Beschreibung der XML-Prüfbeispiele fertiggestellt.

git-svn-id: https://joinup.ec.europa.eu/svn/moa-idspss/trunk@193 d688527b-c9ab-4aba-bd8d-4036d912da1d

1 files changed, 153 insertions, 1 deletions

diff --git a/spss.handbook/handbook/usage/usage.html b/spss.handbook/handbook/usage/usage.html
index 38844c786..f8f0e60d2 100644
--- a/spss.handbook/handbook/usage/usage.html
+++ b/spss.handbook/handbook/usage/usage.html
@@ -928,8 +928,160 @@ Ich habe weiters ein eigenens ID-Attribut bekommen.</doc:Paragraph>
 <p>Das zweite Element SupplementProfile enth&auml;lt analog das Erg&auml;nzungsobjekt f&uuml;r das oben beschriebene XML-Schema. <code>Content/@Reference</code> enth&auml;lt die Referenz genau so, wie sie oben im Attribut <code>xsi:schemaLocation</code> angegeben wurde. </p>
 <h5>Response</h5>
 <p><code><a href="../../clients/webservice/resources/requests/VerifyXMLSignatureRequest.Supplements.resp.xml" target="_blank">VerifyXMLSignatureRequest.Supplements.resp.xml</a></code> ist eine typische Response des SP Webservices auf den obigen Request. Er wird an dieser Stelle nicht n&auml;her analysiert, da er keine f&uuml;r das Thema des Beispiels relevanten Besonderheiten aufweist.</p>
-<h4><a name="webservice_xmlrequests_pruefungxml_ergaenzungsobjekte"></a>2.1.3.5 Signatur-Manifest des Security-Layers </h4>
+<h4><a name="webservice_xmlrequests_pruefungxml_signaturmanifest" id="webservice_xmlrequests_pruefungxml_signaturmanifest"></a>2.1.3.5 Signatur-Manifest des Security-Layers </h4>
 <h5>Request</h5>
+<p>Dieses Beispiel zur Pr&uuml;fung einer XML-Signatur (<a href="../../clients/webservice/resources/requests/VerifyXMLSignatureRequest.SigManifest.xml" target="_blank"><code>VerifyXMLSignatureRequest.SigManifest.xml</code></a>) demonstriert die &Uuml;berpr&uuml;fung des Zusammenhangs zwischen den <a href="http://www.buergerkarte.at/konzept/securitylayer/spezifikation/20040514/core/Core.html#glossar_Referenz-Eingangsdaten" target="_blank">Referenz-Eingangsdaten</a> und den <a href="http://www.buergerkarte.at/konzept/securitylayer/spezifikation/20040514/core/Core.html#glossar_Hash-Eingangsdaten" target="_blank">Hash-Eingangsdaten</a> f&uuml;r die <code>dsig:Reference</code>-Elemente einer XML-Signatur. Mit Hilfe dieser Pr&uuml;fung kann eine Anwendung feststellen, ob bei der Erstellung einer XML-Signatur jene Transformationen bzw. auch jene inkludierten Stylesheets (vgl. <a href="http://www.buergerkarte.at/konzept/securitylayer/spezifikation/20040514/core/Core.html#signaturerstellungNachXMLDSIGAntwortImplTransParam" target="_blank">Implizite Transformationsparameter</a>) einer XSLT-Transformation angewendet wurden, welche die Anwendung vorgegeben hat. Bei erfolgreicher Pr&uuml;fung dieses Zusammenhangs kann die Anwendung die Referenz-Eingangsdaten einer <code>dsig:Reference</code> als gesichert ansehen, obwohl eigentlich die Hash-Eingangsdaten durch die Signatur gesichert sind. Dies ist jenen F&auml;llen sinnvoll, in denen die Anwendung grunds&auml;tzlich mit XML-Daten arbeitet, diese Daten jedoch f&uuml;r das Signieren durch eine Person in ein f&uuml;r diese Person verst&auml;ndliches Format wie z.B. HTML umgewandelt werden sollen.</p>
+<pre>
+&lt;VerifyXMLSignatureRequest 
+  xmlns=&quot;http://reference.e-government.gv.at/namespace/moa/20020822#&quot; 
+  xmlns:dsig=&quot;http://www.w3.org/2000/09/xmldsig#&quot;&gt;
+  &lt;VerifySignatureInfo&gt;
+    &lt;VerifySignatureEnvironment&gt;
+      &lt;XMLContent&gt;
+        &lt;doc:XMLDocument xmlns:doc=&quot;urn:document&quot; xmlns:xsi=&quot;http://www.w3.org/2001/XMLSchema-instance&quot;
+          xsi:schemaLocation=&quot;urn:document http://localhost:8080/referencedData/XMLDocument.xsd&quot;&gt;
+          &lt;doc:Paragraph&gt;Ich bin der erste Absatz in diesem Dokument.&lt;/doc:Paragraph&gt;
+          &lt;doc:Paragraph ParaId=&quot;Para2&quot;&gt;Und ich bin der zweite Absatz in diesem Dokument.
