Шифрование сообщений SOAP в Webservices

Я хотел бы знать, как конфиденциальность сообщений достигается для сообщений SOAP. Мой проект использует IBM Websphere.In сообщения SOAP обмен, естьШифрование сообщений SOAP в Webservices

<wsse:KeyIdentifier>xxxx</wsse:KeyIdentifier>

Она также имеет:

<EncryptionMethod Algorithm="yyyy"></EncryptionMethod> 
<CipherData> 
     <CipherValue>zzzzzzzzzzz</CipherValue> 
</CipherData>

Мои сомнения, является ли не третья сторона расшифровать шифрованный текст с помощью Ключ?

Если нет, как получатель этого сообщения может расшифровать сообщение с информацией, доступной в сообщении SOAP?

Или существует ли какой-либо первоначальный обмен сертификатами для этого?

Благодаря

источник

2011-12-17 vishnu viswanath

Да, вы должны сначала создать инфраструктуру PKI для этого. Идентификатор ключа - это просто идентификатор для выбора частного ключа из хранилища ключей - это, конечно, не сам ключ.

Убедитесь, что вы защищаете содержимое этого поля безопасным способом, так как злоумышленник может изменить значение. Моя собственная реализация молча игнорирует поле, так как ключ был установлен заранее.

источник

2011-12-17 09:23:35

Будьте очень осторожны при использовании шифрования XML; хорошо известно, что он уязвим против атак наложения. По крайней мере, включите подпись XML в микс и не разрешите злоумышленнику полностью удалить подпись. Злоумышленник также может просто подписывать что-то совершенно иное, чем само сообщение SOAP, и попытаться с этим справиться. * Всегда * проверяйте подпись перед выполнением расшифровки XML, иначе вы допустите атаки оракула. –

ответ

Смежные вопросы