XML-sig的权威来源

我们对XML-sig有个疑问,需要关于可选元素以及一些规范化和变换的细节。我们正在编写一个规格非常小的XML语法有效载荷,它将进入媒体文件的元数据,并且需要以加密方式进行签名。我们认为我们应该使用XML-sig规范,而不是重新发明轮子,但我认为大部分内容对于我们所需要的是过度的,所以我们希望与了解详细信息的人们进行更多的信息/对话。

具体而言,如果XML非常基本,没有格式化选项卡并且特定于我们的需要,我们是否需要关心转换或规范化?

0

2 答案

如果该选项存在,则执行XML签名,而不是仅将XML视为字节流并签名,然后执行此操作。这将更容易实施,更容易理解,更稳定(无规范化,变换,政策......),速度更快。

如果你绝对必须拥有XML DSIG(不幸的是,我们中的一些人必须),但现在肯定有可能,但是有许多警告。您需要良好的库支持,而Java在JDK 1.6中是开箱即用的,我对其他平台并不熟悉。您必须测试与签名XML的接收端的互操作性,特别是如果它们可能位于不同的平台上。

请务必阅读 XML安全破解的原因,基本上涵盖了关于XML规范化的恐怖的所有理由,并给出了一些替代方案的一些指示。

0
额外

如果您需要在代码中签名XML,请查看 XMLBlackbox ,它提供规范化和所有其他转变为你。 XMLBlackbox也支持XAdES。

0
额外