+Ich habe weiters ein eigenens ID-Attribut bekommen.&lt;/doc:Paragraph&gt;
+          &lt;dsig:Signature xmlns:dsig=&quot;http://www.w3.org/2000/09/xmldsig#&quot; Id=&quot;signature-1-1&quot;&gt;
+            &lt;dsig:SignedInfo&gt;
+              ...
+              &lt;dsig:Reference Id=&quot;reference-1-1&quot; URI=&quot;#Para2&quot;&gt;
+                &lt;dsig:Transforms&gt;
+                  &lt;dsig:Transform Algorithm=&quot;http://www.w3.org/TR/1999/REC-xslt-19991116&quot;&gt;
+                    &lt;xsl:stylesheet version=&quot;1.0&quot; xmlns:xsl=&quot;http://www.w3.org/1999/XSL/Transform&quot;&gt;
+                      &lt;xsl:include href=&quot;http://localhost:8080/referencedData/XMLDocument.Para.xsl&quot;/&gt;
+                    &lt;/xsl:stylesheet&gt;
+                  &lt;/dsig:Transform&gt;
+                  &lt;dsig:Transform Algorithm=&quot;http://www.w3.org/2001/10/xml-exc-c14n#&quot;/&gt;
+                &lt;/dsig:Transforms&gt;
+                ...
+              &lt;/dsig:Reference&gt;
+              &lt;dsig:Reference 
+                Type=&quot;http://www.buergerkarte.at/specifications/Security-Layer/20020225#SignatureManifest&quot; 
+                URI=&quot;#manifest-1-1&quot;&gt;
+                ...
+              &lt;/dsig:Reference&gt;
+              &lt;dsig:Reference Type=&quot;http://uri.etsi.org/01903/v1.1.1#SignedProperties&quot; ...&gt;...&lt;/dsig:Reference&gt;
+            &lt;/dsig:SignedInfo&gt;
+            &lt;dsig:SignatureValue&gt;jnXc/X+hUY...uBxo9q&lt;/dsig:SignatureValue&gt;
+            &lt;dsig:KeyInfo&gt;...&lt;/dsig:KeyInfo&gt;
+            &lt;dsig:Object&gt;
+              &lt;dsig:Manifest Id=&quot;manifest-1-1&quot;&gt;
+                &lt;dsig:Reference URI=&quot;http://localhost:8080/referencedData/XMLDocument.Para.xsl&quot;&gt;
+                  ...
+                &lt;/dsig:Reference&gt;
+              &lt;/dsig:Manifest&gt;
+            &lt;/dsig:Object&gt;
+            &lt;dsig:Object Id=&quot;etsi-signed-1-1&quot;&gt;
+              &lt;etsi:QualifyingProperties Target=&quot;#signature-1-1&quot; xmlns:etsi=&quot;http://uri.etsi.org/01903/v1.1.1#&quot;&gt;
+              ...
