Znana witryna - http://today.java.net/pub/a/today/2006/11/21/xml-signature-with-jsr-105.html?page=1 - "XML Signature with JSR-105 in Java SE 5" Standard ten jest już przyjęty tutaj jest dokumentacja - http://jcp.org/aboutJava/communityprocess/final/jsr105/index.html

Celem podpisu cyfrowego jest zapewnienie integralności danych zgodnie z RFC 2828, dodatkowo chodzi o mocniejszy dowód - autentykację (message authentication).

<Signature ID?>
<SignedInfo>
<CanonicalizationMethod/>
<SignatureMethod/>
(<Reference URI? >
(<Transforms>)?
<DigestMethod>
<DigestValue>
</Reference>)+
</SignedInfo>
<SignatureValue>
(<KeyInfo>)?
(<Object ID?>)*
</Signature>

Znaczenie Reference - łącznik między danymi do podpisania a samym podpisem. Wewnątrz dla danych jest liczony skrót wiadomości (hash, digest, footprint, odcisk) w elemencie DigestValue algorytmami (tzw. one way hash) SHA-1, SHA -256, SHA-512. Elementem, który jest podpisywany jest SignedInfo wg algorytmów DSA-SHA1, RSA_SHA1.

Podpisywanie składa się z dwóch etapów:

• Obliczenie wartości hash i wpisanie jej do Digest Value dla każdej wiadomości
• Wygenerowanie podpisu cyfrowego (digital signature) dla całego elementu SignedInfo i wstawienie go do pola SignatureValue. Inaczej mówiąc zaszyfrowanie całego bloku SignedInfo. Do podpisu stosuje się klucz prywatny wysyłającego (podpisującego)

Walidacja podstawowa składa się również z 2 etapów: (http://java.sun.com/developer/technicalArticles/xml/dig_signatures/fig8.gif):

• Reference validation - czy każdy element Reference jest poprawny tzn. oblicza się hash otrzymanego wiadomości i sprawdza z DigestValue
• Signature validation - polega na sprawdzeniu przy pomocy klucz publicznego podpisującego (?) - odszyfrowanie bloku SignedInfo posługując się kluczem publicznym i porównanie tej wartości z wartością hash elementu SignedInfo otrzymanej wiadomości
• Potwierdzenie tego jest na stronach Sun-a - http://java.sun.com/developer/technicalArticles/xml/dig_signatures/
• Inne potwierdzenie "Performing a digital signature involves two steps. In the first step, the data is run through a hashing algorithm. A typical hashing algorithm scans through the data and generates a number of some size -- this is typically called a "digest." If the same data is run through the hashing algorithm again, the same digest should be generated. Good hashing algorithms vary the digest unpredictably if the slightest change is made in the data. This makes it impossible to reverse engineer the original data, given the digest.

The second step in producing a digital signature is to encrypt the digest using the private key of the author. If you're not familiar with the terms public key or private key, then you've probably never heard of public key cryptography. The basic concepts of public key cryptography are simple: anything that is encrypted using an individual's private key, can only be decrypted using the same individual's public key. The reverse is also true: anything encrypted using an individual's public key, can only be decrypted using the same individual's private key. The two keys are mathematically linked. After encrypting the digest with the user's private key, the resulting scrambled data is then appended to the original document data.

Because public keys can be shared with anyone, and private keys should be known only to the signing author, verifying a digital signature is simple. The steps are:

1. Rehash the document data that was received.
2. Decrypt the encrypted digest with the author's public key that is typically appended to the document.
3. Compare the two digests. If they are equal, the signature is valid.

If the two digests are not equal, then either the document has been altered, or the author of the document is not the same as the individual that signed it. However this information does not indicate which of those two faults (or both) have occurred. Wklejono z <http://www.java-tips.org/java-ee-tips/xml-digital-signature-api/using-the-java-xml-digital-signatur-2.html>"

Znaczenie Object -rekomenduje się aby tam umieścić dane które będą podpisywane (w przypadku wersji podpisu enveloping). KeyInfo z kolei może zawierać informacje o kluczu publicznym potrzebnym przy weryfikacji.

