Algorithme de signature par défaut
Le système applique un algorithme par défaut pour la génération de signatures. Ceci s'applique aux requêtes pour lesquelles il n'est pas précisé quel algorithme nous souhaitons utiliser pour la signature. Cette situation est typique lorsque nous envoyons, par exemple, un fichier PDF.
La configuration du système dans cet aspect est la suivante :
- Actuellement -> Algorithme SHA1
- Du 26/04/2023 -> SHA256
Comment demander un algorithme spécifique dans la demande de signature
Le champ <SignatureDigestAlgorithm> doit être ajouté au champ <OptionalInputs> dans la requête qui arrive à TX
Les valeurs possibles sont :
- md5
- sha1
- id_sha256
- id_sha384
- id_sha512
Exemple:
<Entrées facultatives>
...
<SignatureDigestAlgorithm>id_sha256</SignatureDigestAlgorithm>
....
</OptionalInputs>
Demande qu'au lieu d'un document, il fournisse un HASH calculé en externe.
Il existe des cas où la demande ne contient pas le document à signer mais un HASH calculé en externe à TrustedX. Dans ce cas, le nœud <Document> contient une structure comme celle-ci
<InputDocuments><DocumentHash>
<ns3:DigestMethod Algorithm=" urn:nist-gov:sha256 " xsi:type="ns3:DigestMethodType" xmlns:ns3=http://www.w3.org/2000/09/xmldsig#/>
<ns4:DigestValue xsi:type="ns4:DigestValueType" xmlns:ns4=http://www.w3.org/2000/09/xmldsig#>ZTgwZTYyZTQ2MTJmMjQ5NGE4OTAwY2QxZTJjZTA4ZjQwNjQwMjI0NTE1MzY4ZjYwNDVjOTU4YTM3M jFlZGY3MA==</ns4:DigestValue gesteValue>
</DocumentHash>
</InputDocuments>
Dans ce cas la valeur à indiquer dans <ds:DigestMethod> l'attribut Algorithme qui a été utilisé, les valeurs peuvent être les suivantes :
- http://www.w3.org/2000/09/xmldsig#sha1
- http://www.w3.org/2001/04/xmldsig-more#md5
- urne:nist-gov:sha256
- urne:nist-gov:sha384
- urne:nist-gov:sha512
- http://www.w3.org/2001/04/xmlenc#sha256 (uniquement pour générer des signatures XMLDSig/XAdES)
- http://www.w3.org/2001/04/xmldsig-more#sha384 (uniquement pour générer des signatures XMLDSig/XAdES)
- http://www.w3.org/2001/04/xmlenc#sha512 (uniquement pour générer des signatures XMLDSig/XAdES)
NOTE : Dans ces cas, il faut s'assurer que la combinaison entre le SignatureDigestAlgorithm et le HASH calculé doit être cohérente ou le système ne signera pas.