Lucie Rut Bittnerova wrote: > Dobry den, > kopiruju sem relevantni kus kodu z clanku > http://interval.cz/clanky/e-java-xml-podpis-vytvoreni/
Tenhle článek mi zrovna přišel vhod, protože podepisování XML budu muset v blízké době řešit. Chtěl bych se zeptat, jak se dá do podpisu vložit celý řetěz certifikátů, který vrací KeyStore.getCertificateChain(alias); Ten příklad vkládá pouze první certifikát (tedy uživatelův), ale pokud je uživatelův certifikát podepsaný CA, která sama je podepsaná CA, která je trusted root, tak je nutné mít celý řetězec, jinak nejde ověřit, že certifikát je věrohodný. Příklad v článku http://interval.cz/clanky/e-java-xml-podpis-validace/ pak ověřuje, že souhlasí obsah dokumentu s podepsaným hashem, ale už neověřuje, že certifikát je věrohodný. Takže útočník může vyměnit kompletně celou zprávu a podepsat ji vlastním self-signed certifikátem, a validací to projde. Makub -- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Supercomputing Center Brno Martin Kuba Institute of Computer Science email: [EMAIL PROTECTED] Masaryk University http://www.ics.muni.cz/~makub/ Botanicka 68a, 60200 Brno, CZ mobil: +420-603-533775 --------------------------------------------------------------
smime.p7s
Description: S/MIME Cryptographic Signature
