Algorithms

Auf der letzten Seite müssen Sie noch die verschiedenen erforderlichen Algorithmen und für die Schlüsseldatei auch die Schlüssellänge festlegen. Erforderlich ist außerdem die Angabe einer Datei, in welcher Sie den erzeugten Schlüssel speichern möchten. Diese Datei wird später zur Entschlüsselung wieder benötigt! Die Angabe einer ID für die Verschlüsselung ist optional, wird aber sehr empfohlen.

Algorithms

Algorithms

Zunächst müssen Sie die drei erforderlichen Algorithmen für die Verschlüsselung der Daten (Encryption Algorithm), zum Schlüsseltransport (Key Wrap Algorithm) sowie zur Erzeugung des benötigten symmetrischen Schlüssels (Key File Algorithm) auswählen. Beim letzten Algorithmus müssen Sie zusätzlich noch die gewünschte Schlüssellänge auswählen. Das dazugehörige Auswahlfeld passt die angebotenen Schlüssellängen automatisch an Ihre Algorithmenauswahl an.

Der Key Wrap Algorithmus dient dem sicheren Schlüsseltransport von einem Teilnehmer zu einem oder mehreren anderen (bspw. bei einer ungesicherten Übertragung über das Internet).

Der symmetrische Algorithmus wird sowohl als Content Encryption Key (CEK) als auch als Key Encryption Key (KEK) verwendet. Der CEK verschlüsselt die Nutzdaten einer Kommunikation, wohingegen der KEK nur einen Schlüssel, also den CEK, und keine Nutzdaten verschlüsselt.

Nicht auf jeder Plattform stehen alle Algorithmen in allen möglichen Schlüssellängen zur Verfügung. Bei der Erzeugung der Verschlüsselung wird unter Umständen eine Fehlermeldung ausgegeben und die Verschlüsselung abgebrochen. Bitte verwenden Sie in diesem Fall einen anderen Algorithmus oder eine kürzere Schlüssellänge.

Anschließend müssen Sie noch festlegen, wo der erzeugte Schlüssel gespeichert werden soll. Bitte bewahren Sie diese Datei gut auf! Ohne diese kann das verschlüsselte XML-Dokument (zumindest nach derzeitigem Kenntnisstand der Kryptografie) nicht mehr entschlüsselt werden. Diese Datei besitzt keine Endung. Geben Sie daher einfach den gewünschten Pfad und Dateinamen an oder wählen ihn über das Dialogfeld aus (z.B. C:\xml-security\key1).

Beachten Sie, dass dieser Key nichts mit den Java Keystores der digitalen Signaturen zu tun hat. Wenn Sie also ein XML-Dokument signieren und anschließend verschlüsseln, besitzen Sie einen zugehörigen Java Keystore von der digitalen Signatur (z.B. Signatur.jks) und ein Key File von der Verschlüsselung (z.B. Key). Das Key File benötigen Sie später wieder zur Entschlüsselung, den Keystore können Sie für zukünftige Signaturen verwenden. Wenn Sie den Key einer Verschlüsselung beim Generieren einer weiteren Verschlüsselung überschreiben können Sie das XML-Dokument nicht mehr entschlüsseln (auch wenn Sie denselben Algorithmus verwenden)!

Die Angabe der ID für die Verschlüsselung ist optional. Hier können Sie beliebige Zeichen außer den fünf bekannten XML Entity-Referenzen <, &, >, " und ' bis zu einer maximalen Länge von 20 Zeichen eingeben. Diese ID muss im XML-Dokument eindeutig sein, d.h. sie darf von keiner anderen Verschlüsselung verwendet werden.

Nach der Angabe aller erforderlichen Daten und dem Klick auf Finish erzeugt das Plug-in das verschlüsselte XML-Dokument. Der gewählte Klartext wird dabei automatisch entfernt und durch den Chiffretext ersetzt.