[要約] RFC 2649は、操作の署名を保持するためのLDAPコントロールとスキーマに関するものです。その目的は、LDAPサーバーが操作の署名を保持し、検証や監査に使用できるようにすることです。

Network Working Group                                       B. Greenblatt
Request for Comments: 2649                                     P. Richard
Category: Experimental                                        August 1999
        

An LDAP Control and Schema for Holding Operation Signatures

操作署名を保持するためのLDAP制御とスキーマ

Status of this Memo

本文書の位置付け

This memo defines an Experimental Protocol for the Internet community. It does not specify an Internet standard of any kind. Discussion and suggestions for improvement are requested. Distribution of this memo is unlimited.

このメモは、インターネットコミュニティの実験プロトコルを定義します。いかなる種類のインターネット標準を指定しません。改善のための議論と提案が要求されます。このメモの配布は無制限です。

Copyright Notice

著作権表示

Copyright (C) The Internet Society (1999). All Rights Reserved.

Copyright(c)The Internet Society(1999)。無断転載を禁じます。

Abstract

概要

In many environments clients require the ability to validiate the source and integrity of information provided by the directory. This document describes an LDAP message control which allows for the retrieval of digitally signed information. This document defines an LDAP v3 based mechanism for signing directory operations in order to create a secure journal of changes that have been made to each directory entry. Both client and server based signatures are supported. An object class for subsequent retrieval are "journal entries" is also defined. This document specifies LDAP v3 controls that enable this functionality. It also defines an LDAP v3 schema that allows for subsequent browsing of the journal information.

多くの環境では、クライアントは、ディレクトリが提供する情報のソースと整合性を有効にする機能を必要とします。このドキュメントでは、デジタル署名された情報の取得を可能にするLDAPメッセージコントロールについて説明します。このドキュメントでは、各ディレクトリエントリに加えられた変更の安全なジャーナルを作成するために、ディレクトリ操作に署名するためのLDAP V3ベースのメカニズムを定義します。クライアントとサーバーベースの署名の両方がサポートされています。後続の取得のオブジェクトクラスは「ジャーナルエントリ」も定義されています。このドキュメントは、この機能を有効にするLDAP V3コントロールを指定します。また、ジャーナル情報のその後のブラウジングを可能にするLDAP V3スキーマも定義します。

Table of Contents

目次

   1. Introduction  . . . . . . . . . . . . . . . . . . . . . . . .   2
   1.1 Audit Trail Mechanism  . . . . . . . . . . . . . . . . . . .   2
   1.2. Handling the Delete Operation . . . . . . . . . . . . . . .   5
   2. Signed Results Mechanism  . . . . . . . . . . . . . . . . . .   6
   3. Security Considerations and Other Notes   . . . . . . . . . .   7
   4. References  . . . . . . . . . . . . . . . . . . . . . . . . .   8
   5. Authors' Addresses  . . . . . . . . . . . . . . . . . . . . .   9
   6. Full Copyright Statement  . . . . . . . . . . . . . . . . . .  10
        
1. Introduction
1. はじめに

In many environments clients require the ability to validiate the source and integrity of information provided by the directory. This document describes an LDAP message control which allows for the retrieval of digitally signed information. The perspective of this document is that the origin of the information that is stored in LDAP v3 accessible directories is the LDAP v3 client that creates the information. The source and integrity of the information is guaranteed by allowing for the digital signing of the operations that make changes to entries in the directory. The source and integrity of an individual LDAP connection can be guaranteed by making use of an underlying session layer that provides such services, such as TLS. Note that the integrity of an individual connection does not, in and of itself guarantee the integrity of the data that comes across the connection. This is due to the fact that the LDAP server is only capable of providing information that it has stored. In distributed and replicated environments, the fact that an entry has been successfully retrieved from a server may not be completely reassuring, if the entry in question was replicated from an untrusted domain.

