Авторитетный источник XML-sig

У нас есть вопрос в отношении XML-сига и необходимость в деталях о необязательных элементах, а также о некоторых материалах канонизации и преобразования. Мы пишем спецификацию для очень маленькой полезной информации синтаксиса XML, которая войдет в метаданные медиафайлов, и она должна быть криптографически подписана. Вместо того, чтобы повторно изобретать колесо, мы думали, что мы должны использовать спецификацию XML-сига, но я думаю, что большая часть его излишняя для того, что нам нужно, и поэтому нам нравится иметь больше информации/общения с людьми, которые знают подробности.

В частности, нужно ли нам заботиться о преобразованиях или канонизациях, если XML очень простой, без вкладок для форматирования и специфичен для наших потребностей?

Ответ 1

Если существует опция not, которая имеет подпись XML, а вместо этого просто обрабатывает XML как поток байтов и подписывает его, сделайте это. Это будет проще реализовать, легче понять, более стабильно (без канонизации, преобразования, политики,...) и быстрее.

Если вы абсолютно должны иметь XML DSIG (к сожалению, некоторые из нас должны), это, безусловно, возможно в наши дни, но есть много и много предостережений. Вам нужна хорошая поддержка библиотеки, а Java это не входит в JDK 1.6, я не знаком с другими платформами. Вы должны проверить совместимость с принимающей стороной подписанного XML, особенно если они потенциально находятся на другой платформе.

Обязательно прочитайте Почему XML-безопасность разбита, в основном она охватывает всю почву относительно ужаса, который является канонизацией XML, и дает некоторые указатели к некоторым альтернативам.

Ответ 2

Можете ли вы сообщить нам, что технология, которую вы используете, поскольку там есть некоторые интересные битки вокруг этого материала и некоторые короткие сокращения... т.е. WSE2 - это сложный зверь и что-то, что мне не нравится ошибаться!

Мне не нравятся разработчики, которые делают это, и есть ускорители WSE2, такие как SSL Accelorates, поскольку обработка шифрования имеет высокую стоимость, чтобы вывести ее из процесса из обычного кода и арены разработки.

Если это вариант для вас - Попробуйте взглянуть на это - ForumSystems

Ответ 3

Если вам нужно подписать XML в коде, отметьте XMLBlackbox, который обеспечивает канонизацию и все другие преобразования для вас. XMLBlackbox также поддерживает XAdES.