Dokumentensicherheit; Einleitung; Allgemein; Xades - secunet konnektor Bedienungsanleitung

Anhang

16.17 Dokumentensicherheit

16.17.1 Einleitung

Dieses Dokument beschreibt Maßnahmen zur Validierung der Eingangsdaten bei
XAdES, PAdES und CAdES Dokumentensignaturen.
Mit der Signaturdirektive (siehe Kapitel 16.18) wird der Funktionsumfang an den
Außenschnittstellen des Signaturdienstes festgelegt. Dabei werden die vom
Konnektor zugelassenen Signaturvarianten bestimmt. In diesem Dokument wird die
Härtung der Schnittstellen beschrieben, die den Funktionsumfang indirekt ein-
schränken. Auf die Verarbeitung von nonQES XAdES Signaturen wird verzichtet.
Somit wird der Konnektor auf die ausschließliche Bearbeitung von QES XML Doku-
menten eingeschränkt.

16.17.2 Allgemein

Zu signierende Dokumente, mit einer Größe über 25 MB werden abgelehnt

16.17.3 XAdES

Für XAdES QES NFDM wurde eine Härtung der verwendeten Schemata vorge-
nommen. Hierdurch wurden nichtbenötigte, sicherheitskritische Elemente so weit
wie möglich entfernt. Beispielsweise Any-Attribute, URLs oder XSLT. Details sind
den gehärteten Schema-Dateien zu entnehmen.
Bei der Erstellung von XML-Signaturen wird Canonical XML Version 1.1 ohne
Kommentare verwendet (http://www.w3.org/TR/2008/REC-xml-c14n11-20080502/).
Für XAdES Dokumentsignaturen wurden der XML-Parser und die Validierung des
übergebenen XML-Schemas mit Hilfe von Framework-Parametern wie folgt gehär-
tet.
Die DocumentBuilderFactory des Xerces ist folgendermaßen konfiguriert:
documentBuilderFactory.setExpandEntityReferences(false);
documentBuilderFactory.setNamespaceAware(true);
documentBuilderFactory.setXIncludeAware(false);
documentBuilderFactory.setFeature("http://xml.org/sax/featu
res/e xternal-general-entities", false);
documentBuilderFactory.setFeature("http://xml.org/sax/featu
res/e xternal-parameter-entities", false);
378 Version 2.2