DSS电子签名工具5.13.1版本更新解析

项目概述

DSS（Digital Signature Service）是欧盟委员会主导开发的一款开源电子签名工具库，主要用于创建、扩展和验证符合欧盟eIDAS法规的各类电子签名（如XAdES、PAdES、CAdES等）。该项目提供了完整的数字签名解决方案，广泛应用于欧盟成员国的数字化服务和商业领域。

5.13.1版本核心更新

本次发布的5.13.1版本是一个重要的热修复版本，主要针对欧盟最新发布的信任列表规范v6（ETSI TS 119 612 v2.3.1）提供了支持。作为电子签名验证的基础设施，信任列表的更新直接关系到签名验证的合法性和有效性。

信任列表v6支持

新版本最重要的改进是增加了对Trusted List v6规范的验证支持。信任列表是电子签名生态中的关键组成部分，它包含了被认可的证书颁发机构(CA)和服务提供商信息。v6版本带来了更严格的安全要求和更清晰的技术规范，确保电子签名验证过程更加安全可靠。

值得注意的是，为了保持向后兼容性，新版本同时支持v5和v6两种格式的信任列表。这种设计考虑到了实际部署环境中可能存在新旧系统并存的情况。

安全依赖更新

作为安全关键型软件，DSS团队持续关注依赖库的安全更新。本次版本升级了多个存在已知漏洞的依赖库：

• BouncyCastle：密码学基础库
• VeraPDF：PDF文档验证工具
• Apache FOP：文档格式处理库
• Logback：日志记录组件

这些更新显著提升了整个库的安全基线，减少了潜在的攻击面。

内存泄漏修复

在XAdES签名创建过程中发现的潜在内存泄漏问题得到了修复。这个问题与Apache Santuario库的签名创建过程有关，可能导致长时间运行的服务出现内存耗尽的情况。修复后，系统的稳定性和可靠性得到了提升。

验证报告格式改进

本次更新还修正了验证报告中两个重要部分的格式问题：

1. 证书值(CertificateValues)：修正了报告中证书值的呈现格式，确保符合规范要求
2. 撤销值(RevocationValues)：同样修复了撤销信息在报告中的格式问题

这些改进使得验证报告更加规范，便于自动化处理和人工阅读。

迁移注意事项

对于正在使用DSS 5.13版本的用户，升级到5.13.1需要注意验证策略文件的调整。原有的只支持TL v5的配置需要修改为同时支持v5和v6的格式。

旧版配置仅指定单一版本：

<TLVersion Level="FAIL" value="5" />

新版配置则采用多值支持：

<TLVersion Level="FAIL">              
    <Id>5</Id>
    <Id>6</Id>
</TLVersion>

这种配置方式提供了更好的灵活性，可以适应不同版本的信任列表验证需求。

总结

DSS 5.13.1虽然是一个小版本更新，但其对Trusted List v6的支持具有重要的实际意义。随着欧盟电子签名法规的持续演进，及时跟进这些规范更新对于确保电子签名的法律效力至关重要。同时，安全依赖的更新和内存泄漏的修复也进一步提升了整个库的稳定性和安全性。

对于正在使用DSS的开发者和管理员，建议尽快评估升级到5.13.1版本，特别是那些需要处理最新版信任列表的应用场景。升级过程相对简单，但需要注意验证策略文件的相应调整。