Autorytatywne źródło na XML-sig

Question

Mamy pytanie dotyczące XML-sig i potrzebujemy szczegółów na temat elementów opcjonalnych, jak również niektórych kanonizacji i transformacji. Piszemy specyfikację dla bardzo małej ładowności składni XML, która trafi do metadanych plików multimedialnych i musi zostać podpisana kryptograficznie. Zamiast odnawiać koło, myśleliśmy, że powinniśmy użyć specyfikacji XML-sig, ale uważam, że większość z nich to przesada w stosunku do tego, czego potrzebujemy, dlatego chcemy mieć więcej informacji/dialogu z ludźmi, którzy znają szczegóły.

W szczególności, czy musimy zadbać o transformacje czy kanonalizację, jeśli XML jest bardzo prosty, bez kart do formatowania i jest specyficzny dla naszych potrzeb?

Answer 1

Jeśli opcja istnieje, aby nie zrobić podpis XML i zamiast po prostu traktować XML jako strumień bajtów i podpisać, że to zrobić. Będzie łatwiejsze do wdrożenia, łatwiejsze do zrozumienia, bardziej stabilne (brak kanonizacji, transformacji, polityki, ...) i szybsze.

Jeśli absolutnie musisz mieć XML DSIG (niestety, niektórzy z nas muszą), jest to z pewnością możliwe w dzisiejszych czasach, ale jest wiele, wiele zastrzeżeń. Potrzebujesz dobrej obsługi bibliotek, ponieważ Java jest nieobsługiwana w JDK 1.6, nie znam innych platform. Musisz przetestować zgodność operacyjną z końcem odbierającym podpisanego XML, szczególnie jeśli są potencjalnie na innej platformie.

Pamiętaj, aby przeczytać Why XML Security Is Broken, w zasadzie obejmuje on cały grunt dotyczący horroru jakim jest kanonizacja XML i podaje kilka wskazówek dla niektórych alternatyw.

Answer 2

Czy możesz poinformować nas o technologii, z której korzystasz, ponieważ wokół tych rzeczy są interesujące fragmenty i krótkie skróty ... To znaczy, że WSE2 to skomplikowana bestia i coś, czego nie lubię robić źle!

Nie podoba mi się to, że deweloperzy to robią i są akceleratory WSE2, takie jak SSL Accelorates, ponieważ przetwarzanie szyfrowania kosztuje tyle, ile potrzeba, aby wyjąć go z procesu z normalnego kodu i areny rozwoju.

Jeśli jest to opcja dla Ciebie - Try look at this - ForumSystems

Answer 3

Jeśli chcesz podpisać kod XML, sprawdź kodowanie XMLBlackbox, które zapewnia kanonalizację i wszystkie inne transformacje. XMLBlackbox obsługuje również XAdES.