多くの環境では、クライアントは、ディレクトリが提供する情報のソースと整合性を有効にする機能を必要とします。このドキュメントでは、デジタル署名された情報の取得を可能にするLDAPメッセージコントロールについて説明します。このドキュメントの視点は、LDAP V3アクセス可能なディレクトリに保存されている情報の起源は、情報を作成するLDAP V3クライアントであるということです。情報のソースと整合性は、ディレクトリ内のエントリに変更を加える操作のデジタル署名を許可することにより保証されます。個々のLDAP接続のソースと整合性は、TLSなどのそのようなサービスを提供する基礎となるセッションレイヤーを使用することで保証できます。個々の接続の整合性は、それ自体が接続に至るデータの整合性を保証しないことに注意してください。これは、LDAPサーバーが保存した情報のみを提供できるという事実によるものです。分散型および複製された環境では、問題のエントリが信頼できないドメインから複製された場合、サーバーからエントリが正常に取得されたという事実は完全に安心しない可能性があります。

By making use of public key technology, and creating digitally signed transactions that are created by the LDAP v3 client as entries are created and modified, a complete journal of the history of the entry is available. Since each entry in the journal has been digitally signed with the private key of the creator, or modifier of the entry, the source and integrity of the directory entry can be validated by verifying the signature of each entry in the journal. Note that not all of the journal entries will have been signed by the same user.

公開キーテクノロジーを利用し、LDAP V3クライアントによって作成されたエントリとして作成されたデジタルで署名されたトランザクションを作成することにより、エントリの歴史に関する完全なジャーナルが利用可能です。ジャーナルの各エントリは、作成者の秘密鍵、またはエントリの修飾子でデジタル的に署名されているため、ディレクトリエントリのソースと整合性は、ジャーナル内の各エントリの署名を確認することで検証できます。すべてのジャーナルエントリが同じユーザーによって署名されているわけではないことに注意してください。

1.1. Audit Trail Mechanism
1.1. 監査トレイルメカニズム

Signed directory operations is a straightforward application of S/MIME technology that also leverages the extensible framework that is provided by LDAP version 3. LDAP version 3 is defined in [4], and S/MIME is defined in [2]. The security used in S/MIME is based in the definitions in [1]. The basic idea is that the submitter of an LDAP operation that changes the directory information includes an LDAP version 3 control that includes either a signature of the operation, or a request that the LDAP server sign the operation on the behalf of the LDAP client. The result of the operation (in addition to the change of the directory information), is additional information that is attached to directory objects, that includes the audit trail of signed operations. The LDAP control is (OID = 1.2.840.113549.6.0.0):

署名されたディレクトリ操作は、LDAPバージョン3で提供される拡張可能なフレームワークを活用するS/MIMEテクノロジーの簡単なアプリケーションであり、LDAPバージョン3は[4]で定義され、S/MIMEは[2]で定義されています。S/MIMEで使用されるセキュリティは、[1]の定義に基づいています。基本的なアイデアは、ディレクトリ情報を変更するLDAP操作の提出者には、操作の署名またはLDAPサーバーがLDAPクライアントに代わって操作に署名するというリクエストを含むLDAPバージョン3コントロールが含まれることです。操作の結果(ディレクトリ情報の変更に加えて)は、ディレクトリオブジェクトに添付されている追加情報であり、署名操作の監査証跡が含まれます。LDAPコントロールは(OID = 1.2.840.113549.6.0.0)です。

      SignedOperation ::= CHOICE {
           signbyServer   NULL,
           signatureIncluded   OCTET STRING
       }
        

If the SignatureIncluded CHOICE is used, then the OCTET string is just an S/MIME message of the multipart/signed variety, that is composed of a single piece, that is the signature of the directory operation. Multipart/signed MIME objects are defined in [3]. If the SignbyServer CHOICE us used, then the LDAP server creates the signature on behalf of the client, using its own identity and not the identity of the client, in order to produce the audit trail entry. In either case the successful result of processing the control is the creation of additional information in the directory entry that is being modified or created. The signature of the LDAP operation is computed on the LDAPMessage prior to the inclusion of the SignedOperation control. The procedure is as follows:

SignatureCludedの選択肢が使用される場合、Octet Stringは、単一のピースで構成されたマルチパート/署名品種のS/MIMEメッセージにすぎません。これは、ディレクトリ操作の署名です。マルチパート/署名されたMIMEオブジェクトは[3]で定義されています。SignbyServerの選択が使用されている場合、LDAPサーバーは、監査トレイルエントリを作成するために、クライアントのIDではなく、独自のIDを使用して、クライアントに代わって署名を作成します。どちらの場合でも、処理の成功した結果は、制御が変更または作成されているディレクトリエントリに追加情報の作成です。LDAP操作の署名は、SigneDoperationコントロールを含める前にLDAPMessageで計算されます。手順は次のとおりです。

- Build LDAPMessage without the SignedOperation control - Compute signature on the above LDAPMessage - Create new LDAPMessage that includes the old MessageID, protocolOp and any control fields from the previous LDAPMessage, plus the computed signature formatted as an S/MIME message.

