XML-sig 的权威来源

Posted 2023-02-16

【中文标题】XML-sig 的权威来源

【英文标题】：Authoritative source on XML-sig

【发布时间】：2010-09-05 12:19:54

【问题描述】：

我们有一个关于 XML-sig 的问题，需要有关可选元素以及一些规范化和转换内容的详细信息。我们正在为一个非常小的 XML 语法有效负载编写规范，该有效负载将进入媒体文件的元数据，并且需要通过加密签名。与其重新发明***，我们认为我们应该使用 XML-sig 规范，但我认为其中大部分对于我们需要的东西来说都是多余的，因此我们希望与了解细节的人有更多的信息/对话。

具体来说，如果 XML 非常基本，没有用于格式化的选项卡并且特定于我们的需求，我们是否需要关心转换或规范化？

【参考方案1】：

如果存在 不 进行 XML 签名而只是将 XML 视为字节流并对其进行签名的选项，请执行此操作。它将更容易实现、更容易理解、更稳定（没有规范化、转换、策略......）并且速度更快。

如果您绝对必须拥有 XML DSIG（遗憾的是，我们中的一些人必须拥有），现在当然可以，但有很多很多的警告。您需要良好的库支持，Java 是 JDK 1.6 开箱即用的，我不熟悉其他平台。您必须测试与已签名 XML 的接收端的互操作性，尤其是当它们可能在不同的平台上时。

请务必阅读Why XML Security Is Broken，它基本上涵盖了有关 XML 规范化这一恐怖的所有方面，并提供了一些替代方案的一些指针。

【参考方案2】：

您能否告诉我们您正在使用的技术，因为这些东西周围有一些有趣的部分和一些捷径......即 WSE2 是复杂的野兽，我不喜欢出错！

我不喜欢开发人员这样做，并且有像 SSL Accelorates 这样的 WSE2 加速器，因为加密处理的成本很高，最好将其从正常代码和开发领域中移除。

如果这是您的选择 - Try look at this - ForumSystems

【参考方案3】：

如果您需要在代码中签署 XML，请查看XMLBlackbox，它为您提供规范化和所有其他转换。 XMLBlackbox 还支持 XAdES。