Javaで空白やラインブレイクなしでXML署名を作成する方法は?
-
12-10-2019 - |
質問
私はブラジル人と仕事をしています」Nota Fiscal Eletronica「プロジェクトでは、XMLドキュメントに署名するStandArtの方法を定義しています。
最近、彼らは署名タグ(*)を含むタグ間にホワイトスペースが絶対にないことを要求し始めました。
私たちはたまたまapacheを使用しています xmlsignature そして、私は攻撃されていない署名を生み出すことができないようです。
署名後に空白を削除すると、署名が壊れます。
定義されているため、Canonicalizer / Transformersセットも変更できません。
XMLSignature APIに、インデンテーションまたはホワイトスペースを制御するオプションまたはパラメーターが見つかりませんでした。
以下はコードです:
// the element where to insert the signature
Element element = ...;
X509Certificate cert = ...;
PrivateKey privateKey = ...;
XMLSignature signer =
new XMLSignature(doc, "http://xml-security",
XMLSignature.ALGO_ID_SIGNATURE_RSA_SHA1);
element.appendChild(signer.getElement());
Transforms transforms = new Transforms(doc);
// Define as regras de transformação e canonicalização do documento
// XML, necessário para fazer a verificação do parsing e da
// assinatura pelos destinatários
transforms.addTransform(Transforms.TRANSFORM_ENVELOPED_SIGNATURE); //, xpath.getElementPlusReturns());
transforms.addTransform(Transforms.TRANSFORM_C14N_OMIT_COMMENTS); //,xpath.getElementPlusReturns());
String id = "";
id = ((Element) element.getElementsByTagName("infNFe").item(0)).getAttributeNode("Id").getNodeValue();
signer.addDocument("#" + id, transforms,
Constants.ALGO_ID_DIGEST_SHA1);
signer.addKeyInfo(cert);
signer.sign(privateKey);
以下は結果の署名(スニペット)です。
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
<CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315"/>
<SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
<Reference URI="#NFe43110189716583000165550010000076011492273645">
<Transforms>
<Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
<Transform Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315"/>
</Transforms>
<DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<DigestValue>fas0ra5uRskQgRHSrIYhEjFEjKQ=</DigestValue>
</Reference>
</SignedInfo>
<SignatureValue>
2RGltUZy0HfNoiKtVanAeN+JUPyglWDuQNnMudSgA7kESoHBZ/q/GMbc+xMSN1eV8u7+2PxSKl1T
Zl592FWmCSAkL8pwMujDxJ4iTLU20Hf0dNF7oGcyB+g9GgbipW2udq0kwJLz6HzXUD/Evf/0y+3T
NtsXeIaA6A29ttD/UEs=
</SignatureValue>
<KeyInfo>
<X509Data>
<X509Certificate>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</X509Certificate>
</X509Data>
</KeyInfo>
</Signature>
(不要な)ラインブレークに注意してください。
どんな助けも大歓迎です。
よろしくお願いします。
(*)明確化:新しいルールは、要素のみのタグ間で、白文字(またはその他のテキスト)を禁止します。例として、これはそうでしょう 許可された:
<a><b>
text
inside
tag
</b></a>
これはそうでしょう 禁断:
<a>
<b>text</b>
</a>
なぜなら、後者のケースでは、ホワイトスペース(ラインブレイク)は2つのタグの間、つまり要素のみのタグ内に配置されているためです。
他のヒント
署名ブロックは、base64としてバイナリ情報をエンコードしています。 しなければならない ラインブレークを含むいくつかのフォーミングに従ってください(参照してください http://en.wikipedia.org/wiki/base64)。したがって、情報を変更せずに削除することはできません。
ネットワークトラフィックを再度修正するためのより良い方法は、データを送信する前にコンプレゼントを使用することです。
幸運にも xmlsignatureはopensourceです, 、だから、あなたはソースコードを取得し、あなた自身をハックする必要があると思います。
おそらくあなたのソリューションは、将来他の人を助けるので、パッチを作成してプロジェクトに送り返すでしょう。
幸運を!
:) :)
(恥ずべき)ソリューションを見つけました。
ただし、予想されるソリューションではありません。ApacheのAPIをjavax.xml.crypto APIに置き換えます。
これが変更されたコードです:
// the element where to insert the signature
Element element = ...;
X509Certificate cert = ...;
PrivateKey privateKey = ...;
// Create a DOM XMLSignatureFactory that will be used to
// generate the enveloped signature.
XMLSignatureFactory fac = XMLSignatureFactory.getInstance("DOM");
// Create a Reference to the enveloped document (in this case,
// you are signing the whole document, so a URI of "" signifies
// that, and also specify the SHA1 digest algorithm and
// the ENVELOPED Transform.