+              &lt;/etsi:QualifyingProperties&gt;
+            &lt;/dsig:Object&gt;
+          &lt;/dsig:Signature&gt;
+        &lt;/doc:XMLDocument&gt;
+      &lt;/XMLContent&gt;
+    &lt;/VerifySignatureEnvironment&gt;
+</pre>
+<p>Das Element <code>VerifySignatureEnvironment</code> enth&auml;lt das XML-Dokument mit der zu pr&uuml;fenden XML-Signatur. Die XML-Signatur wurde von einer B&uuml;rgerkarten-Umgebung erstellt. Man erkennt, dass das Element <code>dsig:SignedInfo</code> der XML-Signatur drei <code>dsig:Reference</code>-Elemente enth&auml;lt. </p>
+<p>Die erste <code>dsig:Reference</code> bezieht sich auf die eigentlich signierten Nutzdaten. Das zweite <code>doc:Paragraph</code>-Element stellt die  Referenz-Eingangsdaten f&uuml;r diese <code>dsig:Reference</code> dar, welche mit Hilfe einer XSLT-Transformation in ein kleines HTML-Dokument &uuml;bergef&uuml;hrt wird, wor&uuml;ber dann der Hashwert der dsig:Reference gebildet wird (Hash-Eingangsdaten).</p>
+<p>Die zweite <code>dsig:Reference</code> bezieht sich auf das von der B&uuml;rgerkarten-Umgebung angefertigte Signaturmanifest. Das Signaturmanifest ist vorhanden, weil die XSLT-Transformation der ersten <code>dsig:Reference</code> einen weiteren Stylesheet inkludiert, und die Daten dieses weiteren Stylesheets ansonsten nicht von der XML-Signatur abgedeckt w&auml;ren (vgl. <a href="http://www.buergerkarte.at/konzept/securitylayer/spezifikation/20040514/core/Core.html#signaturerstellungNachXMLDSIGAntwortImplTransParam" target="_blank">Implizite Transformationsparameter</a>). Das Signaturmanifest enth&auml;lt eine einzige <code>dsig:Reference</code>, die den inkludierten Stylesheet referenziert und so in die XML-Signatur einbindet.</p>
+<p>Die dritte <code>dsig:Reference</code> bezieht sich auf die von der B&uuml;rgerkarten-Umgebung angefertigten Signatureigenschaften, die hier nicht n&auml;her betrachtet werden. </p>
+<pre>
+    &lt;VerifySignatureLocation xmlns:doc=&quot;urn:document&quot;&gt;/doc:XMLDocument/dsig:Signature&lt;/VerifySignatureLocation&gt;
+  &lt;/VerifySignatureInfo&gt;
+</pre>
+<p>Das Element <code>VerifySignatureLocation</code> w&auml;hlt die zu pr&uuml;fende Signatur innerhalb des in <code>VerifySignatureEnvironment</code> angegebenen XML-Dokuments aus.</p>
+<pre>
+  &lt;SignatureManifestCheckParams ReturnReferenceInputData=&quot;true&quot;&gt;
+    &lt;ReferenceInfo&gt;
+      &lt;VerifyTransformsInfoProfile&gt;
+        &lt;dsig:Transforms&gt;
+          &lt;dsig:Transform Algorithm=&quot;http://www.w3.org/TR/1999/REC-xslt-19991116&quot;&gt;
+            &lt;xsl:stylesheet version=&quot;1.0&quot; xmlns:xsl=&quot;http://www.w3.org/1999/XSL/Transform&quot;&gt;
+              &lt;xsl:include href=&quot;http://localhost:8080/referencedData/XMLDocument.Para.xsl&quot;/&gt;
+            &lt;/xsl:stylesheet&gt;
+          &lt;/dsig:Transform&gt;
+          &lt;dsig:Transform Algorithm=&quot;http://www.w3.org/2001/10/xml-exc-c14n#&quot;/&gt;
+        &lt;/dsig:Transforms&gt;
+        &lt;TransformParameter URI=&quot;http://localhost:8080/referencedData/XMLDocument.Para.xsl&quot;/&gt;
+      &lt;/VerifyTransformsInfoProfile&gt;
+      &lt;VerifyTransformsInfoProfile&gt;
+        &lt;dsig:Transforms&gt;
