Авторитетный источник на XML-подписи
У нас есть вопрос относительно XML-sig, и нам нужны подробности о дополнительных элементах, а также о некоторых вещах канонизации и преобразования. Мы пишем спецификацию для очень небольшой полезной нагрузки XML-синтаксиса, которая будет входить в метаданные мультимедийных файлов и должна быть подписана криптографически. Мы думали, что вместо того, чтобы заново изобретать колесо, нам следует использовать спецификацию XML-sig, но я думаю, что большая часть этого излишка для того, что нам нужно, и поэтому мы хотели бы иметь больше информации / диалог с людьми, которые знают детали.
В частности, нужно ли нам заботиться о преобразованиях или канонизации, если XML очень простой, без вкладок для форматирования и специфичен для наших нужд?
Ответы 3
Не могли бы вы сообщить нам о той технологии, которую вы используете, так как в этом материале есть несколько интересных моментов и несколько сокращений ... например, WSE2 - сложный зверь, и я не люблю ошибаться!
Мне не нравится, что разработчики делают это, и существуют ускорители WSE2, такие как SSL Accelorates, поскольку обработка шифрования имеет высокую стоимость, лучше всего вывести ее из процесса обычного кода и арены разработки.
Если это вариант для вас - Попробуйте взглянуть на это - ForumSystems
Если существует опция для нет сделать подпись XML, а вместо этого просто обработать XML как поток байтов и подписать его, сделайте это. Его будет проще реализовать, проще для понимания, стабильнее (без канонизации, преобразования, политики и т. д.) И быстрее.
Если вам абсолютно необходимо иметь XML DSIG (к сожалению, некоторые из нас должны), в наши дни это, безусловно, возможно, но есть много, много предостережений. Вам нужна хорошая поддержка библиотек, с Java это из коробки в JDK 1.6, я не знаком с другими платформами. Вы должны проверить совместимость с принимающей стороной подписанного XML, особенно если они потенциально находятся на другой платформе.
Обязательно прочтите Почему нарушена безопасность XML, он в основном охватывает все аспекты ужаса, который представляет собой канонизация XML, и дает некоторые указания на некоторые альтернативы.
Если вам нужно подписать XML в коде, отметьте XMLBlackbox, который предоставляет вам канонизацию и все другие преобразования. XMLBlackbox также поддерживает XAdES.