Подпись XAdES с использованием Google Cloud KMS

Вау, XAdES - это лабиринт запутанных документов стандартов, трудно найти то, что поддерживается. Насколько я могу судить, XMLDSIG изначально поддерживал DSA и RSA-SHA1, которые сейчас устарели и ни один из них не поддерживается алгоритмами Cloud KMS.

В версии 1.1 синтаксиса и обработки подписи XML 2013 года были указаны еще несколько алгоритмов, в том числе алгоритм RSA с SHA-256, который должен быть совместим с Cloud KMS.RSA_SIGN_PKCS1_2048_SHA256, RSA_SIGN_PKCS1_3072_SHA256 а также RSA_SIGN_PKCS1_4096_SHA256. и я верю, что этоECDSAwithSHA384 должен быть совместим с Cloud KMS EC_SIGN_P384_SHA384.

С тех пор могли быть дальнейшие разработки с другими поддерживаемыми алгоритмами. Я подозреваю, что определенные реализации XAdES или группы взаимодействия могут поддерживать только набор алгоритмов, поэтому вам может потребоваться проверить их на предмет совместимости алгоритмов.

При этом Cloud KMS не предоставляет инструментов для кодирования документов для подписи или кодирования подписей способом, совместимым с XAdES, поэтому, хотя я считаю, что если бы у вас была алгоритмическая совместимость, вы могли бы реализовать подписание с ключами, хранящимися в Cloud KMS, но для преобразования различных форматов потребуется немало усилий.

Благодарим за использование GCP и Cloud KMS. Если у вас есть дополнительная информация о том, что вы хотели бы сделать, я буду рад получить запрос.