關於 XML 簽名

AIR 可支援下列來自 W3C 建議事項之「XML 簽名語法及處理」(XML Signature Syntax and Processing) 的元素：

• 所有的核心簽名語法元素 (W3C 建議事項文件的第 4 節)—除了 KeyInfo 元素未完全受到支援以外

• KeyInfo 元素必須只包含 X509Data 元素

• X509Data 元素必須只包含 X509Certificate 元素

• SHA256 摘要方法

• RSA-SHA1 (PKCS1) 簽署演算法

• 「不含註解、規範化的 XML」規範化方法與轉換

• 封內簽名轉換

• 時間戳記

下列文件說明何謂典型的 XML 簽名 (為了簡化範例，其中的大部分密碼編譯簽名資料皆已移除)：

<Signature xmlns="http://www.w3.org/2000/09/xmldsig#"> 
    <SignedInfo> 
        <CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315"/> 
        <SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/> 
        <Reference URI="URI_to_signed_data"> 
            <Transforms> 
                <Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>            </Transforms> 
            <DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"/> 
            <DigestValue>uoo...vY=</DigestValue> 
        </Reference> 
    </SignedInfo> 
    <SignatureValue>Ked...w==</SignatureValue> 
    <KeyInfo> 
        <X509Data> 
            <X509Certificate>i7d...w==</X509Certificate> 
        </X509Data> 
    </KeyInfo> 
</Signature>

構成簽名的關鍵元素為：

• SignedInfo — 內有簽署資料的參照與簽署時所算出的摘要值。簽署資料本身可能與 XML 簽名位於同一份文件內，也可能位於外部。

• SignatureValue — 其中含有 SignedInfo 元素的摘要，此摘要以簽署者的私密金鑰進行加密。

• KeyInfo — 其中含有簽署憑證，以及用以建立信任鍊結所需的所有額外憑證。請注意，雖然 KeyInfo 元素屬於選擇性元素，但如果未將其包含在內，AIR 便無法驗證簽名。

XML 簽名有三種一般類型：

• 封內簽名 — 簽名被包在所簽署的 XML 資料中。

• 封外簽名 — 簽署的 XML 資料包含在 Signature 元素中的 Object 元素之內。

• 分離簽名 — 簽署資料與 XML 簽名是分離的。可能位於某個外部檔案內。或者，簽署資料也可能與簽名位於同一份 XML 文件內，但不是位於 Signature 元素的父元素或子元素內。

XML 簽名會使用 URI 來參照簽署資料。負責簽署與驗證的應用程式都必須使用相同的慣例來解析這些 URI。當您使用 XMLSignatureValidator 類別時，必須提供 IURIDereferencer 介面的實作。這份實作應負責解析 URI 並將簽署資料以 ByteArray 物件傳回。接著會以當初在簽名內用來產生摘要的演算法，為所傳回的 ByteArray 物件產生摘要。