aboutsummaryrefslogtreecommitdiff
diff options
context:
space:
mode:
-rw-r--r--release-infos/handbook/handbook/config/config.html24
-rw-r--r--release-infos/handbook/handbook/usage/usage.html23
2 files changed, 37 insertions, 10 deletions
diff --git a/release-infos/handbook/handbook/config/config.html b/release-infos/handbook/handbook/config/config.html
index 184e905..3457aa3 100644
--- a/release-infos/handbook/handbook/config/config.html
+++ b/release-infos/handbook/handbook/config/config.html
@@ -675,9 +675,31 @@ Parameter f&uuml;r MOA SP </h2>
</td>
</tr>
</table>
+ <table border="1" cellpadding="2" class="fixedWidth">
+ <tr>
+ <td> Name </td>
+ <td><code>cfg:SignatureVerification/cfg:CertificateValidation/cfg:PathConstruction/cfg:AutoAddEECertificates</code></td>
+ </tr>
+ <tr>
+ <td>Gebrauch</td>
+ <td>optional, jedoch genau einmal</td>
+ </tr>
+ <tr>
+ <td>Erl&auml;uterung</td>
+ <td><p> Der Inhalt dieses Elements vom Typ <code>xs:boolean</code> gibt an, ob End-User Zertifikate, die in einer
+ zu pr&uuml;fenden
+ Signatur enthalten sind bzw. bei der Zertifikatspfaderstellung durch Auswertung der Zertifikatserweiterung <span class="term">Authority
+ Information Access</span> (siehe
+ auch Parameter <code>cfg:UseAuthorityInfoAccess</code>) aus dem Internet geladen werden, automatisch
+ in den lokalen Zertifikatsspeicher hinzugef&uuml;gt werden sollen.</p>
+ <p>Zul&auml;ssige Werte f&uuml;r diesen Parameter sind <code>true</code> oder <code>false</code>.<br>
+ Defaultwert: <code>false</code>
+ </p></td>
+ </tr>
+ </table>
<h5><a name="konfigurationsparameter_sp_certificatevalidation_pathconstruction_useauthorityinfoaccess" id="konfigurationsparameter_sp_certificatevalidation_pathconstruction_useauthorityinfoaccess"></a>2.3.1.1.2 Auswertung
der Zertifikatserweiterung <span class="term">Authority Information Access</span>
- </h5>
+</h5>
<table class="fixedWidth" border="1" cellpadding="2">
<tr>
<td> Name </td>
diff --git a/release-infos/handbook/handbook/usage/usage.html b/release-infos/handbook/handbook/usage/usage.html
index 6e42d4a..9b6400a 100644
--- a/release-infos/handbook/handbook/usage/usage.html
+++ b/release-infos/handbook/handbook/usage/usage.html
@@ -839,7 +839,7 @@ O=A-Trust Ges. f&uuml;r Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT&lt;
<pre>
&lt;VerifyXMLSignatureRequest xmlns=&quot;http://reference.e-government.gv.at/namespace/moa/20020822#&quot;&gt;
&lt;DateTime&gt;2004-08-18T17:00:00+02:00&lt;/DateTime&gt;<br> &lt;ExtendedValidation&gt;true&lt;/ExtendedValidation&gt;</pre>
-<p>Mit dem optionalen Element <code>DateTime</code> kann der Zeitpunkt der Signaturpr&uuml;fung explizit vorgegeben werden. Inhalt dieses Elements ist die Angabe von Datum und Uhrzeit entsprechend dem XML-Schema Datentyp <a href="http://www.w3.org/TR/2001/REC-xmlschema-2-20010502/#dateTime" target="_blank"><span class="term">dateTime</span></a>. Enth&auml;lt der angegebene Zeitpunkt keinen Zeitzonen-Offset zur UTC, wird der Zeitpunkt als lokale Zeit des Servers interpretiert, auf dem MOA SP l&auml;uft. Wird <code>DateTime</code> nicht angegeben, versucht MOA SP, den Zeitpunkt der Signaturerstellung aus der Signatur zu ermitteln (anhand des Signaturattributs <a href="http://www.buergerkarte.at/konzept/securitylayer/spezifikation/20040514/core/Core.html#ref-etsicms" target="_blank" class="term">SigningTime</a>). Enth&auml;lt die Signatur keinen Zeitpunkt der Signaturerstellung, verwendet MOA SP die aktuelle Systemzeit des Servers, auf dem es l&auml;uft. Das optionale Element <code>ExtendedValidation</code> kann daf&uuml;r genutzt werden den Formvalidierungsmodus f&uuml;r XAdES Signaturen zu aktivieren. Diesem Fall enth&auml;lt die Response spezifische Informationen bez&uuml;glich des XAdES Profils der Signatur und erweiterte Zertifikatspr&uuml;fungsergebnisse.</p>