Pomocne narzędzia w Javie to keytool - http://java.sun.com/j2se/1.4.2/docs/tooldocs/windows/keytool.html

Lista dyskusyjna:

• http://markmail.org/message/mdeplwlczpa6xub5#query:org.apache.xml.security%20signing+page:1+mid:x537wesoqhhimbmq+state:resultsMetro
• to technologia SUN-a do łączenia się z WS w .NET - https://metro.dev.java.net/getting-started/
• SUN - http://forums.java.net/jive/thread.jspa?messageID=247428 , http://forums.java.net/jive/thread.jspa?messageID=255470
• Derkeiler - http://coding.derkeiler.com/Archive/Java/comp.lang.java/2004-03/0527.html
• Koders - http://www.koders.com/java/fidCEFECC0B536138DCFE919C5324844F8D1A0AC068.aspx
• http://osdir.com/ml/encryption.bouncy-castle.devel/2004-09/msg00046.html

Podpis cyfrowy w Java przy pomocy biblioteki Apache XML Security (DigiSig) - http://www.linux.com/feature/39427

Bardzo ciekawy artykuł "JAVA XML Digital Signature" pokazuje architekturę JCA (Java Cryptographic Architecture) jako rozszerzalną platformę:

Niezbędne biblioteki:

• javax.xml.crypto
• javax.xml.crypto.dsig
• javax.xml.crypto.dsig.keyinfo
• javax.xml.crypto.dsig.spec
• javax.xml.crypto.dom
• javax.xml.crypto.dsig.dom

W celu przyśpieszenia operacji kryptograficznych (zajmują one do 30% CPU) proponuje SUN wykorzystanie rozszerzenia PKCS#11 (Crypto.Token Interface Standard) w celu przeniesienia ciężąru obliczeń na akceleratory sprzętowe lub karty inteligentne.

Na powyższym rysunku Sun PKCS#11 Provider stanowi pomost między warstwami wyższymi a konkretną implementacją obliczeń kryptograficznych. Statycznie określenie rodzaju dostawcy polega na edycji pliku konfiguracyjnego sunpkcs11 umieszczonego w ../jre/lib/scurity/java.security Oto fragment mojego pliku:

#

# List of providers and their preference orders (see above):

#

security.provider.1=sun.security.provider.Sun

security.provider.2=sun.security.rsa.SunRsaSign

security.provider.3=com.sun.net.ssl.internal.ssl.Provider

security.provider.4=com.sun.crypto.provider.SunJCE

security.provider.5=sun.security.jgss.SunProvider

security.provider.6=com.sun.security.sasl.Provider

security.provider.7=org.jcp.xml.dsig.internal.dom.XMLDSigRI

security.provider.8=sun.security.smartcardio.SunPCSC

security.provider.9=sun.security.mscapi.SunMSCAPI

Jak widać jest nawet obsługa MS CAPI (poprzez wpis 9).

Fundamentalne łącza:

