7.2.7. アプリケーション固有の署名タグの衝突 (Collision of Application-Specific Signature Tag)

7.2.7. アプリケーション固有の署名タグの衝突 (Collision of Application-Specific Signature Tag)

複数のアプリケーションやプロトコルが, 同一のメッセージに同時に HTTP 署名を適用しうる. 実際, 多くの状況ではこれは望ましい機能である. 4.3 節を参照のこと. 単純な検証者は複数の署名を処理する際に混同し, 無関係または不適切な署名に基づいてメッセージを受け入れたり拒否したりしうる. アプリケーションが自身の処理にどの署名が当てはまるか選ぶ手助けとするため, アプリケーションは 2.3 節で定義されるとおり tag 署名パラメータに特定の値を宣言できる. 例えば, アプリケーションゲートウェイを対象とする署名は, そのアプリケーションの署名パラメータの一部として tag="app-gateway" を要求しうる.

tag パラメータの使用は, 攻撃者が同じ値を対象アプリケーションとしても用いることを防がない. パラメータの値は公開されており, それ以外の制限もないからである. その結果, 検証者は tag パラメータの値を, どの署名を検査するかを限定するためだけに用いるべきである. 各署名については, 7.2.1 節で論じるとおり十分なカバレッジが提供されていることを検証者が確認する必要がある.