この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
導入
この推奨事項 |国際規格では次のように指定されています。
- a) Fast Infoset シリアル化と W3C XML 署名を使用した XML 情報セットの 1 つ以上の部分への整合性の適用。
- b) Fast Infoset シリアル化と W3C XML 暗号化を使用した、XML 情報セットの 1 つ以上の部分への暗号化の適用。
W3C XML 署名は、 (特に) 以下を含む W3C XML 署名情報項目を生成する手段を指定します。
- a) 1 つ以上のデータ オブジェクトの明示的 (URI を使用) または暗黙的 (XML インフォセット署名情報項目の使用に依存) の識別 (データ オブジェクトとは、すでにオクテットの文字列であるか、オクテットの文字列に変換できるものです) );
- b)これらのデータオブジェクトから一連のオクテットへの順次変換の (おそらく空の) リスト (変換の実行に使用されるアルゴリズムの URI によって指定される)これらの変換は、識別されたデータ オブジェクトのすべてまたは一部を選択できますが、結果としてオクテットのシーケンスが生成される必要があります。
- c)結果として得られるオクテットのシーケンスの署名を生成するためのダイジェストおよび暗号化情報。そして
- d)結果として得られる署名。
この推奨事項 |国際標準では、W3C XML 署名変換で参照できる (およびそれらの URI を提供する) 4 つの (正規の Fast Infoset) アルゴリズムが指定されており、W3C XML 署名の正規化メソッドのアルゴリズムとして (独立して) 使用することもできます。
注 1 –同じ Fast Infoset アルゴリズムを変換と正規化法の両方に使用できますが、2 つの異なる Fast Infoset アルゴリズム (または Fast Infoset アルゴリズムとその他のアルゴリズム) の使用は除外されません。
4 つのケースすべてにおいて、正規の Fast Infoset アルゴリズムへの入力は、XML 情報セットまたは XPath ノード セット (6.1.4 b に従って、シリアル化時に整形式の XML ドキュメントを生成するノード セットに制限される) のいずれかです。 。
4 つの正規の Fast Infoset アルゴリズムすべての出力は、ダイジェストとハッシュ化に適した一連のオクテット (高速 Infoset ドキュメントのオクテット、ITU-T Rec. X.891 | ISO/IEC 24824-1 を参照) です。 W3C XML 署名に従って署名を提供します。
注 2 –通常、これは W3C XML 署名変換の連続リストの最後の変換になりますが、そうである必要はありません。
一般的な使用法は、単一の XML 情報セットの 1 つ以上の部分に署名することです。
注 3 –複数の XML 情報セットの一部に署名するために使用することは除外されません。
結果として得られる W3C XML 署名情報項目は、署名された XML 情報セットの切り離された署名、またはエンベロープまたはエンベロープされた署名 (「W3C XML 署名」を参照) として使用されることが期待されていますが、必須ではありません。 XML 情報セットは ITU-T Rec を使用してシリアル化されますISO/IEC 24824-
この推奨事項 |国際標準では、W3C XML 暗号化に対するアプリケーション レベルの拡張機能 (3.2.1 を参照) を指定しています。これらのアプリケーション レベルの拡張機能により、XML インフォセットの部分の XML シリアル化によって提供されるオクテットではなく、Fast Infoset シリアル化によって提供されるオクテットを使用して XML インフォセットの一部に暗号化を適用できるようになります。
注 4 – W3C XML 暗号化は、この推奨事項を使用せずに、W3C XML 暗号化 3.1 で指定されている完全な高速情報セット文書に適用できます。国際標準。 MimeType 属性の値は "application/fastinfoset" になります。
XML 情報セットの暗号化された部分を識別する手段は W3C XML 暗号化によって指定されており、以下の暗号化が可能です。
- a)要素情報項目とそのプロパティ (直接または間接的な子情報項目 (およびそのプロパティ) を含む)そして
- b)要素情報項目の子プロパティの子情報項目とそのプロパティ (直接または間接的な子情報項目 (およびそのプロパティ) を含む)
暗号化では、XML 情報セットの暗号化される部分を、暗号化アルゴリズムへの入力のために最初にオクテットの文字列にシリアル化する必要があります。
上記の a と b のシリアル化を生成する機能は、ITU-T Rec ではサポートされていません。 ISO/IEC 24824-1 ただし、ITU-T Rec の第 8 項で指定されていますISO/IEC 24824-3 (ITU-T Rec. X.891 | ISO/IEC 24824-1 を使用)これは、そのようなフラグメントを (定義された方法で) 完全な XML 情報セットに変換し、ITU-T Rec を適用することによって行われます。 ISO/IEC 24824-1 から完全な XML 情報セットまで。
この推奨事項 |国際標準では、2 つの URI (上記の a に 1 つと上記の b に 1 つ) も指定されています。これらは、XML 暗号化で、オクテットの生成に XML シリアル化ではなく Fast Infoset シリアル化の使用を決定するアプリケーション レベルの拡張機能を識別するために使用されます。暗号化アルゴリズムへの入力。
Fast Infoset シリアル化を使用して、暗号化アルゴリズムへの入力のオクテットを決定すると、一般に、暗号化および復号化する必要があるオクテットの数が減少します。これは、XML インフォセットが Fast Infoset シリアル化を使用して転送される場合には正常です (ただし必須ではありません) 。
