Подписывание XML документа несколькими ЭЦП

Daniq · 18.05.2021 12:46:13

Здравствуйте. В примерах которые были указаны в SDK показан пример подписывание и проверки XML файла только одним ЭЦП.

Я подписал XML с одним эцп. Потом подписал подписанный XML другим эцп и получил новый с двумя тегами ds:Signature. Но когда начал делать валидацию, валидация провалилась.

org.apache.xml.security.signature.Reference verify
WARNING: Verification failed for URI ""
org.apache.xml.security.signature.Reference verify
WARNING: Expected Digest: QQKhUATfCLJ9APvLb9cnblqFD6eibFZASajHLrutKWA=
org.apache.xml.security.signature.Reference verify
WARNING: Actual Digest: 1NMaKILlVeS2vazy7JWR89Lg+ypNvpGYIsT2IkOukjU=
Bad signature: Element 'ds:Reference' is not found in XML document
org.apache.xml.security.exceptions.XMLSecurityException: Cannot create an ElementProxy from a null argument

Возможно ли подписать один XML документ несколькими ЭЦП и держать их вместе в одном XML файле?

Разумно ли вообще подписывать один XML несколькими ЭЦП?

Danil · 18.05.2021 13:43:38

Добрый день!
Какую именно библиотеку и методы Вы использовали при формировании подписи и при ее проверке?

Да. Это вполне реально и разумно.

Daniq · 18.05.2021 15:58:37

Здравствуйте. Использовал стандартный пример на Java который был XMLSignSample.java

SAAAAAAM · 19.05.2021 08:50:54

Метод верификации в XMLSignSample.java это самый простой базовый пример. Он не будет покрывать все случаи.

Как вариант, в SDK есть вспомогательная библиотека knca_provider_util, в которой есть набор готовых методов для различных операций с XML подписью. Подробнее можете прочитать в документации этой библиотеки.

Daniq · 19.05.2021 12:57:46

Спасибо за совет. У меня получилось подписывать XML через методы которых вы указали.

Вопрос такой, там для валидации через TSP требуется инстанс TimeStampToken. Как мне его создать от полученного серийного номера?

SAAAAAAM · 19.05.2021 13:29:43

Посмотрите пример по получению метки времени в SDK.

Daniq · 20.05.2021 08:48:22

Единственный способ в котором мне удалось хранить данные TimeStampToken это хранить его CMSSignedData как Base64

byte[] signedData = timeStampResponse.getTimeStampToken().toCMSSignedData().getEncoded();

String result = new String(Base64.getEncoder().encode(signedData))

SAAAAAAM · 20.05.2021 12:38:16

Не совсем понятен вопрос, опишите пожалуйста проблему более подробно.

Daniq · 20.05.2021 15:15:08

Я получил TimeStampToken от подписанного XML. Мне нужно каким то образом его хранить, чтобы если что его вытащить и проверить его с исходным XML. Единственный способ который я нашел это хранить его CMSSignedData как Base64.

Это разумно вообще хранить его?

SAAAAAAM · 21.05.2021 08:18:59

CMSSignedData это подпись в формате CMS (CAdES). Нет смысла извлекать метку из XML подписи и вставлять в CMS подпись. Вы можете просто хранить саму XML подпись и извлекать метку только при верификации.