+<p>Mit dem optionalen Element <code>DateTime</code> kann der Zeitpunkt der Signaturpr&uuml;fung explizit vorgegeben werden. Inhalt dieses Elements ist die Angabe von Datum und Uhrzeit entsprechend dem XML-Schema Datentyp <a href="http://www.w3.org/TR/2001/REC-xmlschema-2-20010502/#dateTime" target="_blank"><span class="term">dateTime</span></a>. Enth&auml;lt der angegebene Zeitpunkt keinen Zeitzonen-Offset zur UTC, wird der Zeitpunkt als lokale Zeit des Servers interpretiert, auf dem MOA SP l&auml;uft. Wird <code>DateTime</code> nicht angegeben, versucht MOA SP, den Zeitpunkt der Signaturerstellung aus der Signatur zu ermitteln (anhand des Signaturattributs <a href="http://www.buergerkarte.at/konzept/securitylayer/spezifikation/20040514/core/Core.html#ref-etsicms" target="_blank" class="term">SigningTime</a>). Enth&auml;lt die Signatur keinen Zeitpunkt der Signaturerstellung, verwendet MOA SP die aktuelle Systemzeit des Servers, auf dem es l&auml;uft. Das optionale Element <code>ExtendedValidation</code> kann daf&uuml;r genutzt werden den Formvalidierungsmodus f&uuml;r XAdES Signaturen zu aktivieren. Diesem Fall enth&auml;lt die Response spezifische Informationen bez&uuml;glich des XAdES Profils der Signatur und erweiterte Pr&uuml;fungsergebnisse.</p>
<pre>
&lt;VerifySignatureInfo&gt;
&lt;VerifySignatureEnvironment Reference=&quot;http://localhost:8080/referencedData/XMLDocument.signed.xml&quot;/&gt;
@@ -866,7 +866,7 @@ O=A-Trust Ges. f&uuml;r Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT&lt;
</pre>
<p>Die Response enth&auml;lt zun&auml;chst in <code>SignerInfo/dsig:X509Data</code> Informationen &uuml;ber den Signator, die aus dem in der XML-Signatur enthaltenen Signatorzertifikat entnommen sind (siehe <a href="#webservice_xmlrequests_pruefungxml_einfach">Einfaches Beispiel</a>).</p>
<pre>
- &lt;HashInputData PartOf=&quot;SignedInfo&quot;&gt;
+ &lt;HashInputData HashAlgorithm=&quot;SHA-256&quot; PartOf=&quot;SignedInfo&quot;&gt;
&lt;Base64Content&gt;PGRvYzp...hNTERvY3VtZW50Pg==&lt;/Base64Content&gt;
&lt;/HashInputData&gt;
</pre>
@@ -890,6 +890,9 @@ w&uuml;rde<code> HashInputData</code> in einem solchen Fall ein weiteres Attribu
positive Ganzzahl repr&auml;sentiert, die auf das beinhaltende <code>dsig:Manifest</code> verweist.). </p>
<p>Der Inhalt wird dabei stets mittels <code>Base64Content</code> in
base64-kodierter Form geliefert.</p>
+<pre>&lt;SignatureAlgorithm&gt;SHA256withECDSA&lt;/SignatureAlgorithm&gt;</pre>
+Wird im Request der <code>ExtendedValidation</code> Modus aktiviert, beinhaltet die Response den verwendeten Signaturalgorithmus im Element <code>SignatureAlgorithm</code>.
+<p>&nbsp;</p>
<pre>
&lt;SignatureCheck&gt;
&lt;Code&gt;0&lt;/Code&gt;
@@ -1106,10 +1109,6 @@ positive Ganzzahl repr&auml;sentiert, die auf das beinhaltende <code>dsig:Manife
<td align="center">25</td>
<td>Die PAdES Signatur verwendet einen unbekannter SubFilter und kann somit nicht validiert werden.</td>
</tr>
- <tr>
- <td align="center">26</td>
- <td>PDF-AS Signatur (nach PDF-AS &lt;= 3.x)</td>
- </tr>
</table>
<p>&nbsp;</p>
<h4><a name="webservice_xmlrequests_pruefungxml_xmldsigmanifest"></a>2.1.4.3 Pr&uuml;fung eines XMLDSIG-Manifests </h4>
@@ -1514,12 +1513,14 @@ O=A-Trust Ges. f&uuml;r Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT&lt;
&lt;QualifiedCertificate/&gt;
&lt;/dsig:X509Data&gt;
&lt;/SignerInfo&gt;
- &lt;SigningTime&gt;2017-01-27T13:56:26Z&lt;/SigningTime&gt;<br> &lt;SignatureCheck&gt;<br> &lt;Code&gt;0&lt;/Code&gt;<br> &lt;/SignatureCheck&gt;<br> &lt;CertificateCheck&gt;<br> ...