List<Transform> transformList = new ArrayList<Transform>();
TransformParameterSpec tps = null;
Transform envelopedTransform;
try {
envelopedTransform = fac.newTransform(Transform.ENVELOPED,
tps);
Transform c14NTransform = fac.newTransform(
"http://www.w3.org/TR/2001/REC-xml-c14n-20010315", tps);
transformList.add(envelopedTransform);
transformList.add(c14NTransform);
} catch (NoSuchAlgorithmException e) {
throw new RuntimeException("Erro inesperado: " + e.getMessage(), e);
} catch (InvalidAlgorithmParameterException e) {
throw new RuntimeException("Erro inesperado: " + e.getMessage(), e);
}
// Create the KeyInfo containing the X509Data.
KeyInfoFactory kif = fac.getKeyInfoFactory();
List<Serializable> x509Content = new ArrayList<Serializable>();
x509Content.add(cert);
javax.xml.crypto.dsig.keyinfo.X509Data xd = kif.newX509Data(x509Content);
KeyInfo ki = kif.newKeyInfo(Collections.singletonList(xd));
// Obtem elemento do documento a ser assinado, será criado uma
// REFERENCE para o mesmo
Element el = (Element) element.getElementsByTagName(subTag).item(0);
String id = el.getAttribute("Id");
// Create a DOM XMLSignatureFactory that will be used to
// generate the enveloped signature.
Reference ref;
javax.xml.crypto.dsig.SignedInfo si;
try {
ref = fac.newReference("#" + id, fac.newDigestMethod(
DigestMethod.SHA1, null), transformList, null, null);
// Create the SignedInfo.
si = fac.newSignedInfo(fac.newCanonicalizationMethod(
CanonicalizationMethod.INCLUSIVE,
(C14NMethodParameterSpec) null), fac.newSignatureMethod(SignatureMethod.RSA_SHA1, null),
Collections.singletonList(ref));
} catch (NoSuchAlgorithmException e) {
throw new RuntimeException("Erro inesperado: " + e.getMessage(), e);
} catch (InvalidAlgorithmParameterException e) {
throw new RuntimeException("Erro inesperado: " + e.getMessage(), e);
}
// Create the XMLSignature, but don't sign it yet.
javax.xml.crypto.dsig.XMLSignature signature = fac.newXMLSignature(si, ki);
// Marshal, generate, and sign the enveloped signature.
// Create a DOMSignContext and specify the RSA PrivateKey and
// location of the resulting XMLSignature's parent element.
DOMSignContext dsc = new DOMSignContext(privateKey, element);
signature.sign(dsc);
このAPIは、タグ間にホワイトスペースがまったくない署名を生成します。
このコードはすでに非常に成熟しているため、ApacheのAPIの解決策を検討したいと考えています。署名の実装全体を変更するほどリスクを冒したくありません。
「true」値を「無知」パラメーターに設定する必要があります。原因 'デフォルト値はfalseで、これにより署名APIがラインブレイクを追加できます。
ラインブレイクを回避または削除するコードは次のとおりです
Field f = XMLUtils.class.getDeclaredField("ignoreLineBreaks");
f.setAccessible(true);
f.set(null, Boolean.TRUE);
次に、次のコード行で新しい値が真であることを確認できます
System.err.println(XMLUtils.ignoreLineBreaks());
私は同じ問題を抱えていましたが、これは私のために働いていました。
あなたが試すことができます:
System.setProperty("org.apache.xml.security.ignoreLineBreaks", "true");
XML署名は、C14Nアルゴリズムで正規化された後、特定の要素(つまり、DOMのサブツリー)で始まるXMLドキュメントの一部に署名します。使用する標準のC14Nアルゴリズムは、ラインブレークと白いスペースを保存します(参照 http://www.w3.org/tr/xml-c14n#example-whitespaceincontent).
したがって、元のドキュメントの署名された部分ですべての行が破損します(データの最後のタグと <Signature>
タグ、および間に </Signature>
と次のクロージングタグ) *しなければならない 署名を変更しないように保存されます。ラインが壊れてスペースがあります Signature
要素自体は重要ではなく、署名を変更せずに削除することができます。
ここに例:
<root id="signedpart">
<data>
...
</data>
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
<Reference URI="#signedpart">
...
</Reference>
</SignedInfo>
</Signature>
</root>
可能なオプションは次のとおりです。
自分でスペースとラインブレイクを削除する独自のC14Nアルゴリズムを定義します。反対側はこの非標準C14Nアルゴリズムも使用する必要があるため、これを思いとどまらせます。
削除XMLからラインを破壊します 前 署名する(そして、その後署名でスペースを削除する可能性がある)
この例では、これにより、次の署名XMLが得られます。
<root id="signedpart"><data>...</data><Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
<Reference URI="#signedpart">
...
</Reference>
</SignedInfo>
</Signature></root>
署名でスペースを削除した後
<root id="signedpart"><data>...</data><Signature xmlns="http://www.w3.org/2000/09/xmldsig#"><SignedInfo><Reference URI="#signedpart">...</Reference></SignedInfo></Signature></root>