注 5 – XML インフォセットが XML シリアル化を使用して転送される場合、高速 Infoset シリアル化を使用して、暗号化アルゴリズムへの入力のオクテットを決定することも可能です (ただし、珍しいでしょう)
W3C XML 署名情報項目や W3C XML 暗号化情報項目を含む XML インフォセットを高速インフォセット ドキュメントにシリアル化することには、XML ドキュメントへのシリアル化と比較して次の利点があります。
- a)同じ XML タグまたはコンテンツを持つ複数の署名された参照や複数の暗号化された部分などの繰り返し情報は、より効率的にエンコードされます。そして
- b) (バイナリ) の場合、署名値、ダイジェスト値、暗号値、またはキーに関連付けられた (バイナリ) オクテットを直接エンコードできます (ITU-T Rec. X.891 | ISO/IEC 24824-1, 10.3 を参照)高速情報セットドキュメントは、XML 情報セットをシリアル化するために使用されます。 XML 情報セットを XML ドキュメント (文字列) にシリアル化する場合、そのようなオクテットは Base64 でエンコードする必要があり、処理速度とサイズが増加します。
第 6 条では、W3C XML 署名変換で参照できる 4 つの標準的な Fast Infoset アルゴリズムを指定します。
第 7 条では、正規の Fast Infoset アルゴリズムを使用した W3C XML 署名の使用を指定します。
第 8 条では、高速情報セット文書にシリアル化される XML 情報セットの一部の暗号化に W3C XML 暗号化を使用することを指定します。
付属書 A は、この勧告の不可欠な部分を形成しません。国際標準に準拠しており、SOAP XML 情報セットの署名と検証 (正規の Fast Infoset アルゴリズムを使用)、および SOAP メッセージ 情報セットの暗号化と復号化 (シリアル化された SOAP メッセージ 情報セットの一部の暗号化を使用) の例を提供します。高速情報セットドキュメント)
附属書 В および С は、この勧告の不可欠な部分を形成するものではありません。国際標準、および署名された SOAP メッセージ情報セットと署名され暗号化された SOAP メッセージ情報セットの例をそれぞれ提供します。
Introduction
This Recommendation | International Standard specifies:
- a) the application of integrity to one or more parts of an XML infoset using Fast Infoset serialization and W3C XML Signature;
- b) the application of encryption to one or more parts of an XML infoset using Fast Infoset serialization and W3C XML Encryption.
W3C XML Signature specifies a means of generating W3C XML Signature information items that contain (inter alia):
- a) explicit (using URIs) or implicit (dependent on the use of the XML infoset signature information item) identification of one or more data objects (a data object is anything that either already is, or can be transformed into, a string of octets);
- b) a (possibly empty) list of sequential transforms (specified by URIs for the algorithm to be used in performing the transform) from those data objects to a sequence of octets; these transforms can select all or part of the identified data objects, but are required to result in a sequence of octets;
- c) digest and encryption information for the production of a signature of the resulting sequence of octets; and
- d) the resulting signature.
This Recommendation | International Standard specifies four (canonical Fast Infoset) algorithms that can be referenced in a W3C XML Signature transform (and provides URIs for them) and can also be (independently) used as the algorithm for the W3C XML Signature canonicalization method.
NOTE 1 – The same Fast Infoset algorithm could be used for both the transform and the canonicalization method, but use of two different Fast Infoset algorithms (or a Fast Infoset algorithm and some other algorithm) is not excluded.