- 署名型制御なしでldapmessageを構築 - 上記のldapmessageで署名を計算 - 以前のldapmessageの任意の制御フィールドを含む新しいldapmessageに加えて、S/Mimeメッセージとしてフォーマットされた計算署名を含む新しいldapmessageを作成します。

No control is defined for the server to return in the LDAPResult as defined in [4]. The LDAP server MAY attempt to parse and verify the signature included in the SignedOperation control, but is not required to. The server can accept the signed operation without verifying the signature. Signature verification can be quite a lengthy operation, requiring complex certificate chain traversals. This allows a more timely creation of the audit trail by the server. Any LDAP client browsing the directory that retrieves the 'Changes' (defined in the following paragraphs) attributes, should verify the signature of each value according to the local signature verification policies. Even if the LDAP server verifies the signature contained in the singed operation, the LDAP client has no way of knowing what policies were followed by the server in order to verify the signature.

[4]で定義されているように、サーバーがldapresultで戻るようにサーバーの制御は定義されていません。LDAPサーバーは、SigneDoperation Controlに含まれる署名を解析および検証しようとする場合がありますが、必要ではありません。サーバーは、署名を確認せずに署名操作を受け入れることができます。署名の検証は、複雑な証明書チェーントラバーサルを必要とする非常に長い操作である可能性があります。これにより、サーバーによる監査トレイルをよりタイムリーに作成できます。「変更」(次の段落で定義されている)を取得するディレクトリを閲覧するLDAPクライアントは、ローカル署名検証ポリシーに従って各値の署名を検証する必要があります。LDAPサーバーが歌われた操作に含まれる署名を検証したとしても、LDAPクライアントは、署名を確認するためにサーバーがどのポリシーに従ったかを知る方法がありません。

If the LDAP server is unable to verify the signature and wishes to return an error then the error code unwillingToPerform(53) should be returned, and the entire LDAP operation fails. In this situation, an appropriate message (e.g. "Unable to verify signature") MAY be included in the errorMessage of the LDAPResult. The SignedOperation Control MAY be marked CRITICAL, and if it is CRITICAL then if the LDAP Server performs the LDAP operation, then must include the signature in the signedAuditTrail information.

LDAPサーバーが署名を確認できず、エラーを返すことを希望する場合、エラーコードUnlowillingToperform(53)を返す必要があり、LDAP操作全体が失敗します。この状況では、適切なメッセージ(たとえば、「署名を検証できない」など)がLdapresultのエラーズに含まれる場合があります。SigneDoperationコントロールは重要である可能性があり、それが重要である場合、LDAPサーバーがLDAP操作を実行する場合、SignedAuditTrail情報に署名を含める必要があります。

The schema definition for the signedAuditTrail information is:

SignedAuditTrail情報のスキーマ定義は次のとおりです。

( 1.2.840.113549.6.1.0 NAME 'signedAuditTrail' SUP top AUXILIARY MUST ( Changes ) )

(1.2.840.113549.6.1.0 name 'Signedaudittrail' Sup Top Auxiliary(変更))

The format of the Changes attribute is:

変更属性の形式は次のとおりです。

( 1.2.840.113549.6.2.0 NAME 'Changes' DESC 'a set of changes applied to an entry' SYNTAX 'Binary' )

(1.2.840.113549.6.2.0 name 'change' desc 'エントリに適用される一連の変更' Syntax 'Binary')

The actual format of the Changes attribute is:

変更属性の実際の形式は次のとおりです。

      Changes ::= SEQUENCE {
           sequenceNumber [0] INTEGER (0 .. maxInt),
           signedOperation [1] OCTET STRING }
        

The SignedOperation attribute is a multipart/signed S/MIME message. Part 1 of the message is the directory operation, and part 2 is the signature. Sequence number 0 (if present) always indicates the starting point directory object as represented by the definitions in "A MIME Content-Type for Directory Information", as defined in [5]. Subsequent sequence numbers indicate the sequence of changes that have been made to this directory object. Note that the sequence of the changes can be verified due to the fact that the signed directory object will have a timestamp as part of the signature object, and that the sequence numbering as part of the change attribute should be considered to be an unverified aid to the LDAP client. Sequence numbers are meaningful only within the context of a single directory entry, and LDAP servers are not expected to maintain these sequence numbers across all entries in the directory.

