Проверка цифровой подписи XML

Question

Я пытался проверить подпись XML.

Проверка согласно этому учебнику работает нормально.

Но я также попытался использовать второй подход. Чтобы проверить это с помощью метода verify класса Signature Я извлек подпись и сертификат из XML-файла и сделал следующее:

    public static boolean checkSignedFile(byte[] data, byte[] sigToVerify,
        byte[] cert, String algorithm) throws CertificateException,
        NoSuchAlgorithmException, InvalidKeyException, SignatureException {
    CertificateFactory cf = CertificateFactory.getInstance("X.509");
    Certificate c = (Certificate) cf
            .generateCertificate(new ByteArrayInputStream(cert));
    PublicKey pk = c.getPublicKey();
    Signature sig;
    boolean verifies = false;
    sig = Signature.getInstance(algorithm);
    sig.initVerify(pk);
    sig.update(data);
    verifies = sig.verify(sigToVerify);
    return verifies;
}

результат был ложным. Подпись не проверяла. Что может быть причиной этого?

Answer 1

Вы не можете проверить XMLDsig, как это. Это не сработает. Подпись не рассчитывается по необработанному XML. Он должен пройти канонизацию, дайджест и т. Д.

Что вы используете для data[]? Чтобы сделать это правильно, вам почти нужно переписать библиотеку XMLDsig.

Answer 2

Если data [] является содержимым подписанного XML-файла, что такое sigToVerify?

XMLSig создает элемент подписи (SignedInfo), который содержит дайджест каждого подписываемого элемента и метаинформацию, например используемые алгоритмы канонизации / преобразования. Затем дайджест этого SignedInfo-Elemnt рассчитывается и подписывается.

Следовательно, если sigToVerify является подписью, созданной реализацией XMLSignature, она не должна совпадать с подписью всего файла XML.

Здесь - более полное объяснение. А если вам интересно, посмотрите на спецификацию .