Digitale XML-Signatur

Die Spezifikation "XML-Signature Syntax and Processing" (digitale XML-Signatur) definiert XML-Syntax- und -Verarbeitungsregeln, mit denen digitale Signaturen für digitale Inhalte erstellt und überprüft werden können. Die Spezifikation wurde vom World Wide Web Consortium (W3C) und der Internet Engineering Task Force (IETF) gemeinsam entwickelt.

Die digitale XML-Signatur führt keine neuen Verschlüsselungsalgorithmen ein. WebSphere Application Server verwendet die digitale XML-Signatur mit vorhandenen Algorithmen, wie z. B. RSA, HMAC und SHA1. XML Signature definiert viele Methoden zur Beschreibung von Schlüsselinformationen und ermöglicht die Definition einer neuen Methode.

XML Canonicalization (c14n) wird bei der Verwendung von XML Signature oft benötigt. Informationen können auf vielerlei Weise in serialisierten XML-Dokumenten verwendet werden. Die folgenden Beispiele sind, obwohl die entsprechenden Oktettdarstellungen unterschiedlich sind, identisch:
  • <person first="John" last="Smith"/>
  • <person last="Smith" first="John"></person>

C14N ist ein Prozess, mit dem XML-Informationen kanonisiert werden können. Wählen Sie einen geeigneten C14N-Algorithmus aus, da die zu kanonisierenden Informationen von diesem Algorithmus abhängig sind. Einer der wichtigsten C14N-Algorithmen, Exclusive XML Canonicalization, kanonisiert das Codierungsschema für Zeichen, die Attributreihenfolge, Namespacedeklarationen usw. Der Algorithmus kanonisiert keine Leerzeichen außerhalb von Tags, Namespacepräfixen oder Darstellungen von Datentypen.

XML Signature in der Spezifikation Web Services Security-Core

Die Spezifikation Web Services Security-Core (WSS-Core) definiert eine Standardmethode, mit der SOAP-Nachrichten (Simple Object Access Protocol) eine XML-Signatur einbinden. Sie können fast alle XML-Signatur-Features in WSS-Core verwenden, mit Ausnahme von Enveloped Signature und Enveloping Signature. WSS-Core enthält einige Empfehlungen, z. B. die exklusive Kanonisierung für den C14N-Algorithmus, und einige zusätzliche Features, z. B. SecurityTokenReference and KeyIdentifier.

KeyIdentifier ist der Wert des Feldes SubjectKeyIdentifier im X.509-Zertifikat. Nähere Informationen zu KeyIdentifier finden Sie unter "Reference to a Subject Key Identifier" in der Dokumentation OASIS Web Services Security X.509 Certificate Token Profile.

Durch die Einbindung von XML Signature in SOAP-Nachrichten werden folgende Punkte realisiert:
Nachrichtenintegrität
Ein Nachrichtenempfänger kann bestätigen, dass Abschnitte der Nachricht, nachdem diese durch einen Schlüssel signiert wurden, nicht durch Angreifer oder versehentlich geändert wurden.
Authentifizierung
Sie können davon ausgehen, dass eine gültige Signatur ein Eigentumsnachweis ist. Eine Nachricht mit einem digitalen Zertifikat, das von einer Zertifizierungsstelle ausgestellt wurde, sowie eine Signatur in der Nachricht, die von einem öffentlichen Schlüssel im Zertifikat validiert wurde, beweisen, dass der Aussteller den entsprechenden privaten Schlüssel besitzt. Der Empfänger kann den Aussteller authentifizieren, indem er die Vertrauenswürdigkeit des Zertifikats überprüft.

Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_digsignv6
Dateiname:cwbs_digsignv6.html