Fonte autorevole su XML-sig
https://stackoverflow.com/questions/4860
-
08-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Abbiamo una domanda riguardante il sigillo XML e abbiamo bisogno di dettagli sugli elementi opzionali, nonché su alcuni aspetti della canonicalizzazione e della trasformazione.Stiamo scrivendo una specifica per un payload con sintassi XML molto piccolo che verrà inserito nei metadati dei file multimediali e dovrà essere firmato crittograficamente.Piuttosto che reinventare la ruota, abbiamo pensato che dovremmo usare le specifiche XML-sig, ma penso che la maggior parte sia eccessiva per ciò di cui abbiamo bisogno, e quindi ci piace avere più informazioni/dialogo con persone che conoscono i dettagli.
Nello specifico, dobbiamo preoccuparci delle trasformazioni o della canonicalizzazione se l'XML è molto semplice, senza schede per la formattazione ed è specifico per le nostre esigenze?
Soluzione
Se esiste l'opzione per non fai una firma XML e invece tratta solo l'XML come un flusso di byte e firmalo, fallo.Sarà più facile da implementare, più facile da capire, più stabile (nessuna canonicalizzazione, trasformazione, politica, ...) e più veloce.
Se è assolutamente necessario disporre di XML DSIG (purtroppo alcuni di noi lo devono fare), al giorno d'oggi è certamente possibile, ma ci sono molti, molti avvertimenti.Hai bisogno di un buon supporto per la libreria, con Java questo è pronto per l'uso in JDK 1.6, non ho familiarità con altre piattaforme.È necessario testare l'interoperabilità con il destinatario del codice XML firmato, soprattutto se potenzialmente si trova su una piattaforma diversa.
Assicurati di leggere Perché la sicurezza XML è compromessa, copre sostanzialmente tutto l'argomento relativo all'orrore rappresentato dalla canonizzazione XML e fornisce alcuni suggerimenti su alcune alternative.
Altri suggerimenti
Puoi farci sapere quale tecnologia stai utilizzando in quanto ci sono alcune parti interessanti là fuori intorno a queste cose e alcune scorciatoie...cioè.WSE2 è una bestia complessa e qualcosa che non mi piace sbagliare!
Non mi piace che gli sviluppatori lo facciano e ci sono acceleratori WSE2 là fuori come SSL accelera poiché l'elaborazione della crittografia ha un costo enorme, è meglio eliminarla dal codice normale e dall'arena di sviluppo.
Se questa è un'opzione per te... Prova a dare un'occhiata a questo: ForumSystems
Se devi firmare il codice XML, controlla XMLBlackbox che fornisce la canonicalizzazione e tutte le altre trasformazioni per te.XMLBlackbox supporta anche XAdES.
