XML Canonicalization（C14N）のガイド

<p>XML CanOnicalization（C14N）は、論理的に同等のドキュメントが同一のバイトシーケンスを生成することを保証することにより、XMLの構文変動の問題を解決します。これは、デジタル署名と安全な比較に重要です。 1。CanonicalXML（C1.0）は、完全な制御されたドキュメントに最適な、属性ソーティング、空白の除去、およびUTF-8エンコードを備えた完全な正規化を提供します。 2。排他的な標準XML（Exc-C14N）は未使用の名前空間宣言を除外し、署名ラッピング攻撃に耐性があり、SAMLアサーションなどのドキュメントフラグメントに署名するのに最適です。 3.標準XML 1.1は、XML 1.1機能とレガシーエンコーディングの処理を改善しますが、サポートは限られています。主要なルールには、名前空間と名前で属性の並べ替え、空白の正規化、空の要素の変換、特殊文字のエンコードが含まれます。一般的な落とし穴には、二重標準化と誤ったエンコーディングが含まれるため、Apache Santuario、.NETのXMLDSIGC14NTRANSFORM、またはPythonのLXMLなどの信頼できるライブラリを使用することをお勧めします。 XMLシグネチャを含むほとんどのセキュリティに敏感な分散アプリケーションの場合、排他的な正規化は、フラグメントを再配置または埋め込んだ場合の好ましい方法です。 </p> <p><img src="/static/imghw/default1.png" data-src="https://img.php.cn/upload/article/000/000/000/175624610270372.jpg" class="lazy" alt="XML Canonicalization（C14N）のガイド"></p> <p> XML Canonicalization（C14N）は、XMLコンテンツを標準化された、または「標準的な」形式に変換する方法であり、2つの論理的に同等のXMLドキュメントがまったく同じバイトシーケンスを生成するようにします。これは、デジタル署名で特に重要です。デジタル署名では、白人、属性の順序付け、エンコードなどのわずかな違いでさえ、有効なXMLドキュメントに署名検証に失敗する可能性があります。 </p> <img src="/static/imghw/default1.png" data-src="https://img.php.cn/upload/article/000/000/000/175624610337762.jpg" class="lazy" alt="XML Canonicalization（C14N）のガイド"><p> XML C14Nを理解して使用するための実用的なガイドを次に示します。</p> <hr> <h3 id="C-Nはどのような問題を解決しますか"> C14Nはどのような問題を解決しますか？</h3> <p> XMLは、同じ論理データの複数の構文表現を許可します。例えば： </p> <img src="/static/imghw/default1.png" data-src="https://img.php.cn/upload/article/000/000/000/175624610270372.jpg" class="lazy" alt="XML Canonicalization（C14N）のガイド"><pre class='brush:php;toolbar:false;'> <book id = "123" title = "xml guide"/></pre><p>論理的に同じです：</p><pre class='brush:php;toolbar:false;'> <book title = "xml guide" id = "123" /></pre><p>しかし、生のバイトとして、それらは異なります。 XMLに署名または比較するとき、これらの違いが重要です。標準化は、一貫したフォーマットルールを実施することにより、そのようなバリエーションを排除します。</p><p>ユースケースは次のとおりです。</p><ul><li>デジタル署名（例：SAML、SOAP、またはXML暗号化）</li><li>信頼できるXML比較</li><li>構造的等価性を検証する必要がある安全なデータ交換</li></ul><hr /><h3 id="XML-Canonicalizationのタイプ">XML Canonicalizationのタイプ</h3><p>W3Cで定義されたいくつかの標準化されたフォームがあります。</p><h4 id="strong-標準XML-C-N-strong"> 1。<strong>標準XML（C14N 1.0）</strong></h4><ul><li> XMLコンテンツの完全な正規化</li><li>要素コンテンツで無関係な空白を削除します</li><li>Alphabetivitivity namespace uriおよびLocal Nameで属性をソートします</li><li>コメントを保存します（<em>排他的な</em>バリアントを使用しない限り）</li><li>外部エンティティ参照のない、整形式のドキュメントが必要です</li></ul><p><strong>最適</strong>：XML構造全体を制御し、完全な正規化が必要なドキュメント。</p><h4 id="strong-排他的な標準XML-Exc-C-n-strong"> 2。<strong>排他的な標準XML（Exc-C14n）</strong></h4><ul><li>マルチパーティ環境でXML署名用に設計されています</li><li>祖先のコンテキストを除外して、「署名ラッピング」攻撃を防ぎます</li><li>要素とその子孫が実際に使用する名前空間宣言のみを含む</li><li>属性はまだソートされています</li></ul><p><strong>使用</strong>：他の場所に移動または埋め込まれる可能性のあるドキュメントの一部に署名する（例、SAMLアサーション）</p><h4 id="strong-正規XML-strong"> 3。