+          &lt;dsig:Transform Algorithm=&quot;http://www.w3.org/2000/09/xmldsig#enveloped-signature&quot;/&gt;
+        &lt;/dsig:Transforms&gt;
+      &lt;/VerifyTransformsInfoProfile&gt;
+    &lt;/ReferenceInfo&gt;
+  &lt;/SignatureManifestCheckParams&gt;
+  &lt;TrustProfileID&gt;Test-Signaturdienste&lt;/TrustProfileID&gt;
+&lt;/VerifyXMLSignatureRequest&gt;
+</pre>
+<p>Mit Angabe des optionalen Elements <code>SignatureManifestCheckParams</code> wird MOA SP angewiesen, den oben skizzierten Zusammenhang zwischen Referenz-Eingangsdaten und Hash-Eingangsdaten zu &uuml;berpr&uuml;fen. Wird das Attribut <code>ReturnReferenceInputData</code> wie im Beispiel auf den Wert <code>true</code> gesetzt, liefert MOA SP in der Response die Hash-Eingangsdaten f&uuml;r alle Referenzen in <code>dsig:SignedInfo</code> der XML-Signatur an die Anwendung zur&uuml;ck, was in der Regel von der Anwendung wohl gew&uuml;nscht wird, wenn MOA SP schon den Zusammenhang zwischen Referenz-Eingangsdaten und Hash-Eingangsdaten pr&uuml;fen soll.</p>
+<p>Die Pr&uuml;fung des Zusammenhangs untergliedert sich in zwei Teilpr&uuml;fungen:</p>
+<ul>
+  <li>&Uuml;berpr&uuml;fung, ob jede <code>dsig:Reference</code> in <code>dsig:SignedInfo</code> der Signatur eine vorgegebene Transformationskette inkludiert;</li>
+  <li>&Uuml;berpr&uuml;fung, ob die in der vorgegebenen Transformationskette ggf. enthaltenen inkludierten Stylesheets (implizite Transformationsparameter) durch ein Signaturmanifest mitsigniert sind.</li>
+  </ul>
+<p>Damit MOA SP die erste Teilpr&uuml;fung durchf&uuml;hren kann, muss in <code>SignatureManifestCheckParams</code> je <code>dsig:Reference</code> Element in <code>dsig:SignedInfo</code> der XML-Signatur ein Element <code>ReferenceInfo</code> angeben. Ausgenommen sind <code>dsig:Reference</code>-Elemente, die auf ein Signaturmanifest (Attribut <code>Type</code> ist gesetzt und hat den Wert <code>http://www.buergerkarte.at/specifications/Security-Layer/20020225#SignatureManifest</code>), auf ein XMLDSIG-Manifest (Attribut <code>Type</code> ist gesetzt und hat den Wert <code>http://www.w3.org/2000/09/xmldsig#Manifest</code>) oder auf Signatureigenschaften (Attribut <code>Type</code> ist gesetzt und hat den Wert <code>http://uri.etsi.org/01903/v1.1.1#SignedProperties</code>) verweisen. </p>
+<p>Das Element <code>ReferenceInfo</code> enth&auml;lt eine oder mehrere erlaubte Transformationsketten, die jeweils durch ein Element <code>VerifyTransformsInfoProfile/dsig:Transforms</code> repr&auml;sentiert werden. Im konkreten Beispiel werden f&uuml;r die einzige zu pr&uuml;fende <code>dsig:Reference</code> zwei erlaubte Transformationsketten angegeben. Die Transformationen in der <code>dsig:Reference</code> m&uuml;ssen einer dieser beiden Ketten entsprechen; im konkreten Beispiel entsprechen sie der ersten. </p>
