XML デジタル・シグニチャー

XML-Signature Syntax and Processing (XML デジタル・シグニチャー) は、XML 構文と処理ルールを定義する仕様で、デジタル・コンテンツのデジタル・シグニチャーを署名し、検証します。その仕様は World Wide Web Consortium (W3C) と Internet Engineering Task Force (IETF) の共同で開発されました。

XML デジタル・シグニチャーは新規暗号アルゴリズムを導入しません。WebSphere® Application Server は、RSA、HMAC、および SHA1 などの既存のアルゴリズムとともに XML デジタル・シグニチャーを使用します。 XML Signature は鍵情報を記載する多くの方法を定義し、新しい方法の定義を可能にします。

XML 正規化 (c14n) は、XML Signature を使用する際に必要となることがあります。 シリアライズ済み XML 文書内ではさまざまな方法で情報を表示することができます。 例えば、オクテット表記は異なりますが、以下の例では同じです。

C14n は XML 情報を正規化するために使用されるプロセスです。正規化される情報はこのアルゴリズムに依存しているため、適切な c14n アルゴリズムを選択してください。 主な c14n アルゴリズムの 1 つである Exclusive XML Canonicalization は、文字エンコード・スキーム、属性の順序、ネーム・スペース宣言などを正規化します。 そのアルゴリズムはタグの外の空白、ネーム・スペース接頭部、またはデータ・タイプ表記は正規化しません。

Web Services Security-Core 仕様の XML Signature

Web Services Security-Core (WSS-Core) 仕様は、XML Signature を取り込む Simple Object Access Protocol (SOAP) メッセージの標準的な方法を定義します。 WSS-Core のほとんどすべての XML Signature 機能を使用することができます (エンベロープされる署名とエンベロープする署名は除く)。 ただし、WSS-Core では c14n アルゴリズムやそのほかの SecurityTokenReference および KeyIdentifier などの追加機能のために排他的な正規化が推奨されます。 KeyIdentifier は X.509 証明書内の SubjectKeyIdentifier フィールドの値です。 KeyIdentifier について詳しくは、 資料「OASIS Web Services Security X.509 Certificate Token Profile」内の 『Reference to a Subject Key Identifier』を参照してください。

SOAP メッセージに XML Signature を含めることによって、以下の問題が実現されます。
メッセージの保全性
メッセージの受信側は、メッセージ・パーツが鍵を使用して署名された後、アタッカーまたは問題により変更されていないことを確認することができます。
認証
有効な署名が 所有の証明 であることを前提とすることができます。 認証局によって発行されたデジタル証明書内のメッセージと、証明書の公開鍵によって正常に検証されたメッセージの署名は、 署名者が対応する秘密鍵を持っていることの証明となります。 受信側は証明書の信頼性を確認することによって、署名者を認証することができます。
関連情報
排他的な XML 正規化

フィードバック