+ &lt;SigningTime&gt;2017-01-27T13:56:26Z&lt;/SigningTime&gt;
+ &lt;SignatureAlgorithm&gt;SHA256withECDSA&lt;/SignatureAlgorithm&gt;<br> &lt;SignatureCheck&gt;<br> &lt;Code&gt;0&lt;/Code&gt;<br> &lt;/SignatureCheck&gt;<br> &lt;CertificateCheck&gt;<br> ...
+ &lt;SignatureProperties&gt;<br> &lt;SignatureCoversFullPDF&gt;true&lt;/SignatureCoversFullPDF&gt;<br> &lt;SignatureByteRange&gt;0,83991,92185,19061&lt;/SignatureByteRange&gt;<br> &lt;/SignatureProperties&gt;
&lt;/SignatureResult&gt;
&lt;SignatureResult&gt;
...
</pre>
-<p>Die Response beinhaltet als erstes kein, ein oder mehrere <code>SignatureResult</code> Elemente, welche als Kindelemende die Pr&uuml;fergebnisse der einzelnen im PDF Dokument gefundenen Signaturen beinhalten. Die Kindelement sind weitgehend identisch zur Response bei CMS Signaturen aufgebau. Somit sei hier auf das Kapitel <a href="-webservice_xmlrequests_pruefungcms_erweitert">2.1.3.2</a> verwiesen.</p>
+<p>Die Response beinhaltet als erstes kein, ein oder mehrere <code>SignatureResult</code> Elemente, welche als Kindelemende die Pr&uuml;fergebnisse der einzelnen im PDF Dokument gefundenen Signaturen beinhalten. Die Kindelement sind weitgehend identisch zur Response bei CMS Signaturen aufgebau. Somit sei hier auf das Kapitel <a href="-webservice_xmlrequests_pruefungcms_erweitert">2.1.3.2</a> verwiesen. Zus&auml;tzlich zu den in Kapitel <a href="-webservice_xmlrequests_pruefungcms_erweitert">2.1.3.2</a> beschriebenen Elementen, beinhaltet das <code>SignatureResult</code> im Falle einer <code>VerifyPDFSignatureResponse</code> weitere Eigenschaften zur gepr&uuml;ften Signatur. Diese werden im Element <code>SignatureProperties</code> dargestellt und beinhalten die folgenden beiden Kind-Elemente. Das Element <code>SignatureCoversFullPDF</code> mit den m&ouml;glichen Werten <code>true/false</code> zeigt an ob die PAdES Signatur das Dokument vollst&auml;ndig umfasst. Das Element <code>SignatureByteRange</code> definiert technisch die Bereiche des Dokuments welche in die Signaturbereichnung eingeflossen sind. Das Format des Elementwerts ist identisch zur PDF 1.7 Spezifikation (siehe Table 8.102 Entries in a signature dictionary) und besteht aus Integer-Paaren mit Byte-Offset und der L&auml;nge in Byte. (z.B. zwei Bl&ouml;cke: Paar 1: Offset 0 Byte, L&auml;nge 83991 Byte und Paar 2: Offset 92185 Byte, L&auml;nge 19061 Byte)</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
@@ -1630,10 +1631,14 @@ O=A-Trust Ges. f&uuml;r Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT&lt;
<th>Spezifikation</th>
<th>Link</th>
</tr>
- <tr id="sl">
+ <tr id="sl">
<td><p>Security Layer Spezifikation Version 1.2.7</p></td>
<td><a href="http://www.buergerkarte.at/konzept/securitylayer/spezifikation/20140114/core/core.html#core" target="_blank">http://www.buergerkarte.at/konzept/securitylayer/spezifikation/20140114/core/core.html#core</a></td>
</tr>
+ <tr>
+ <td>PDF Spezifikation 1.7</td>
+ <td>https://www.adobe.com/content/dam/acom/en/devnet/pdf/pdfs/PDF32000_2008.pdf</td>
+ </tr>
</tbody>
</table>
</body>