In all four cases, the input to the canonical Fast Infoset algorithm is either an XML infoset, or an XPath node set (restricted, in accordance with 6.1.4 b, to those node sets that produce a well-formed XML document when serialized).
The output of all four canonical Fast Infoset algorithms is a sequence of octets (the octets of a fast infoset document, see ITU-T Rec. X.891 | ISO/IEC 24824-1) that are suitable for digest and hashing in order to provide a signature in accordance with W3C XML Signature.
NOTE 2 – This will usually be the last transform in the sequential list of W3C XML Signature transforms, but need not be.
A typical use will be to sign one or more parts of a single XML infoset.
NOTE 3 – Use to sign parts of multiple XML infosets is not excluded.
It is expected, but not required, that the resulting W3C XML Signature information items will be used either as a detached signature, or as an enveloping or enveloped signature (see W3C XML Signature) for the XML infoset that is signed, and that the resulting XML infoset will be serialized using ITU-T Rec. X.891 | ISO/IEC 24824-1.
This Recommendation | International Standard specifies application-level extensions (see 3.2.1) to W3C XML Encryption. These application-level extensions enable encryption to be applied to part of an XML infoset using octets provided by a Fast Infoset serialization, rather than to the octets provided by an XML serialization of those parts.
NOTE 4 – W3C XML Encryption can be applied to a complete fast infoset document as specified in W3C XML Encryption, 3.1, without the use of this Recommendation | International Standard. The MimeType attribute will have the value "application/fastinfoset" .
The means of identifying the parts of the XML infoset that are encrypted is specified by W3C XML Encryption and allows the encryption of:
- a) an element information item and its properties, including any direct or indirect child information items (and their properties); and
- b) the child information items of the child property of an element information item and their properties, including any direct or indirect child information items (and their properties).
Encryption requires that those parts of an XML infoset that are to be encrypted have to be first serialized into a string of octets for input to an encryption algorithm.
The ability to produce a serialization of a and b above is not supported by ITU-T Rec. X.891 | ISO/IEC 24824-1, but is specified in clause 8 of ITU-T Rec. X.893 | ISO/IEC 24824-3 (using ITU-T Rec. X.891 | ISO/IEC 24824-1). This is done by converting such fragments (in a defined way) to a complete XML infoset and then applying ITU-T Rec. X.891 | ISO/IEC 24824-1 to the complete XML infoset.
This Recommendation | International Standard also specifies two URIs, one for a above and one for b above, that are used in XML Encryption to identify the application-level extensions which determine the use of Fast Infoset serialization rather than XML serialization for the production of the octets to be input to an encryption algorithm.
Use of Fast Infoset serialization to determine the octets for input to an encryption algorithm in general reduces the number of octets that have to be encrypted and decrypted, and would be normal (but not necessary) if the XML infoset is transferred using a Fast Infoset serialization.
NOTE 5 – It is also possible (but would be unusual) to use Fast Infoset serialization to determine the octets for input to an encryption algorithm when the XML infoset is to be transferred using an XML serialization.
The serialization of an XML infoset containing W3C XML Signature information items and/or W3C XML Encryption information items to a fast infoset document has the following advantages over serialization to an XML document:
- a) repeating information such as multiple signed references or multiple encrypted parts with the same XML tags or content will be encoded more efficiently; and
- b) the (binary) octets associated with signature values, digest values, cipher values or keys may be encoded directly (see ITU-T Rec. X.891 | ISO/IEC 24824-1, 10.3) if a (binary) fast infoset document is used to serialize the XML infoset; when serializing an XML infoset to an XML document (which is a string of characters), such octets are required to be base64 encoded, increasing processing speed and size.
Clause 6 specifies four canonical Fast Infoset algorithms that can be referenced in a W3C XML Signature transform.
Clause 7 specifies the use of W3C XML Signature with canonical Fast Infoset algorithms.
Clause 8 specifies the use of W3C XML Encryption for the encryption of parts of an XML infoset that are serialized to fast infoset documents.
Annex A does not form an integral part of this Recommendation | International Standard and provides examples of signing and validating a SOAP XML infoset (that makes use of canonical Fast Infoset algorithms), and encrypting and decrypting a SOAP message infoset (that makes use of the encryption of part of the SOAP message infoset that is serialized to a fast infoset document).
Annexes В and С do not form an integral part this Recommendation | International Standard, and provide examples of a signed SOAP message infoset and a signed and encrypted SOAP message infoset, respectively.