<strong>正規XML 1.1</strong></h4><ul><li> 1.0の制限に対処します</li><li>XML 1.1機能とレガシーキャラクターのエンコーディングのより良い取り扱い</li><li>ラインブレークとネームスペースの接頭辞をより一貫して正規化します</li></ul><p><strong>注</strong>：C1.0またはExc-C14Nよりも広くサポートされていません。</p><hr /><h3 id="C-Nの仕組み-重要なルール"> C14Nの仕組み：重要なルール</h3><p>標準化中、次の変換が適用されます。</p><ul><li><strong>属性の順序付け</strong>：属性は、名前空間URI（最初に空のURI）でソートされ、次にローカル名によってソートされます。</li><li><strong>引用</strong>：すべての属性値は、二重引用符で引用されます。</li><li><strong>空の要素</strong>：元々自己閉鎖しない限り、スタートエンドタグペア（例： <code><tag></tag></code> >）に変換されます。</li><li> <strong>Whitespace</strong> ：重要でない白人（例：要素間）が削除されます。テキスト内の空白は保存されています。</li><li><strong>文字エンコーディング</strong>：出力はUTF-8で、特殊文字は文字参照として表されます（例： <code><</code> 、 <code>€</code> ）。</li><li><strong>名前空間宣言</strong>：冗長または未使用の名前空間宣言は削除されます（特にExc-C14Nで）。</li></ul><hr /><h3 id="例-C-Nの前後">例：C14Nの前後</h3><p><strong>オリジナルXML：</strong></p><pre class='brush:php;toolbar:false;'> <signed xmlns = "urn：example" xmlns：ex = "http://example.org"> <Da​​ta Ex：id = "abc" xmlns：temp = "junk"> こんにちは＆amp;さようなら </data> </署名></pre><p><strong>排他的な標準化の後：</strong></p><pre class='brush:php;toolbar:false;'> <signed xmlns = "urn：example" xmlns：ex = "http://example.org"> <データ例：id = "abc"> hello＆goodbye </data> </signed></pre><p>知らせ：</p> <ul> <li>追加の名前空間<code>temp</code>がドロップされます</li> <li>ホワイトスペースが正規化されました</li> <li> <code>&</code> <code>&</code> （デコードされた後、必要な場合にのみ再エンコードされます）</li> <li>余分なラインブレークやインデントはありません</li> </ul> <hr> <h3 id="一般的な落とし穴とヒント">一般的な落とし穴とヒント</h3> <ul> <li> <strong>2回正規化しないでください</strong>。C14Nを複数回適用すると、結果が誤っているか、二重エンコードにつながる可能性があります。</li> <li> <strong>エンコーディングを監視</strong>：標準化後にXMLパーサー出力がUTF-8を確実に出力します。</li> <li> <strong>信頼できるライブラリを使用</strong>：ハンドローリングC14Nはエラーが発生しやすいです。次のような確立されたツールを使用してください：<ul> <li> Apache Santuario（Java/C）</li> <li> .NETの<code>XmlDsigC14NTransform</code> </li> <li> <code>c14n</code>メソッドを備えたPythonの<code>lxml.etree</code> </li> </ul> </li> <li> <strong>実際のデータを使用したテスト</strong>：特に、名前空間、CDATA、または特殊文字が混在するドキュメント。</li> </ul> <hr> <h3 id="どのc-nメソッドを使用するのはいつですか">どのc14nメソッドを使用するのはいつですか？</h3> <table> <thead><tr> <th>シナリオ</th> <th>推奨されるC14N</th> </tr></thead> <tbody> <tr> <td>完全で自己完結型のドキュメントに署名します</td> <td>標準XML 1.0</td> </tr> <tr> <td>移転する可能性のあるフラグメントに署名する（例：SAML）</td> <td>排他的なC14N</td> </tr> <tr> <td> XML 1.1またはレガシーエンコーディングを使用します</td> <td>標準XML 1.1</td> </tr> <tr> <td>最小限の処理が必要です</td> <td>exc-c14n（分散システムにより柔軟性があります）</td> </tr> </tbody> </table> <hr> <p>基本的に、XML Canonicalizationは、論理的に同一のXMLのバイトに相当する等価性を保証します。適切な方法を選択することは、あなたのコンテキスト、特にドキュメントの断片、名前空間、またはセキュリティ批判的な署名を扱うかどうかに依存します。</p> <p>ほとんどの最新のセキュリティアプリケーション（SAMLやWS-Securityなど）では、<strong>排他的な標準化</strong>が選択肢です。ツールがそれを正しくサポートしていることを確認してください。</p>

以上がXML Canonicalization（C14N）のガイドの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。