共用方式為


作法:停用數位簽章加密

根據預設,訊息會經過簽署,並且簽章會經過數位加密。 這是透過使用 AsymmetricSecurityBindingElementSymmetricSecurityBindingElement 的執行個體建立自訂繫結,並將其中一個的 MessageProtectionOrder 屬性設定為 MessageProtectionOrder 列舉值的方式來控制。 預設值為 SignBeforeEncryptAndEncryptSignature。 這個程序會比僅僅進行簽署和加密多花最多 30% 的時間,依整體訊息大小而定 (訊息越小,對效能影響越大)。 然而,停用簽章加密可能會使攻擊者得以猜測訊息內容。 這是有可能的,因為簽章項目包含訊息中每個簽署部分的純文字雜湊程式碼。 例如,雖然訊息本文預設會經過加密,但未加密的簽章會包含訊息本文加密前的雜湊程式碼。 如果簽署和加密部分的可能值組合很小,攻擊者可能會參考雜湊值來推算內容。 將簽章加密可以降低遭受這個攻擊的可能性。

因此,請在內容的價值很低,或可能的內容值組合很大且非決定性,並且獲得效能比降低前述攻擊可能性來得重要時,才停用簽章加密。

注意

如果訊息本身沒有加密,則簽章項目也不會加密,即使 AsymmetricSecurityBindingElement.MessageProtectionOrderSymmetricSecurityBindingElement.MessageProtectionOrder 屬性設定為 SignBeforeEncryptAndEncryptSignature 也一樣。 即使是系統提供的繫結,也會發生這種情形,所有系統提供的繫結都已將訊息保護順序設定為 SignBeforeEncryptAndEncryptSignature。 不過,WCF 產生的 Web 服務描述語言 (WSDL) 仍會包含 <sp:EncryptSignature> 判斷提示。

若要停用數位簽章

  1. 建立 CustomBinding。 如需詳細資訊,請參閱如何使用 SecurityBindingElement 建立自訂繫結

  2. 在繫結集合中加入 AsymmetricSecurityBindingElementSymmetricSecurityBindingElement

  3. AsymmetricSecurityBindingElement.MessageProtectionOrder 屬性設定為 SignBeforeEncrypt,或將 SymmetricSecurityBindingElement.MessageProtectionOrder 屬性設定為 SignBeforeEncrypt

另請參閱