SigneDoperation属性は、MultiPart/Signed S/Mimeメッセージです。メッセージのパート1はディレクトリ操作で、パート2は署名です。シーケンス番号0(存在する場合)は、[5]で定義されているように、「ディレクトリ情報のMIMEコンテンツタイプ」の定義で表されるように、常に開始点ディレクトリオブジェクトを示します。その後のシーケンス番号は、このディレクトリオブジェクトに行われた一連の変更を示します。署名されたディレクトリオブジェクトには署名オブジェクトの一部としてタイムスタンプがあり、変更属性の一部としてのシーケンス番号が未確認の援助と見なされるべきであるという事実により、変更のシーケンスを確認できることに注意してください。LDAPクライアント。シーケンス番号は、単一のディレクトリエントリのコンテキスト内でのみ意味があり、LDAPサーバーは、ディレクトリ内のすべてのエントリでこれらのシーケンス番号を維持することは期待されていません。

Some LDAP servers will only allow operations that include the SignedOperation control. This is indicated by the inclusion of a 'signedDirectoryOperationSupport' attribute in the rootDSE. This attribute is defined as:

一部のLDAPサーバーでは、SigneDoperation Controlを含む操作のみを許可します。これは、rootdseに「signeddirectoryoperationsupport」属性を含めることによって示されます。この属性は次のように定義されます。

1.2.840.113549.6.2.2 NAME 'signedDirectoryOperationSupport' DESC 'how many of the LDAP operations must be signed' SYNTAX 'Integer' SINGLE-VALUE )

1.2.840.113549.6.2.2 name 'SignedDirectoryOperationSupport' desc '' ldap操作の数に「Syntax 'Integer」シングル値に署名する必要があるもの

The 'signedDirectoryOperationSupport' attribute above may have one of the values, '0', '1' or '2' with the following meanings:

上記の「signeddirectoryoperationsupport」属性には、次の意味を持つ値「0」、「1」、または「2」のいずれかがあります。

- '0' Directory Operations may be signed - '1' Directory Operations must always be signed - '2' Directory Operations must never be signed

- '0'ディレクトリ操作に署名する場合があります - '1'ディレクトリ操作は常に署名する必要があります - '2'ディレクトリ操作は署名しないでください

Some LDAP servers will desire that the audit trail be continuous, and not contain any gaps that would result from unsigned operations. Such server will include a signature on each LDAP operation that changes a directory entry, even when the LDAP client does not include a signed-Operation control.

一部のLDAPサーバーは、監査証跡が継続的であり、署名されていない操作から生じるギャップが含まれていないことを望みます。このようなサーバーには、LDAPクライアントが署名付きオペレーションコントロールが含まれていない場合でも、ディレクトリエントリを変更する各LDAP操作に署名が含まれます。

1.2. Handling the Delete Operation
1.2. 削除操作の処理

The LDAP Delete operation represents an interesting case for Signed Directory Operations. This is due to the case that subsequent to the successful completion of the Delete Operation, the object that would have held the latest 'Changes' attribute no longer exists. In order to handle this situation, a new object class is defined to represent a directory object that has been deleted.

LDAP削除操作は、署名されたディレクトリ操作の興味深いケースを表しています。これは、削除操作が正常に完了した後、最新の「変更」属性を保持していたオブジェクトが存在しなくなったためです。この状況を処理するために、削除されたディレクトリオブジェクトを表すように新しいオブジェクトクラスが定義されます。

( 1.2.840.113549.6.1.2 NAME 'zombieObject' SUP top STRUCTURAL MUST ( Cn $ Changes $ OriginalObject ) )

(1.2.840.113549.6.1.2 name 'zombieobject' sup top structural must(cn $ change $ original object))

The format of the OriginalObject attribute is:

OriginalObject属性の形式は次のとおりです。

( 1.2.840.113549.6.2.1 NAME OriginalObject DESC 'The LDAP URL of an object that has been deleted from the directory' SYNTAX 'Binary' )

