Xades多重签名

Question

大家好，谢谢大家的帮助。

我的目标是让两个或多个不同的人逐步处理文档：

• 第一个将创建xml，只编译文档的一个小节(根据他的角色)，然后只对他编译的内容签名。
• 第二个人将从第一个人那里获取文档并编译他的子部分，而不会修改第一个人所写的任何内容。然后他将添加他的签名，签署他的分节和第一人之一。
• 等等..。

我该怎么做呢？根据标准，XAdES特定的xml元素(例如用于签名的证书的ID )都在<object>元素中(在已签名的属性子元素中)，在我看来，这意味着一次只有一个人可以对对象(即文档)签名，而不必覆盖签名数据。

我说错了吗？如果有一种我没有考虑过的方法，有人能帮我辨认吗？

谢谢,

一个。

Answer 1

我的2美分..。

这看起来是一个使用计数器签名的例子。

• 为了确保只对文档的部分签名，您必须使用引用中的xpath转换器。
• 第二个人将对先前的签名进行签名，您可能还需要添加引用(xpath?)他编辑的新章节。

你有一些研究要做..。

链接到来自xades4j：https://github.com/luisgoncalves/xades4j/blob/master/src/test/xml/document.signed.bes.cs.xml的计数器签名示例

编辑：

见xades规范: ETSI TS 101 903 V1.4.2 (2010-12) 101903v010402p.pdf见第7.2.4章和附件C。

答1)我会说是，正如规范所说：“应用程序可以添加引用以前存在的CounterSignature元素的ds:SignatureValue元素的其他ds:Reference元素。这允许构建任意长的显式反签名链。”

我想这是你的决定.关于反签名，他们说：“这一定义的唯一目的是方便地识别签字实际上是副签名。”所以，如果你认为这更容易(加上对你有意义的理由.)作为签名而不是反签名，你可以这样做。

Answer 2

我不认为在一个副签名元素中有更多的引用是可能的，因为对我来说，反签名是先前签名上的一个签名，但是标准并不禁止它，也许你是对的。谢谢。

其他注意事项，只是为了确保我正确理解了1)随着计数器签名者数量的增加，将需要嵌套的副签名元素，这对于ETSI标准2来说是可以的，为什么要创建辅助签名元素？难道不可能在同一个容器节点中创建更多的签名元素，通过引用元素相互引用和引用感兴趣的文本部分？我正在考虑您发布的示例，其中的数据元素是内部附加的，只有一个签名:添加更多带有正确引用的签名元素将使我能够获得相同的行为，或者有一些我没有识别的限制？

谢谢大家的贡献。

编辑：

答1)我会说是，正如规范所说：“应用程序可以添加引用以前存在的CounterSignature元素的ds:SignatureValue元素的其他ds:Reference元素。这允许构建任意长的显式反签名链。”

我想这是你的决定.关于反签名，他们说：“这一定义的唯一目的是方便地识别签字实际上是副签名。”所以，如果你认为这更容易(加上对你有意义的理由.)作为签名而不是反签名，你可以这样做。

见xades规范: ETSI TS 101 903 V1.4.2 (2010-12年) 101903v010402p.pdf

见第7.2.4章和附件C。