SignedXml을 이용한 ds:Signature만드는 방법
다음과 같은 질문이 있군요.
SignedXml을 이용한 ds:Signature만드는 방법좀 알려주세요.
; https://social.msdn.microsoft.com/Forums/ko-KR/50c767ec-4e34-4289-a393-6b4aafe137f4/signedxml-dssignature-?forum=dotnetko&prof=required
MSDN에서 SignedXml 클래스를 보면,
SignedXml Class
; https://learn.microsoft.com/en-us/dotnet/api/system.security.cryptography.xml.signedxml
친절하게 예제 코드도 실어두고 있습니다. 그 예제를 실행해 보면 서명된 Xml 데이터를 포함하는 경우 다음과 같은 식의 XML 파일이 생성됩니다.
<MyElement xmlns="samples">Example text to be signed.
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
<CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315" />
<SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" />
<Reference URI="">
<Transforms>
<Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" />
</Transforms><DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" />
<DigestValue>zSI5ZAMmQ+8u7R2rP7aAPT6nNQw=</DigestValue>
</Reference>
</SignedInfo>
<SignatureValue>fDm0x8LvDpGWntkek6Q...[생략]...JwOyVJkxzcs=</SignatureValue>
</Signature>
</MyElement>
질문자는, <Signature /> 노드가 <ds:Signature xmlns:ds="
http://www.w3.org/2000/09/xmldsig#" />와 같이 나오길 바라는 것입니다. 그런데, 웹 상의 답변들은 어쨌든 나온 결과물에서 텍스트만 그렇게 수정하면 된다는 식이고.
하지만, 질문자는 그에 대해 이렇게 알고 있습니다.
구글링 및 여러 자료를 찾아봐도 전부다 서명계산 후에 Prefix하는 방법만 알려주는군요. 서명계산 후에 하면 Hash Value가 달라지므로
그렇게 하면 안되거든요...
생각해 보니, 저렇게 오해할 수도 있겠구나... 싶습니다. 사실 서명 작업은 대상 데이터를 입력으로 삼는 것이지, 대상 데이터를 서명한 것을 포함한 그걸 또 서명하는 것은 아닙니다. 따라서, XML 데이터를 서명하는 경우 대상 XML 데이터를 정규화(Canonicalization)한 후 그것을 서명해서 덧붙이는 것입니다. 그런 연유로, 대상 XML 데이터만 바꾸지 않는다면 서명으로 포함되는 정보, 즉 <Signature />는 적법한 XML이기만 하면 됩니다.
실제로
SignedXm Class 문서에 포함된 예제에서,
SignXmlFile("Example.xml", "signedExample.xml", Key);
Console.WriteLine("XML file signed.");
Console.ReadLine();
// Verify the signature of the signed XML.
Console.WriteLine("Verifying signature...");
bool result = VerifyXmlFile("SignedExample.xml", Key);
위와 같이 서명과 검증 사이에 Console.ReadLine을 추가해 멈춰놓고 signedExample.xml파일의 내용을<Signature />에 <ds:Signature />로 처리해서 진행해도 정상적으로 검증 작업을 통과합니다.
이렇게 텍스트만 바꾸는 식의 후처리를 해도 되는데, 더 쉬운 방법은 SignedXml.GetXml로 반환받은 XmlElement의 Prefix를 지정해서 처리하는 것입니다.
XmlElement xmlDigitalSignature = signedXml.GetXml();
xmlDigitalSignature.Prefix = "ds";
그럼, XML 파일이 다음과 같이 바뀝니다.
<MyElement xmlns="samples">Example text to be signed.
<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
<CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315" />
<SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" />
<Reference URI="">
<Transforms>
<Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" />
</Transforms><DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" />
<DigestValue>zSI5ZAMmQ+8u7R2rP7aAPT6nNQw=</DigestValue>
</Reference>
</SignedInfo>
<SignatureValue xmlns="http://www.w3.org/2000/09/xmldsig#">fDm0x8LvDpGWntkek6Q...[생략]...JwOyVJkxzcs=</SignatureValue>
</ds:Signature>
</MyElement>
첨부한 파일은 위의 처리를 추가한
SignedXm Class 문서의 변형 코드를 담고 있습니다.
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]