(1.2.840.113549.6.2.1名前OriginalObject Desc 'ディレクトリ「Syntax' Binary 'から削除されたオブジェクトのLDAP URL)

The OriginalObject attribute contains the URL of the object that was deleted from the directory. It is formatted in accordance with RFC 2255. Directory servers that comply with this specification SHOULD create a zombieObject when performing the delete Operation that contains a SignedOperation LDAPControl. The Cn attribute of the zombieObject is synthesized by the LDAP server, and may or may not be related to the original name of the directory entry that was deleted. All changes attributes that were attached to the original entry are copied over to the zombieObject. In addition the LDAP Server MUST attach the signature of the Delete operation as the last successful change that was made to the entry.

OriginalObject属性には、ディレクトリから削除されたオブジェクトのURLが含まれています。RFC 2255に従ってフォーマットされています。この仕様に準拠するディレクトリサーバーは、署名型LDAPControlを含む削除操作を実行するときにZombieObjectを作成するはずです。ZombieObjectのCN属性はLDAPサーバーによって合成され、削除されたディレクトリエントリの元の名前に関連している場合と関連していない場合があります。元のエントリに添付されたすべての変更属性は、ZombieObjectにコピーされます。さらに、LDAPサーバーは、エントリに行われた最後の成功した変更として、削除操作の署名を添付する必要があります。

2. Signed Results Mechanism
2. 署名された結果メカニズム

A control is also defined that allows the LDAP v3 client to request that the server sign the results that it returns. It is intended that this control is primarily used in concert with the LDAPSearch operation. This control MAY be marked as CRITICAL. If it is marked as CRITICAL and the LDAP Server supports this operation, then all search results MUST be returned with a signature as attached in the SignedResult control if it is willing to sign results for this user. If the server supports this control but does not wish to sign the results for this user then the error code unwillingToPerform(53) should be returned, and the LDAP search will have failed. In this situation, an appropriate message (e.g. "Unwilling to sign results for you!") MUST be included in the errorMessage of the LDAPResult. If the LDAPSigType has the value FALSE then the client is requesting that the server not sign this operation. This may be done in situations where servers are configured to always sign their operations.

また、LDAP V3クライアントがサーバーが返される結果に署名するように要求できるようにするコントロールも定義されています。このコントロールは、主にLDAPSEarch操作との協調で使用されることを意図しています。このコントロールは重要であるとマークされる場合があります。クリティカルとしてマークされ、LDAPサーバーがこの操作をサポートする場合、このユーザーの結果に署名する場合は、SignedResultコントロールに添付されている署名ですべての検索結果を返す必要があります。サーバーがこのコントロールをサポートしているが、このユーザーの結果に署名することを望まない場合、エラーコードがlunwillingToperform(53)を返し、LDAP検索が失敗するはずです。この状況では、適切なメッセージ(たとえば、「結果に署名したくない!」)は、ldapresultのエラーズに含める必要があります。LDAPSIGTYPEに値がfalseを持っている場合、クライアントはサーバーがこの操作に署名しないことを要求しています。これは、常に操作に署名するようにサーバーが構成されている状況で行うことができます。

The LDAP control to include in the LDAP request is (OID = 1.2.840.113549.6.0.1):

LDAPリクエストに含めるLDAP制御は(OID = 1.2.840.113549.6.0.1)です。

      DemandSignedResult ::=  LDAPSigType
        
      LDAPSigType ::= BOOLEAN
        

In response to a DemandSignedResult control, the LDAP v3 server will return a SignedResult control in addition to the normal result as defined by the operation (assuming that the server understands the con- trol, and is willing to perform it). The SignedResult control MUST NOT be marked CRITICAL. Some LDAP v3 servers may be configured to sign all of their operations. In this situation the server always returns a SignedResult control, unless instructed otherwise by the DemandSigne-dResult Control. Since the SignedResult control is not marked critical, the LDAP client is allowed to ignore it. The signature field below includes the signature of the enitre LDAPResult formatted as an S/MIME pkcs-7/signature object, as defined in [2].

