xml - 没有 KeyInfo 的 xades4j 验证
问题描述
我们公司使用 Etokens 通过 https 与服务器通信。如何验证 KeyInfo 中没有签名证书的封装 XML 文件?
<?xml version="1.0" encoding="UTF-8"?>
<EDoc><NextMsg ID="Edoc">2019-09-23T16:20:53</NextMsg><ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#" Id="xmldsig-5d0f41cd-6e98-488d-9415-28b6329b34d1">
<ds:SignedInfo>
<ds:CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315"></ds:CanonicalizationMethod>
<ds:SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"></ds:SignatureMethod>
<ds:Reference Id="xmldsig-5d0f41cd-6e98-488d-9415-28b6329b34d1-ref0" URI="">
<ds:Transforms>
<ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"></ds:Transform>
</ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"></ds:DigestMethod>
<ds:DigestValue>IUdYs162QE1GdUEKUxqppoFmNvrYMLMBGnduWy6v3rc=</ds:DigestValue>
</ds:Reference>
<ds:Reference Type="http://uri.etsi.org/01903#SignedProperties" URI="#xmldsig-5d0f41cd-6e98-488d-9415-28b6329b34d1-signedprops">
<ds:Transforms>
<ds:Transform Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315"></ds:Transform>
</ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"></ds:DigestMethod>
<ds:DigestValue>Uw2b3fkLSJPm+yDeYwXQhJHZhWP+vUNBEeS55LcII00=</ds:DigestValue>
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue Id="xmldsig-5d0f41cd-6e98-488d-9415-28b6329b34d1-sigvalue">
eHOQcdUYRRhQa3DV+P5lWnXR32KXpO08n4QI/SIXvJxbjvz3roGNas53E/1hCui8MG3TkZulx4Fw
W3N9qJ3FXciasReaqofrexHtbntyr6O/tzQh2akcJzo3TPH+j4PxozjFUxCxcaJRSqCE0hWdBtuI
S8rn+EKpes7ohgtlsVg=
</ds:SignatureValue>
<ds:Object><xades:QualifyingProperties xmlns:xades="http://uri.etsi.org/01903/v1.3.2#" Target="#xmldsig-5d0f41cd-6e98-488d-9415-28b6329b34d1"><xades:SignedProperties xmlns:ns3="http://uri.etsi.org/01903/v1.4.1#" Id="xmldsig-5d0f41cd-6e98-488d-9415-28b6329b34d1-signedprops"><xades:SignedSignatureProperties><xades:SigningTime>2019-09-23T16:20:53+03:00</xades:SigningTime><xades:SigningCertificate><xades:Cert><xades:CertDigest><ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"></ds:DigestMethod><ds:DigestValue>woG3fsImDUeqxznickzLkpeY9R4=</ds:DigestValue></xades:CertDigest><xades:IssuerSerial><ds:X509IssuerName>cn=LB-LITAS-CA,ou=MSD,o=Lietuvos bankas,l=Vilnius,c=LT</ds:X509IssuerName><ds:X509SerialNumber>105704079740755226136574</ds:X509SerialNumber></xades:IssuerSerial></xades:Cert></xades:SigningCertificate></xades:SignedSignatureProperties></xades:SignedProperties></xades:QualifyingProperties></ds:Object>
</ds:Signature></EDoc>
默认verify
函数搜索 KeyInfo
public static void verifyBes(KeyStore ksaa, String path)
throws javax.xml.parsers.ParserConfigurationException, org.xml.sax.SAXException,
java.security.NoSuchAlgorithmException, xades4j.utils.XadesProfileResolutionException,
xades4j.XAdES4jException, java.io.IOException, java.security.NoSuchProviderException,
java.security.cert.CertificateException, java.security.cert.CRLException,
java.security.cert.CertStoreException, java.security.KeyStoreException {
DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
