Здравствуйте, alex303, Вы писали:

A>Приветствую.
A>если в xml-е несколько узлов подписано несколькими подписями (всмысле не один Signature + много Referencе'ов, а много Signature). То наблюдается крайне странная картина: если узел Signature является дочерним узлом по отношению к подписываемому, то валидируется только первая подпись — остальные якобы невалидны. Если же узел Signature вынести за пределы подписываемого узла, то валидируются все подписи.
A>Воспрос — это баг или фича? Куда копать.

Подписи в контейнере могут быть множественными, а могут быть заверяемыми. В случае если signature не в руте, то она попадает в подписываемые данные. Следующая подпись — заверяет предыдущую. Если нет, то она пропускается. Если хочешь сделать по уму — то копай XADES. А так:

An important scenario would be a document requiring two enveloped signatures. Each signature must omit itself from its own digest calculations, but it is also necessary to exclude the second signature element from the digest calculations of the first signature so that adding the second signature does not break the first signature.

http://www.w3.org/TR/xmldsig-core/