DemandSignedResultコントロールに応じて、LDAP V3サーバーは、操作によって定義されている通常の結果に加えて、SignedResultコントロールを返します(サーバーがコントロールを理解し、実行する意思があると仮定します)。SignedResultコントロールは、批判的とマークされてはなりません。一部のLDAP V3サーバーは、すべての操作に署名するように構成できます。この状況では、DemandSigne-Dresult Controlによって特に指示されない限り、サーバーは常にSignedResultコントロールを返します。SignedResultコントロールは重要ではないため、LDAPクライアントはそれを無視することができます。以下の署名フィールドには、[2]で定義されているように、S/MIME PKCS-7/署名オブジェクトとしてフォーマットされたenitre ldapresultの署名が含まれています。

The procedure for creating the signature of the signedResult control is the same as the procedure for the creation of the signedOperation control. The LDAP control in the LDAP response is (OID = 1.2.840.113549.6.0.2):

SignedResultコントロールの署名を作成する手順は、署名型制御の作成手順と同じです。LDAP応答のLDAP制御は(OID = 1.2.840.113549.6.0.2)です。

      SignedResult ::= CHOICE {
           signature     OCTET STRING }
        
3. Security Considerations and Other Notes
3. セキュリティ上の考慮事項およびその他のメモ

The base OIDs are:

ベースOIDは次のとおりです。

      rsadsiLdap ::= {1 2 840 113549 6}
      rsadsiLdapControls ::=  {1 2 840 113549 6 0}
      rsadsiLdapObjectClasses ::= {1 2 840 113549 6 1}
      rsadsiLdapAttributes ::= {1 2 840 113549 6 2}
        

The complete ASN.1 module for this specification is:

この仕様の完全なASN.1モジュールは次のとおりです。

      SIGNEDOPERATIONS DEFINITIONS ::=
      BEGIN
        
      SignedOperation ::= CHOICE {
           signbyServer   NULL,
           signatureIncluded   OCTET STRING
       }
        
      Changes ::= SEQUENCE {
           sequenceNumber [0] INTEGER (0 .. maxInt),
           signedOperation [1] OCTET STRING }
        
      DemandSignedResult ::=  LDAPSigType
        
      LDAPSigType ::= BOOLEAN
        
      SignedResult ::= CHOICE {
           signature     OCTET STRING }
        

END

終わり

If any of the controls in this specification are supported by an LDAP v3 server then that server MUST make available its certificate (if any) in the userCertificate attribute of its rootDSE object. The UserCertificate attribute is defined in [6], and contains the public key of the server that is used in the creation of the various signatures defined in this specification.

この仕様のコントロールのいずれかがLDAP V3サーバーによってサポートされている場合、そのサーバーは、rootdseオブジェクトのusercertificate属性で証明書(もしあれば)を利用可能にする必要があります。usercertificate属性は[6]で定義されており、この仕様で定義されているさまざまな署名の作成に使用されるサーバーの公開キーが含まれています。

It is not the intention of this specification to provide a mechanism that guarantees the origin and integrity of LDAP v3 operations. Such a service is best provided by the use of an underlying protocol such as TLS [8]. TLS defines additional features such as encryption and compression. This specification does not define support for encrypted operations.

LDAP V3操作の起源と完全性を保証するメカニズムを提供することは、この仕様の意図ではありません。このようなサービスは、TLS [8]などの基礎となるプロトコルを使用することで最適に提供されます。TLSは、暗号化や圧縮などの追加機能を定義します。この仕様は、暗号化された操作のサポートを定義しません。

This memo proposes protocol elements for transmission and storage of the digital signatures of LDAP operations. Though the LDAP server may have verified the operation signatures prior to their storage and subsequent retrieval, it is prudent for LDAP clients to verify the signatures contained in the chained attribute upon their retrieval. The issuing Certification Authorities of the signer's certificate should also be consulted in order to determine if the signer's private key has been compromised or the certificate has been otherwise revoked. Security considerations are discussed throughout this memo.

このメモは、LDAP操作のデジタル署名の送信とストレージのプロトコル要素を提案しています。LDAPサーバーは、ストレージとその後の検索の前に操作署名を検証している可能性がありますが、LDAPクライアントが検索時にチェーン属性に含まれる署名を確認することは賢明です。署名者の証明書の発行認証当局も、署名者の秘密鍵が侵害されたか、証明書が取り消されたかどうかを判断するために相談する必要があります。このメモ全体でセキュリティ上の考慮事項について説明します。

4. References
4. 参考文献

[1] Kaliski, B., "PKCS 7: Cryptographic Message Syntax Version 1-5", RFC 2315, March 1998.

