<br><font size=2 face="sans-serif">That example was signed after encryption
and then attempted to verify immediately after signing (though I have the
functionality to reverse those steps).</font>
<br><font size=2 face="sans-serif">I haven't used the command line utility
for xmlsec, at all. &nbsp;Is there a way to dump the content before digest
with the API?</font>
<br>
<br><font size=2 face="sans-serif">Thanks,</font>
<br><font size=2 face="sans-serif">Brian</font>
<br><font size=2 face="sans-serif">***************************************************************<br>
Brian S. Myers<br>
Systems Developer, Engineering<br>
brian.myers@zootweb.com<br>
Tel: 406-556-8924 &nbsp;Fax: 406-587-8414<br>
***************************************************************<br>
This email, including any attachments, is confidential and may not be redistributed
without permission. If you are not an intended recipient, you have received
this message in error. Please notify us immediately by replying to this
message, and then delete it from your computer. Thank you.<br>
***************************************************************</font>
<br>
<br>
<br>
<table width=100%>
<tr valign=top>
<td width=40%><font size=1 face="sans-serif"><b>Aleksey Sanin &lt;aleksey@aleksey.com&gt;</b>
</font>
<br><font size=1 face="sans-serif">Sent by: xmlsec-bounces@aleksey.com</font>
<p><font size=1 face="sans-serif">07/03/2008 03:49 PM</font>
<td width=59%>
<table width=100%>
<tr valign=top>
<td>
<div align=right><font size=1 face="sans-serif">To</font></div>
<td><font size=1 face="sans-serif">Brian.Myers@zootweb.com</font>
<tr valign=top>
<td>
<div align=right><font size=1 face="sans-serif">cc</font></div>
<td><font size=1 face="sans-serif">xmlsec@aleksey.com</font>
<tr valign=top>
<td>
<div align=right><font size=1 face="sans-serif">Subject</font></div>
<td><font size=1 face="sans-serif">Re: [xmlsec] verifying with xml-exc-c14n</font></table>
<br>
<table>
<tr valign=top>
<td>
<td></table>
<br></table>
<br>
<br>
<br><tt><font size=2>Are you signing before or after encryption? Are you
verifying<br>
before or after encryption? Have you tried to use &quot;--store-references&quot;<br>
option to dump the content before doing digest?<br>
<br>
Aleksey<br>
<br>
Brian.Myers@zootweb.com wrote:<br>
&gt; <br>
&gt; Well, it can't be the http headers. &nbsp;I now think the problem
might be <br>
&gt; with canonicalization.<br>
&gt; <br>
&gt; I can verify when I sign with the transform:<br>
&gt; &lt;dsig:Transform <br>
&gt; Algorithm=&quot;http://www.w3.org/2000/09/xmldsig#enveloped-signature&quot;/&gt;<br>
&gt; I can verify when I sign with the transform:<br>
&gt; &lt;dsig:Transform <br>
&gt; Algorithm=&quot;http://www.w3.org/TR/2001/REC-xml-c14n-20010315&quot;/&gt;<br>
&gt; <br>
&gt; but when I sign with the transform:<br>
&gt; &lt;dsig:Transform Algorithm=&quot;http://www.w3.org/2001/10/xml-exc-c14n#&quot;/&gt;<br>
&gt; it fails to verify.<br>
&gt; <br>
&gt; And none of it verifies when I send to my server (which is some black
<br>
&gt; box Microsoft implementation).<br>
&gt; <br>
&gt; It looks like the server is expecting Exclusive Canonicalization,
but I <br>
&gt; can't even get that to work in my test environment.<br>
&gt; <br>
&gt; Attached is my xml document after signing (shortened the digest values,
<br>
&gt; but otherwise unchanged).<br>
&gt; Please take a look at it and see if I am doing something stupid.<br>
&gt; <br>
&gt; Thanks in advance,<br>
&gt; Brian<br>
&gt; <br>
&gt; <br>
&gt; <br>
&gt; <br>
&gt; <br>
&gt; *Aleksey Sanin &lt;aleksey@aleksey.com&gt;*<br>
&gt; Sent by: xmlsec-bounces@aleksey.com<br>
&gt; <br>
&gt; 06/29/2008 08:19 PM<br>
&gt; <br>
&gt; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;<br>
&gt; To<br>
&gt; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;Brian.Myers@zootweb.com<br>
&gt; cc<br>
&gt; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;xmlsec@aleksey.com<br>
&gt; Subject<br>
&gt; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;Re:
[xmlsec] Signing a document that will be altered<br>
&gt; <br>
&gt; <br>
&gt; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;<br>
&gt; <br>
&gt; <br>
&gt; <br>
&gt; <br>
&gt; <br>
&gt; I highly doubt that http headers are involved in the signatures...<br>
&gt; At least, not with xmlsec.<br>
&gt; <br>
&gt; Aleksey<br>
&gt; <br>
&gt; Brian.Myers@zootweb.com wrote:<br>
&gt; &nbsp;&gt;<br>
&gt; &nbsp;&gt; Hello,<br>
&gt; &nbsp;&gt; I think I'm running into a problem where the digital signature
is being<br>
&gt; &nbsp;&gt; made invalid due to an http post.<br>
&gt; &nbsp;&gt; Before I send my message to serverB I encrypt it and sign
it, I then<br>
&gt; &nbsp;&gt; post the message to the server.<br>
&gt; &nbsp;&gt; The post obviously adds http headers to the beginning of
the message,<br>
&gt; &nbsp;&gt; such as ContentType, ContentLength, ect.<br>
&gt; &nbsp;&gt; I'm guessing that even though these headers are not inside
the xml<br>
&gt; &nbsp;&gt; document, they are still affecting my digest.<br>
&gt; &nbsp;&gt;<br>
&gt; &nbsp;&gt; Is there a way to force the sign method to only sign the
xml as opposed<br>
&gt; &nbsp;&gt; to the whole string? and also force<br>
&gt; &nbsp;&gt; the severB verifier to verify the xml?<br>
&gt; &nbsp;&gt;<br>
&gt; &nbsp;&gt; Thank you,<br>
&gt; &nbsp;&gt; Brian<br>
&gt; &nbsp;&gt;<br>
&gt; &nbsp;&gt;<br>
&gt; &nbsp;&gt; ------------------------------------------------------------------------<br>
&gt; &nbsp;&gt;<br>
&gt; &nbsp;&gt; _______________________________________________<br>
&gt; &nbsp;&gt; xmlsec mailing list<br>
&gt; &nbsp;&gt; xmlsec@aleksey.com<br>
&gt; &nbsp;&gt; http://www.aleksey.com/mailman/listinfo/xmlsec<br>
&gt; _______________________________________________<br>
&gt; xmlsec mailing list<br>
&gt; xmlsec@aleksey.com<br>
&gt; http://www.aleksey.com/mailman/listinfo/xmlsec<br>
&gt; <br>
&gt; <br>
&gt; ------------------------------------------------------------------------<br>
&gt; <br>
&gt; _______________________________________________<br>
&gt; xmlsec mailing list<br>
&gt; xmlsec@aleksey.com<br>
&gt; http://www.aleksey.com/mailman/listinfo/xmlsec<br>
_______________________________________________<br>
xmlsec mailing list<br>
xmlsec@aleksey.com<br>
http://www.aleksey.com/mailman/listinfo/xmlsec<br>
</font></tt>
<br>