+<p>Nachdem die erste erlaubte Transformationskette eine XSLT-Transformation mit einem inkludierten Stylesheet enth&auml;lt, muss MOA SP auch &uuml;berpr&uuml;fen, ob dieser inkludierte Stylesheet korrekt durch ein Signaturmanifest mitunterschrieben wurde. Nachdem wichtig ist, dass nicht irgendein beliebiger Stylesheet verwendet und mitunterschrieben wurde, sondern genau jener, den die Anwendung bei der Signaturerstellung vorgegeben hat, muss die Anwendung MOA SP mitteilen, welcher Stylesheet das sein muss. Die Anwendung verwendet dazu das Element <code>VerifyTransformsInfoProfile/TransformParameter</code>. Das Attribut <code>TransformParameter/@URI</code> enth&auml;lt die Referenz auf den Stylesheet genau so, wie er im Stylesheet-Parameter der zu pr&uuml;fenden Signatur verwendet wird (<code>dsig:Transform/xsl:stylesheet/xsl:inlcude/@href</code>). F&uuml;r den Inhalt dieses Elements hat die Anwendung drei M&ouml;glichkeiten: </p>
+<ul>
+  <li>Die Anwendung l&auml;sst den Inhalt leer. Dies wird sie dann machen, wenn sie darauf vertrauen kann, dass die Aufl&ouml;sung der in <code>TransformParameter/@URI</code> angegebenen Referenz bei der Signaturpr&uuml;fung zum gleichen Resultat f&uuml;hrt wie seinerzeit beim Erstellen der Signatur (z.B. weil die Referenz auf einen Webserver unter Kontrolle der Anwendung zeigt);</li>
+  <li>Die Anwendung gibt im Element <code>TransformParameter/Base64Content</code> explizit den inkludierten Stylesheet an. MOA SP verwendet dann diesen Stylesheet, um den Hashwert der <code>dsig:Reference</code> im Signaturmanifest zu kontrollieren;</li>
+  <li>Die Anwendung gibt im Element <code>TransformParameter/Hash </code>den Hashwert des inkludierten Stylesheets an. MOA SP l&ouml;st dann die Referenz in <code>dsig:Transform/xsl:stylesheet/xsl:inlcude/@href</code> auf und stellt sicher, dass der &uuml;ber das Aufl&ouml;sungsergebnis gebildete Hashwert jenem in <code>TransformParameter/Hash </code>entspricht. Diese M&ouml;glichkeit wird die Anwendung dann verwenden, wenn es sich um einen sehr umfangreichen Stylesheet handelt, der nicht im Request mit&uuml;bertragen werden soll.</li>
+  </ul>
+<h5>Response</h5>
+<p><code><a href="../../clients/webservice/resources/requests/VerifyXMLSignatureRequest.SigManifest.resp.xml" target="_blank">VerifyXMLSignatureRequest.SigManifest.resp.xml</a></code> ist eine typische Response des SP Webservices auf den obigen Request. Sein Aufbau wird nachfolgend analysiert. Bitte beachten Sie, dass die dargestellte Response zur bessernen Lesbarkeit einger&uuml;ckt und gek&uuml;rzt wurde. </p>
+<pre>
+&lt;VerifyXMLSignatureResponse 
+  xmlns=&quot;http://reference.e-government.gv.at/namespace/moa/20020822#&quot; 
+  xmlns:dsig=&quot;http://www.w3.org/2000/09/xmldsig#&quot;&gt;
+  &lt;SignerInfo&gt;...&lt;/SignerInfo&gt;
+</pre>
+<p>Die Response enth&auml;lt zun&auml;chst in <code>SignerInfo/dsig:X509Data</code> Informationen &uuml;ber den Signator, die aus dem in der XML-Signatur enthaltenen Signatorzertifikat entnommen sind (siehe <a href="#webservice_xmlrequests_pruefungxml_einfach">Einfaches Beispiel</a>). </p>
+<pre>
+  &lt;ReferenceInputData&gt;
+    &lt;XMLContent xml:space=&quot;preserve&quot;&gt;
+      &lt;doc:Paragraph ParaId=&quot;Para2&quot; xmlns:doc=&quot;urn:document&quot; 
+        xmlns:xsi=&quot;http://www.w3.org/2001/XMLSchema-instance&quot;&gt;...&lt;/doc:Paragraph&gt;
+    &lt;/XMLContent&gt;
+  &lt;/ReferenceInputData&gt;
+  &lt;ReferenceInputData&gt;
+    &lt;XMLContent xml:space=&quot;preserve&quot;&gt;
+      &lt;dsig:Manifest Id=&quot;manifest-1-1&quot; xmlns:doc=&quot;urn:document&quot; xmlns:xsi=&quot;http://www.w3.org/2001/XMLSchema-instance&quot;&gt;
+        ...
