From 706cea62e96cad8825bb970acfa836c9d5ce7604 Mon Sep 17 00:00:00 2001 From: Thomas Lenz Date: Thu, 7 Feb 2019 12:47:10 +0100 Subject: update handbook --- release-infos/handbook/handbook/config/config.html | 24 +++++++++++++++++++++- release-infos/handbook/handbook/usage/usage.html | 23 +++++++++++++-------- 2 files changed, 37 insertions(+), 10 deletions(-) diff --git a/release-infos/handbook/handbook/config/config.html b/release-infos/handbook/handbook/config/config.html index 184e905..3457aa3 100644 --- a/release-infos/handbook/handbook/config/config.html +++ b/release-infos/handbook/handbook/config/config.html @@ -675,9 +675,31 @@ Parameter für MOA SP + + + + + + + + + + + + + +
Name cfg:SignatureVerification/cfg:CertificateValidation/cfg:PathConstruction/cfg:AutoAddEECertificates
Gebrauchoptional, jedoch genau einmal
Erläuterung

Der Inhalt dieses Elements vom Typ xs:boolean gibt an, ob End-User Zertifikate, die in einer + zu prüfenden + Signatur enthalten sind bzw. bei der Zertifikatspfaderstellung durch Auswertung der Zertifikatserweiterung Authority + Information Access (siehe + auch Parameter cfg:UseAuthorityInfoAccess) aus dem Internet geladen werden, automatisch + in den lokalen Zertifikatsspeicher hinzugefügt werden sollen.

+

Zulässige Werte für diesen Parameter sind true oder false.
+ Defaultwert: false +

2.3.1.1.2 Auswertung der Zertifikatserweiterung Authority Information Access -
+ diff --git a/release-infos/handbook/handbook/usage/usage.html b/release-infos/handbook/handbook/usage/usage.html index 6e42d4a..9b6400a 100644 --- a/release-infos/handbook/handbook/usage/usage.html +++ b/release-infos/handbook/handbook/usage/usage.html @@ -839,7 +839,7 @@ O=A-Trust Ges. für Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT<
 <VerifyXMLSignatureRequest xmlns="http://reference.e-government.gv.at/namespace/moa/20020822#">
   <DateTime>2004-08-18T17:00:00+02:00</DateTime>
<ExtendedValidation>true</ExtendedValidation>
-

Mit dem optionalen Element DateTime kann der Zeitpunkt der Signaturprüfung explizit vorgegeben werden. Inhalt dieses Elements ist die Angabe von Datum und Uhrzeit entsprechend dem XML-Schema Datentyp dateTime. Enthält der angegebene Zeitpunkt keinen Zeitzonen-Offset zur UTC, wird der Zeitpunkt als lokale Zeit des Servers interpretiert, auf dem MOA SP läuft. Wird DateTime nicht angegeben, versucht MOA SP, den Zeitpunkt der Signaturerstellung aus der Signatur zu ermitteln (anhand des Signaturattributs SigningTime). Enthält die Signatur keinen Zeitpunkt der Signaturerstellung, verwendet MOA SP die aktuelle Systemzeit des Servers, auf dem es läuft. Das optionale Element ExtendedValidation kann dafür genutzt werden den Formvalidierungsmodus für XAdES Signaturen zu aktivieren. Diesem Fall enthält die Response spezifische Informationen bezüglich des XAdES Profils der Signatur und erweiterte Zertifikatsprüfungsergebnisse.

+

Mit dem optionalen Element DateTime kann der Zeitpunkt der Signaturprüfung explizit vorgegeben werden. Inhalt dieses Elements ist die Angabe von Datum und Uhrzeit entsprechend dem XML-Schema Datentyp dateTime. Enthält der angegebene Zeitpunkt keinen Zeitzonen-Offset zur UTC, wird der Zeitpunkt als lokale Zeit des Servers interpretiert, auf dem MOA SP läuft. Wird DateTime nicht angegeben, versucht MOA SP, den Zeitpunkt der Signaturerstellung aus der Signatur zu ermitteln (anhand des Signaturattributs SigningTime). Enthält die Signatur keinen Zeitpunkt der Signaturerstellung, verwendet MOA SP die aktuelle Systemzeit des Servers, auf dem es läuft. Das optionale Element ExtendedValidation kann dafür genutzt werden den Formvalidierungsmodus für XAdES Signaturen zu aktivieren. Diesem Fall enthält die Response spezifische Informationen bezüglich des XAdES Profils der Signatur und erweiterte Prüfungsergebnisse.

