile à comprendre, plus stable (pas de canonisation, transformation, politique, ...) et plus rapide.
Si vous devez absolument disposer de XML DSIG (malheureusement, certains d'entre nous le doivent), c'est certainement possible de nos jours, mais il existe de très nombreuses mises en garde.Vous avez besoin d'un bon support de bibliothèque, avec Java, c'est prêt à l'emploi dans JDK 1.6, je ne suis pas familier avec les autres plates-formes.Vous devez tester l'interopérabilité avec le destinataire de votre XML signé, surtout s'il se trouve potentiellement sur une plate-forme différente.
Assurez-vous de lire Pourquoi la sécurité XML est brisée, il couvre essentiellement tout le terrain concernant l'horreur qu'est la canonisation XML et donne quelques indications sur des alternatives.
Autres conseils
Pouvez-vous nous faire savoir quelle technologie vous utilisez, car il existe des éléments intéressants autour de ce genre de choses et quelques raccourcis...c'est à dire.WSE2 est une bête complexe et quelque chose sur lequel je n'aime pas me tromper !
Je n'aime pas que les développeurs fassent cela et il existe des accélérateurs WSE2 comme SSL Accelorates, car le traitement du cryptage a un coût énorme, il est préférable de le retirer du code normal et de l'arène de développement.
Si c'est une option pour vous - Essayez de regarder ceci - ForumSystems
Si vous devez signer du code XML, cochez XMLBlackbox qui fournit la canonisation et toutes les autres transformations pour vous.XMLBlackbox prend également en charge XAdES.
