Fragen: BDEW Forum Datenformate

Detailansicht

AS4-Profil 1.0
Details

Anlagedatum	26.09.2023
Ticketnummer	2023-01942
Kurzfrage	[Thema "#509PKIPathv1"]
Frage	Die im AS4-Profil beschriebenen Anforderungen bzgl. Signatur und Verschlüsselung sind textuell beschrieben. Die dazugehörigen Beispiele enthalten aber teilweise widersprüchliche Informationen. Wir gehen davon aus, dass der Text gilt und die Beispiele abweichende/ fehlerhafte Inhalt haben. Ist diese Annahme korrekt? Eine Anforderung ist jedoch unklar, was die konkrete Implementierung angeht: Abschnitt 2.2.6.2.1 Signatur beschreibt die profilkonforme Verwendung des sogenannten „BinarySecurityToken“ in der Ausprägung „ValueType=http://docs.oasis- open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1“ als MUSS. Entsprechende Ausprägung ist zwar definiert als Typ, jedoch nicht der exakte Inhalt desselben. Dazu kommt, dass das darunter liegende Beispiel eben jenen Typ nicht verwendet, sondern den Typ „#X509v3“ (ebenfalls WS-Security konform, aber wegen MUSS nicht erlaubt). Das Pendant im Working Draft des EU-AS4-Profils zeigt im Beispiel zwar auch Typ „#509v3“, beschreibt aber die Ausprägung „#X509PKIPathv1“ nur als SOLLTE. Meinen Nachforschungen zufolge wird die Ausprägung „#509PKIPathv1“ zum einen kaum unterstützt, zum anderen konnte ich keine Spezifikation finden, die explizit beschreibt, was der Wert sein soll. Momentan gehe ich von ASN.1 „SEQUENCE OF CERTIFICATE“ als Base64-DER aus, zumal der Typ „#x509v3“, soweit mir bekannt, ein Base64-DER-Zertifikat ist. Da hier mitunter Interoperabilitätsprobleme lauern, würde ich darum bitten, dass klar gestellt wird, was das deutsche AS4-Profil hier genau erwartet.
Dateien
Kurzantwort	ASN.1 data type PkiPath ::= SEQUENCE OF Certificate
Antwort	Sehr geehrte Fragesteller, vielen Dank für Ihre Anfrage. Die Anforderungen zur Nutzung dieses Elements kommt aus dem Dokument "OASIS Web Services Security (WSS)". Hier findet sich der Verweis auf "Web Services Security 3 X.509 Certificate Token Profile". Für die Syntax und Codierung dieses Elements wird verwiesen auf: ITU-T X-SERIES RECOMMENDATIONS: Information Technology – Open Systems Interconnection – The Directory: Public-key and attribute certificate frameworks. Auf den Seiten 20ff findet sich die gesuchte Spezifikation. Freundliche Grüße Ihr Forum Datenformate
Datei Antwort

Textbezug

2.2.6.2.1 Signatur
Die AS4-Nachrichtensignierung basiert auf der W3C XML Signatur-Empfehlung. Die aktuelle
Version dieses Standards ist die Spezifikation vom April 2013, Version 1.1 [XMLDSIG1], die
relevante neue Algorithmus-Bezeichner definiert. Eine vollständige Liste ist definiert in
[RFC6931].
Dieses BDEW-AS4-Profil verwendet die AS4-Algorithmen für Hashing und Signatur wie in
[TR03116-3] (Abschnitt 9.1) beschrieben. Die zu verwendende Kurve MUSS BrainpoolP256r1
sein.
WS-Security definiert drei Optionen für den Verweis auf ein Sicherheits-Token (Absatz 3.2 in
[WSSX509]). In [ebMS3] oder [AS4] ist kein Parameter für die Auswahl einer bestimmten Option
definiert. In diesem Profil MUSS die Option BinarySecurityToken verwendet werden, um auf das
Sicherheits-Token zu verweisen, und MUSS die in Abschnitt 3.1.2 von [WSSX509] definierte
Option X509PKIPathv1 Token Type verwenden. Die Verwendung dieses Token-Typs MUSS durch
setzen des Attributs ValueType von wsse:BinarySecurityToken auf den Wert
„http://docs.oasis- open.org/wss/2004/01/oasis-200401-wss-x509-token-profile1.0#X509PKIPathv1“ angezeigt werden.
Dieses Profil verwendet die folgende AS4-Konfiguration im P-Mode:
› Der Parameter von PMode[1].Security.X509.Sign MUSS nach Maßgabe der Abschnitte 5.1.4
und 5.1.5 von [AS4] gesetzt werden.
› Der Parameter von PMode[1]. Security.X509.Signature.HashFunction MUSS auf den
Festwert „http://www.w3.org/2001/04/xmlenc#sha256“ gesetzt werden.
› Der Parameter von PMode[1]. Security.X509.Signature.Algorithm MUSS auf den Festwert
„http://www.w3.org/2001/04/xmldsig-more#ecdsa-sha256“ gesetzt werden.
Die in [RFC6090] Abschnitt 7 beschriebenen Interoperabilitätsanforderungen MÜSSEN
implementiert werden.

Zurück zur Übersicht