验证SignedXml的最佳实践

Question

何时使用CheckSignature() -确定签名属性是否使用签名中的公钥进行验证。

结束

CheckSignature( X509Certificate2，布尔值)--确定签名属性是否验证指定的X509Certificate2对象，以及证书是否有效。

https://learn.microsoft.com/en-us/dotnet/api/system.security.cryptography.xml.signedxml.checksignature?view=dotnet-plat-ext-6.0

Answer 1

通常，使用无参数CheckSignature()是个坏主意。只有当您还验证KeyInfo中的密钥是“正确的”和/或“可信的”时，这才是真正合适的。这有点难.所以，基本上，永远不要称之为这个版本。

CheckSignature(AsymmetricAlgorithm)和CheckSignature(X509Certificate2, bool)重载通过假设您已经确定输入是一个上下文可接受的键来避免这个问题。

(意见:而且，SignedXml是一个基于非常糟糕的规范的过时组件。不要使用它，除非你必须与已经使用它的东西进行互操作。)