Разобрался. Если откатить версию wss4j до 1.5, то там для подписи не используется стандартный XML Digital Signature API, а используется Apache XML Security for Java (Santuario). И при этом есть возможность подцепить этот калкан и в первом приближении вроде бы всё даже работает. Цифровая археология, блин.