우리는 다수의 서명된 XML 문서를 수신하는 서비스를 보유하고 있으며, 그 중 일부는 자체 서명된 인증서로 서명되고 일부는 신뢰할 수 있는 인증 기관에서 서명됩니다.
XML 문서에 서명하는 데 사용된 인증서가 우리가 신뢰하는 인증서 목록에 있는지 확인하는 가장 좋은 방법은 무엇입니까?
오늘 우리는 인증서 지문을 허용된 인증서 지문 목록과 일치시킵니다.
지문이 고유하다고 믿을 수 있습니까? 아니면 위조가 가능합니까?
이 문제를 해결하는 가장 좋은 방법은 무엇입니까? (서명된 XML 문서를 보내는 모든 사람이 신뢰할 수 있는 인증 기관의 인증서를 사용하도록 할 수는 없습니다)
답변1
당신이 사용하는 경우표준 XML 서명구문을 사용하면 선택적 KeyInfo에 사용할 실제 인증서가 포함될 수 있습니다.
KeyInfo의 인증서 지문을 사용하여 허용된 인증서 목록과 일치시킨 다음 실제 서명의 유효성을 검사해야 합니다.신뢰할 수 있는 인증서가 있는 자체 저장소의 해당 인증서 사본. 문서 서명에 사용된 실제 인증서가 다른 경우 유효성 검사 단계가 실패하고 문서가 거부되어야 하며 누군가가 추가 조사를 해야 합니다.
인증서 지문은 실수로 동일한 지문이 포함된 두 개의 인증서가 있을 가능성이 무시할 만큼 충분히 복잡해야 합니다. 그러나 그런 일이 발생하더라도(악의로 인해) 서명 검증 프로세스에 잘못된 인증서가 선택되어 검증이 확실히 실패하게 됩니다.
하지만 문서의 유효성을 검사하는 경우문서 자체와 함께 제공되는 인증서로그런 다음 인증서 지문이 신뢰할 수 있는 인증서 중 하나와 일치하는지 확인하면잘못된 일: 기본적으로 신뢰할 수 있는 인증서의 지문을 암호로 사용하고 있습니다.