dbf.setNamespaceAware(true);
Document doc = dbf.newDocumentBuilder().parse(new File(path));
Element root = doc.getDocumentElement();
Element idChild = (Element) root.getFirstChild();
DOMHelper.useIdAsXmlId(idChild);
String filename =
System.getProperty("java.home") + "/lib/security/cacerts".replace('/', File.separatorChar);
FileInputStream is = new FileInputStream(filename);
KeyStore ks = KeyStore.getInstance(KeyStore.getDefaultType());
String password = "changeit";
ks.load(is, password.toCharArray());
X509Certificate validate_cert = null;
FileSystemDirectoryCertStore fsCertStore = new FileSystemDirectoryCertStore("../certStore");
Collection<? extends Certificate> allCerts = fsCertStore.getStore().getCertificates(null);
// search for specific certificate to test agains
for (Certificate c : allCerts) {
X509Certificate pool_cert = (X509Certificate) c;
System.out.println(pool_cert.getSubjectDN().getName());
if (-1 != pool_cert.getSubjectDN().getName().indexOf("TEST CERTIFICATE"))
validate_cert = pool_cert;
}
CertificateValidationProvider validationProviderMySigs =
new PKIXCertificateValidationProvider(ks, false, fsCertStore.getStore());
XadesVerificationProfile instance = new XadesVerificationProfile(validationProviderMySigs);
XadesVerifier verifier = instance.newVerifier();
Element sig = (Element) doc.getElementsByTagName("ds:Signature").item(0);
XAdESVerificationResult r = verifier.verify(sig, null);
}
xades4j.verification.InvalidKeyInfoDataException:没有 X509Data 来识别 com.mycompany.app 的 xades4j.verification.XadesVerifierImpl.verify(XadesVerifierImpl.java:184) 的 xades4j.verification.SignatureUtils.processKeyInfo(SignatureUtils.java:79) 的叶证书。 com.mycompany.app.App.main(App.java:460) 上的 App.verifyBes(App.java:993)
解决方案
TL,博士;
目前,没有办法做到这一点。
原因
- xadesj4j 基于 XAdES 1.4.1 标准。根据该标准,该
SigningCertificate
属性要求在该属性中标识签名证书,但如果该属性中有多个证书引用,则不说明哪个项目对应于该签名证书。xades4j 尝试使用数据KeyInfo
来解决这个问题。 - xades4j 首先进行核心 XML-DSIG/加密验证(需要歌唱证书),并且仅在检查每个合格属性之后。这意味着
SigningCertificate
在尝试识别证书时不考虑该属性。也许这可能会有所不同,特别是如果属性中只有一个证书引用(上一项中提到的问题不适用)。
想法
- 识别签名证书的目的是提供一个
X509CertSelector
到CertificateValidationProvider.validate()
. 如果没有其他更改,如果在KeyInfo
不存在时提供了“空”证书选择器,则意味着CertificateValidationProvider
需要知道如何识别签名证书。内置PKIXCertificateValidationProvider
会失败,这并不酷。但是,由于此方案当前失败,这意味着更改不会破坏现有应用程序。 - 如果没有
KeyInfo
,请尝试查找SigningCertificate
属性,如果它包含单个证书引用,请使用其中的颁发者/序列号来配置X509CertSelector
. 鉴于当前的架构,这具有在核心签名验证之前访问属性数据的缺点。
我不喜欢任何选项。我已经在现有问题中添加了对这个问题的引用,该问题也是关于创建X509CertSelector
. 我会多考虑一下。随意提出更多想法或尝试实施。
推荐阅读
- fullcalendar - FullCalendar v5 根据来自服务器的动态数据动态设置 slotMaxTime 和 slotMinTime
- python - 将 Websockets 添加到部署在 Azure Web App Service 上的 Django 服务器
- javascript - AddEventListener() javascript 蛇游戏。没有输入就移动?
- laravel - 如何使用 Laravel 存储多个复选框
- laravel - Laravel 访问 WAMP 上存储文件夹中的图像
- php - 在 PHP 中将 CSV 转换为对象数组
- amazon-web-services - 并非所有打开 aws 页面的网址
- python - 使用转换器参数传递“字符串”时,Pandas read_excel 新字符串类型错误
- python - Gspread:一次格式化特定单元格(不仅仅是一行或一列)
- javascript - 打字稿:字符串和字符串模板关系 - 转换?