   <VerifySignatureInfo>
     <VerifySignatureEnvironment Reference="http://localhost:8080/referencedData/XMLDocument.signed.xml"/>
@@ -866,7 +866,7 @@ O=A-Trust Ges. für Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT<
 

Die Response enthält zunächst in SignerInfo/dsig:X509Data Informationen über den Signator, die aus dem in der XML-Signatur enthaltenen Signatorzertifikat entnommen sind (siehe Einfaches Beispiel).

-  <HashInputData PartOf="SignedInfo">
+  <HashInputData HashAlgorithm="SHA-256" PartOf="SignedInfo">
     <Base64Content>PGRvYzp...hNTERvY3VtZW50Pg==</Base64Content>
   </HashInputData>
 
@@ -890,6 +890,9 @@ würde HashInputData in einem solchen Fall ein weiteres Attribu positive Ganzzahl repräsentiert, die auf das beinhaltende dsig:Manifest verweist.).

Der Inhalt wird dabei stets mittels Base64Content in base64-kodierter Form geliefert.

+
<SignatureAlgorithm>SHA256withECDSA</SignatureAlgorithm>
+Wird im Request der ExtendedValidation Modus aktiviert, beinhaltet die Response den verwendeten Signaturalgorithmus im Element SignatureAlgorithm. +

 

   <SignatureCheck>
     <Code>0</Code>
@@ -1106,10 +1109,6 @@ positive Ganzzahl repräsentiert, die auf das beinhaltende dsig:Manife
     
- - - -
Name 25 Die PAdES Signatur verwendet einen unbekannter SubFilter und kann somit nicht validiert werden.
26PDF-AS Signatur (nach PDF-AS <= 3.x)

 

2.1.4.3 Prüfung eines XMLDSIG-Manifests

@@ -1514,12 +1513,14 @@ O=A-Trust Ges. für Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT< <QualifiedCertificate/> </dsig:X509Data> </SignerInfo> - <SigningTime>2017-01-27T13:56:26Z</SigningTime>
<SignatureCheck>
<Code>0</Code>
</SignatureCheck>
<CertificateCheck>
... + <SigningTime>2017-01-27T13:56:26Z</SigningTime> + <SignatureAlgorithm>SHA256withECDSA</SignatureAlgorithm>
<SignatureCheck>
<Code>0</Code>
</SignatureCheck>
<CertificateCheck>
... + <SignatureProperties>
<SignatureCoversFullPDF>true</SignatureCoversFullPDF>
<SignatureByteRange>0,83991,92185,19061</SignatureByteRange>
</SignatureProperties> </SignatureResult> <SignatureResult> ... -

Die Response beinhaltet als erstes kein, ein oder mehrere SignatureResult Elemente, welche als Kindelemende die Prüfergebnisse der einzelnen im PDF Dokument gefundenen Signaturen beinhalten. Die Kindelement sind weitgehend identisch zur Response bei CMS Signaturen aufgebau. Somit sei hier auf das Kapitel 2.1.3.2 verwiesen.

+

Die Response beinhaltet als erstes kein, ein oder mehrere SignatureResult Elemente, welche als Kindelemende die Prüfergebnisse der einzelnen im PDF Dokument gefundenen Signaturen beinhalten. Die Kindelement sind weitgehend identisch zur Response bei CMS Signaturen aufgebau. Somit sei hier auf das Kapitel 2.1.3.2 verwiesen. Zusätzlich zu den in Kapitel 2.1.3.2 beschriebenen Elementen, beinhaltet das SignatureResult im Falle einer VerifyPDFSignatureResponse weitere Eigenschaften zur geprüften Signatur. Diese werden im Element SignatureProperties dargestellt und beinhalten die folgenden beiden Kind-Elemente. Das Element SignatureCoversFullPDF mit den möglichen Werten true/false zeigt an ob die PAdES Signatur das Dokument vollständig umfasst. Das Element SignatureByteRange definiert technisch die Bereiche des Dokuments welche in die Signaturbereichnung eingeflossen sind. Das Format des Elementwerts ist identisch zur PDF 1.7 Spezifikation (siehe Table 8.102 Entries in a signature dictionary) und besteht aus Integer-Paaren mit Byte-Offset und der Länge in Byte. (z.B. zwei Blöcke: Paar 1: Offset 0 Byte, Länge 83991 Byte und Paar 2: Offset 92185 Byte, Länge 19061 Byte)

 

 

@@ -1630,10 +1631,14 @@ O=A-Trust Ges. für Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT< Spezifikation Link - +

Security Layer Spezifikation Version 1.2.7

http://www.buergerkarte.at/konzept/securitylayer/spezifikation/20140114/core/core.html#core + + PDF Spezifikation 1.7 + https://www.adobe.com/content/dam/acom/en/devnet/pdf/pdfs/PDF32000_2008.pdf + -- cgit v1.2.3