[1] Kaliski、B。、「PKCS 7:暗号化メッセージ構文バージョン1-5」、RFC 2315、1998年3月。

[2] Dusse, S., Hoffman, P., Ramsdell, B., Lundblade, L. and L. Repka., "S/MIME Version 2 Message Specification", RFC 2311, March 1998.

[2] Dusse、S.、Hoffman、P.、Ramsdell、B.、Lundblade、L。and L. Repka。、「S/Mimeバージョン2メッセージ仕様」、RFC 2311、1998年3月。

[3] Galvin, J., Murphy, S., Crocker, S. and N. Freed, "Security Multiparts for MIME: Multipart/Signed and Multipart/Encrypted", RFC 1847, October 1995.

[3] Galvin、J.、Murphy、S.、Crocker、S。、およびN. Freed、「Mimeのセキュリティマルチパート:MultiPart/Signed and MultiPart/暗号化」、RFC 1847、1995年10月。

[4] Wahl, M., Howes, T. and S. Kille, "Lightweight Directory Access Protocol (v3)", RFC 2251, December 1997.

[4] Wahl、M.、Howes、T。およびS. Killee、「Lightweight Directory Access Protocol(V3)」、RFC 2251、1997年12月。

[5] Howes, T., Smith, M. and F. Dawson, "A MIME Content-Type for Directory Information", RFC 2425, September 1998.

[5] Howes、T.、Smith、M。、およびF. Dawson、「ディレクトリ情報用のMIMEコンテンツタイプ」、RFC 2425、1998年9月。

[6] Wahl, M., "A Summary of the X.500(96) User Schema for use with LDAPv3", RFC 2256, December 1997.

[6] Wahl、M。、「LDAPV3で使用するX.500(96)ユーザースキーマの要約」、RFC 2256、1997年12月。

[7] Howes, T. and M. Smith, "The LDAP URL Format", RFC 2255, December 1997.

[7] Howes、T。およびM. Smith、「LDAP URL形式」、RFC 2255、1997年12月。

[8] Dierks, T. and C. Allen, "The TLS Protocol Version 1.0", RFC 2246, January 1999.

[8] Dierks、T。およびC. Allen、「TLSプロトコルバージョン1.0」、RFC 2246、1999年1月。

5. Authors' Addresses
5. 著者のアドレス

Bruce Greenblatt San Jose, CA 95119 USA

ブルースグリーンブラットサンノゼ、カリフォルニア州95119 USA

   Phone: +1-408-224-5349
   EMail: bgreenblatt@directory-applications.com
        

Pat Richard Xcert Software, Inc. Suite 1001 - 701 W. Georgia Vancouver, BC CANADA V6G 1C9

PAT RICHARD XCERT SOFTWORE、INC。SUITE 1001-701 W. GEORGIA VANCOUVER、BC CANADA V6G 1C9

   EMail: patr@xcert.com
        
6. 完全な著作権声明

Copyright (C) The Internet Society (1999). All Rights Reserved.

Copyright(c)The Internet Society(1999)。無断転載を禁じます。

This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.

このドキュメントと翻訳は他の人にコピーされて提供される場合があります。また、それについてコメントまたは説明する派生作品、またはその実装を支援することは、いかなる種類の制限なしに、準備、コピー、公開、および部分的に配布される場合があります。、上記の著作権通知とこの段落がそのようなすべてのコピーとデリバティブ作品に含まれている場合。ただし、このドキュメント自体は、インターネット協会や他のインターネット組織への著作権通知や参照を削除するなど、いかなる方法でも変更できない場合があります。インターネット標準プロセスに従うか、英語以外の言語に翻訳するために必要な場合に従う必要があります。

The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.

上記の限られた許可は永続的であり、インターネット社会またはその後継者または譲受人によって取り消されることはありません。

This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.

この文書と本書に含まれる情報は、「現状」に基づいて提供されており、インターネット社会とインターネットエンジニアリングタスクフォースは、ここにある情報の使用が行われないという保証を含むがこれらに限定されないすべての保証を否認します。特定の目的に対する商品性または適合性の権利または黙示的な保証を侵害します。

Acknowledgement

謝辞

Funding for the RFC Editor function is currently provided by the Internet Society.

RFCエディター機能の資金は現在、インターネット協会によって提供されています。