+      &lt;/dsig:Manifest&gt;
+    &lt;/XMLContent&gt;
+  &lt;/ReferenceInputData&gt;
+  &lt;ReferenceInputData&gt;
+    &lt;XMLContent xml:space=&quot;preserve&quot;&gt;
+      &lt;etsi:SignedProperties xmlns:doc=&quot;urn:document&quot; 
+        xmlns:etsi=&quot;http://uri.etsi.org/01903/v1.1.1#&quot; xmlns:xsi=&quot;http://www.w3.org/2001/XMLSchema-instance&quot;&gt;
+        ...
+      &lt;/etsi:SignedProperties&gt;
+    &lt;/XMLContent&gt;
+  &lt;/ReferenceInputData&gt;
+</pre>
+<p>Nachdem im Request spezifiziert wurde, dass in der Response die Referenzeingangsdaten f&uuml;r alle <code>dsig:Reference</code>-Elemente von <code>dsig:SignedInfo</code> der gepr&uuml;ften XML-Signatur &uuml;bermittelt werden sollen, enth&auml;lt die Response nach <code>SignerInfo</code> drei <code>ReferenceInputData</code>-Elemente. Das erste <code>ReferenceInputData</code>-Element enth&auml;lt das zuvor besprochene <code>doc:Paragraph</code> Element, das zweite das Signaturmanifest, das dritte die Signatureigenschaften.</p>
+<pre>
+  &lt;SignatureCheck&gt;
+    &lt;Code&gt;0&lt;/Code&gt;
+  &lt;/SignatureCheck&gt;
+</pre>
+<p>Das Element<code> SignatureCheck</code> enth&auml;lt das Resultat der kryptographischen Pr&uuml;fung der Signatur (siehe <a href="#webservice_xmlrequests_pruefungxml_einfach">Einfaches Beispiel</a>).</p>
+<pre>
+  &lt;SignatureManifestCheck&gt;
+    &lt;Code&gt;0&lt;/Code&gt;
+  &lt;/SignatureManifestCheck&gt;
+</pre>
+<p>Das Element <code>SignatureManifestCheck</code> enh&auml;lt das Resultat der Pr&uuml;fung des Zusammenhangs  zwischen Referenz-Eingangsdaten und Hash-Eingangsdaten. Der Kode <code>0</code> im konkreten Beispiel bedeutet, dass alle Referenzen  die in der Anfrage zur &Uuml;berpr&uuml;fung der XML-Signatur gemachten Einschr&auml;nkungen bez&uuml;glich der erlaubten Transformationskette(n) einhalten, sowie dass die Anforderungen  hinsichtlich des Signaturmanifests werden eingehalten. F&uuml;r eine &Uuml;bersicht der m&ouml;glichen Kodes siehe die <a href="../spec/MOA-SPSS-1.2.pdf" target="_blank">Spezifikation zu MOA SP/SS</a>, Abschnitt 5.1.3.1.4.</p>
+<pre>
+  &lt;CertificateCheck&gt;
+    &lt;Code&gt;0&lt;/Code&gt;
+  &lt;/CertificateCheck&gt;
+&lt;/VerifyXMLSignatureResponse&gt;
+</pre>
+<p>Das Element<code> CertificateCheck</code> enth&auml;lt das Resultat der Zertifikatspr&uuml;fung (siehe <a href="#webservice_xmlrequests_pruefungxml_einfach">Einfaches Beispiel</a>).</p>
 <p>&nbsp;</p>
 </body>
 </html>