• http://java.sun.com/j2se/1.5.0/docs/guide/security/CryptoSpec.html
• Odpowiedzią APACHE na JSR-105 jest http://santuario.apache.org/
• http://java.sun.com/j2se/1.5.0/docs/guide/security/index.html
• http://java.sun.com/javase/6/docs/technotes/guides/security/xmldsig/XMLDigitalSignature.html
• Totalny przykład jak podpisać i sprawdzić: http://www.java-tips.org/java-ee-tips/xml-digital-signature-api/using-the-java-xml-digital-signatur-2.html
• Tutorial do WS też zawiera przykłady - http://java.sun.com/webservices/docs/1.5/tutorial/doc/index.html, rozdział 4 - http://java.sun.com/webservices/docs/1.5/tutorial/doc/XMLDigitalSignatureAPI.html#wp268799
• Generalnie są pomocne wskazówki z http://www.java-tips.org
• Sign and verify XML documents using Apache WSS4J and Websphere DataPower SOA - http://www.ibm.com/developerworks/library/ws-soa-verifyxml/index.html
• WS w IBM - https://www6.software.ibm.com/developerworks/education/ws-understand-web-services4/index.html
• Świetny servis typu cover - http://xml.coverpages.org/xmlSig.html#URLs
• Pełny przykład aplikacji do podpisu i weryfikacji - http://www.javaworld.com/javaworld/jw-12-2002/jw-1220-xmlsecurity.html?page=2
• Secure Web Services - http://www.javaworld.com/javaworld/jw-03-2003/jw-0321-wssecurity.html
• Plug-in - http://www.javaworld.com/javaworld/jw-06-2005/jw-0627-plugin.html
• Yes you can secure WS - http://www.javaworld.com/javaworld/jw-10-2002/jw-1011-securexml.html?
• Java i XML - http://www.javaworld.com/channel_content/jw-xml-index.shtml
• Construct Secure network application - http://www.javaworld.com/javaworld/jw-01-2001/jw-0112-howto.html
• Web Start to rescue - http://www.javaworld.com/javaworld/jw-07-2001/jw-0706-webstart.html
• Stosowanie SUNCAPI - http://javatipsandtricks.blogspot.com/2006/10/cryptography-and-security-on-java-se-6.html
• Bouncy castle -http://www.bouncycastle.org/index.html
• Tworzenie Rich Client - http://www.ibm.com/developerworks/edu/os-dw-os-eclipse-ganymede-pt1.html?S_TACT=105AGX54&S_CMP=B0904&ca=dnw-935
• Ajax i PHP - http://www.ibm.com/vrm/newsletter_10731_3899_85549_email_DYN_6IN/mcu35457530
• Applets with servlets i XML -http://www.javaworld.com/javaworld/jw-05-2002/jw-0524-j2ee.html?page=2
• Projekty Open-Source:
• OpenXAdES - http://www.openxades.org/
• DigiDOc COM - http://www.openxades.org/download.html
• X509 - http://nixbit.com/search/x509-/
• Dcontract - http://nixbit.com/cat/programming/libraries/dcontract/
• Crypt.509 - http://nixbit.com/cat/programming/libraries/crypt::x509/
• Xca - http://nixbit.com/cat/system/networking/xca/
• DigiDoc - http://sourceforge.net/projects/gdigidoc/

• Closed-Source:
• XML Encryption and Digital Signature - http://msdn.microsoft.com/en-us/library/ms229749.aspx
• How to: - http://msdn.microsoft.com/en-us/library/ms229745.aspx

• Wskazówki:
• Dostęp do EJB z poziomu klienta Javy lub poprzez JWS - http://www.java-tips.org/java-ee-tips/enterprise-java-beans/accessing-a-secure-enterprise-bean-from-a-java-client-or-through-java-web-start-techn.html
• Dostęp do EJB z poziomu appletu - http://www.java-tips.org/java-ee-tips/enterprise-java-beans/accessing-an-ejb-from-an-applet-2.html
• Dostęp do EJB z poziomu servleta - http://www.java-tips.org/java-ee-tips/enterprise-java-beans/accessing-ejb-from-a-servlet-within-the-same-cont-2.html
• Dostęp do EJB z poziomu JSP - http://www.java-tips.org/java-ee-tips/javaserver-pages/accessing-bean-components-from-jsp.html
• http://www.java2s.com/Code/Jar/wsit/xmldsig.jar.htm
• http://www.java2s.com/Tutorial/Java/0140__Collections/0021__Collections.htm
• Można ściągnąć i jest opis klas - http://www.java2s.com/Code/Jar/wsit/Downloadxmldsigjar.htm

Przykład diagramu: