[要約] RFC 3029は、インターネットX.509公開鍵基盤データ検証および認証サーバープロトコルに関する仕様です。このRFCの目的は、データの検証と認証を行うためのサーバープロトコルを定義することです。
Network Working Group C. Adams
Request for Comments: 3029 Entrust Technologies
Category: Experimental P. Sylvester
EdelWeb SA - Groupe ON-X Consulting
M. Zolotarev
Baltimore Technologies Pty Limited
R. Zuccherato
Entrust Technologies
February 2001
Internet X.509 Public Key Infrastructure Data Validation and Certification Server Protocols
インターネットX.509公開キーインフラストラクチャデータ検証と認定サーバープロトコル
Status of this Memo
本文書の位置付け
This memo defines an Experimental Protocol for the Internet community. It does not specify an Internet standard of any kind. Discussion and suggestions for improvement are requested. Distribution of this memo is unlimited.
このメモは、インターネットコミュニティの実験プロトコルを定義します。いかなる種類のインターネット標準を指定しません。改善のための議論と提案が要求されます。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2001). All Rights Reserved.
Copyright(c)The Internet Society(2001)。無断転載を禁じます。
Abstract
概要
This document describes a general Data Validation and Certification Server (DVCS) and the protocols to be used when communicating with it. The Data Validation and Certification Server is a Trusted Third Party (TTP) that can be used as one component in building reliable non-repudiation services.
このドキュメントでは、一般的なデータ検証と認証サーバー(DVCS)と、通信するときに使用するプロトコルについて説明します。データ検証および認証サーバーは、信頼できる非和解サービスの構築に1つのコンポーネントとして使用できる信頼できるサードパーティ(TTP)です。
Useful Data Validation and Certification Server responsibilities in a PKI are to assert the validity of signed documents, public key certificates, and the possession or existence of data.
PKIの有用なデータ検証と認証サーバーの責任は、署名されたドキュメントの有効性、公開鍵証明書、およびデータの所有または存在を主張することです。
Assertions created by this protocol are called Data Validation Certificates (DVC).
このプロトコルによって作成されたアサーションは、データ検証証明書(DVC)と呼ばれます。
We give examples of how to use the Data Validation and Certification Server to extend the lifetime of a signature beyond key expiry or revocation and to query the Data Validation and Certification Server regarding the status of a public key certificate. The document includes a complete example of a time stamping transaction.
データ検証と認証サーバーを使用して、署名の寿命をキーの有効期限または取り消しを超えて延長し、公開キー証明書のステータスに関するデータ検証と認証サーバーを照会する方法の例を示します。このドキュメントには、タイムスタンピングトランザクションの完全な例が含まれています。
Table of Contents
目次
1. Introduction ................................................. 2
2. Services provided by DVCS .................................... 4
2.1 Certification of Possession of Data ........................ 4
2.2 Certification of Claim of Possession of Data ............... 4
2.3 Validation of Digitally Signed Documents ................... 4
2.4 Validation of Public Key Certificates ...................... 5
3. Data Certification Server Usage and Scenarii ................. 5
4. Functional Requirements for DVCS ............................. 7
5. Data Certification Server Transactions ....................... 7
6. Identification of the DVCS ................................... 8
7. Common Data Types ............................................ 9
7.1 Version .................................................... 9
7.2 DigestInfo ................................................. 10
7.3. Time Values ............................................... 10
7.4. PKIStatusInfo ............................................. 11
7.5. TargetEtcChain ............................................ 11
7.6. DVCSRequestInformation .................................... 12
7.7. GeneralName and GeneralNames .............................. 13
8. Data Validation and Certification Requests ................... 13
9. DVCS Responses ............................................... 17
9.1. Data Validation Certificate ............................... 18
9.2. DVCS Error Notification ................................... 21
10. Transports .................................................. 22
10.1 DVCS Protocol via HTTP or HTTPS ........................... 22
10.2 DVCS Protocol Using Email ................................. 22
11. Security Considerations ..................................... 23
12. Patent Information .......................................... 23
13. References .................................................. 25
14. Authors' Addresses .......................................... 26
APPENDIX A - PKCS #9 Attribute .................................. 27
APPENDIX B - Signed document validation ......................... 27
APPENDIX C - Verifying the Status of a Public Key Certificate ... 28
Appendix D - MIME Registration .................................. 30
Appendix E - ASN.1 Module using 1988 Syntax ..................... 31
Appendix F - Examples ........................................... 34
Appendix G - Acknowledgements ................................... 50
Full Copyright Statement ........................................ 51
This document is the result of work that has been proposed and discussed within the IETF PKIX working group. The authors and some members of the group felt that promoting the rather new concepts into the standards process seemed premature. The concepts presented have been stable for some time and partially implemented. It was agreed that a publication as experimental RFC was an appropriate means to get a stable reference document to permit other implementations to occur.
このドキュメントは、IETF PKIXワーキンググループ内で提案および議論された作業の結果です。著者とグループの一部のメンバーは、かなり新しい概念を標準プロセスに促進することは時期尚早に思えたと感じました。提示された概念はしばらく安定しており、部分的に実装されています。実験RFCとしての出版物は、他の実装が発生することを許可する安定した参照文書を取得するための適切な手段であることが合意されました。
The key words "MUST", "MUST NOT", "REQUIRED", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document (in uppercase, as shown) are to be interpreted as described in [RFC2119].
「必須」、「「必要」、「必須」、「必要」、「はない」、「必要」、「推奨」、「5月」、および「オプション」(上記のように、図示)は次のとおりです。[RFC2119]で説明されているように解釈されます。
A Data Validation and Certification Server (DVCS) is a Trusted Third Party (TTP) providing data validation services, asserting correctness of digitally signed documents, validity of public key certificates, and possession or existence of data.
データ検証および認定サーバー(DVCS)は、データ検証サービスを提供する信頼できるサードパーティ(TTP)であり、デジタル署名されたドキュメントの正しさ、公開キー証明書の有効性、およびデータの所有または存在を主張します。
As a result of the validation, a DVCS generates a Data Validation Certificate (DVC). The data validation certificate can be used for constructing evidence of non-repudiation relating to the validity and correctness of an entity's claim to possess data, the validity and revocation status of an entity's public key certificate and the validity and correctness of a digitally signed document.
検証の結果、DVCSはデータ検証証明書(DVC)を生成します。データ検証証明書は、データを所有するというエンティティの主張の有効性と正確性、エンティティの公開鍵証明書の有効性と取り消しステータス、およびデジタル署名されたドキュメントの有効性と正確性に関する非控除の証拠を構築するために使用できます。
Services provided by a DVCS do not replace the usage of CRLs and OCSP for public key certificate revocation checking in large open environments, due to concerns about the scalability of the protocol.
DVCが提供するサービスは、プロトコルのスケーラビリティに関する懸念のため、大規模なオープン環境での公開キーの証明書の取り消しチェックにCRLとOCSPの使用を置き換えるものではありません。
It should be rather used to support non-repudiation or to supplement more traditional services concerning paperless document environments. The presence of a data validation certificate supports non-repudiation by providing evidence that a digitally signed document or public key certificate was valid at the time indicated in the DVC.
むしろ、非和解をサポートしたり、ペーパーレス文書環境に関するより伝統的なサービスを補うために使用する必要があります。データ検証証明書の存在は、DVCで示された時点でデジタル署名されたドキュメントまたは公開鍵証明書が有効であるという証拠を提供することにより、非控除をサポートします。
A DVC validating a public key certificate can for example be used even after the public key certificate expires and its revocation information is no longer or not easily available. Determining the validity of a DVC is assumed to be a simpler task, for example, if the population of DVCS is significantly smaller than the population of public key certificate owners.
たとえば、公開鍵証明書を検証するDVCは、公開鍵証明書が期限切れになり、その取り消し情報がもはや簡単に入手できなくなった後でも使用できます。DVCの妥当性を判断することは、たとえば、DVCの母集団が公開キーの証明書所有者の母集団よりも大幅に小さい場合、より単純なタスクであると想定されています。
An important feature of the protocol is that DVCs can be validated by using the same protocol (not necessarily using the same service), and the validity of a signed document, in particular a DVC, can also be determined by means other than by verifying its signature(s), e.g., by comparing against an archive.
プロトコルの重要な特徴は、DVCSを同じプロトコル(必ずしも同じサービスを使用しているわけではない)を使用して検証できることであり、署名されたドキュメント、特にDVCの有効性は、そのことを確認する以外の手段で決定できることです。たとえば、アーカイブと比較することにより、署名。
The production of a data validation certificate in response to a signed request for validation of a signed document or public key certificate also provides evidence that due diligence was performed by the requester in validating a digital signature or public key certificate.
署名されたドキュメントまたは公開キー証明書の検証のための署名された要求に応じたデータ検証証明書の作成は、デジタル署名または公開キー証明書の検証においてリクエスターによってデューデリジェンスが実行されたという証拠も提供します。
This document defines the use of digital signatures to insure the authenticity of documents and DVCs, and uses a corresponding terminology; the use of other methods to provide evidence for authenticity is not excluded, in particular it is possible to replace a SignedData security envelope by another one.
このドキュメントでは、ドキュメントとDVCの信頼性を保証するためのデジタル署名の使用を定義し、対応する用語を使用します。信頼性の証拠を提供するために他の方法を使用することは除外されていません。特に、SignedDataセキュリティエンベロープを別の方法で置き換えることは可能です。
The current specification defines 4 types of validation and certification services:
現在の仕様では、4種類の検証および認証サービスを定義します。
- Certification of Possession of Data (cpd), - Certification of Claim of Possession of Data (ccpd), - Validation of Digitally Signed Document (vsd), and - Validation of Public Key Certificates (vpkc).
- データの所有の認証(CPD)、 - データの所有権(CCPD)の請求の認証、 - デジタル署名ドキュメント(VSD)の検証、および - 公開キー証明書(VPKC)の検証。
A DVCS MUST support at least a subset of these services. A DVCS may support a restricted vsd service allowing to validate data validation certificates.
DVCは、これらのサービスの少なくともサブセットをサポートする必要があります。DVCは、データ検証証明書を検証できる制限付きVSDサービスをサポートする場合があります。
On completion of each service, the DVCS produces a data validation certificate - a signed document containing the validation results and trustworthy time information.
各サービスが完了すると、DVCSはデータ検証証明書を作成します。これは、検証結果と信頼できる時間情報を含む署名ドキュメントです。
The Certification of Possession of Data service provides evidence that the requester possessed data at the time indicated and that the actual data were presented to the Data Validation Server.
データサービスの所有の認証は、要求者が指定された時点でデータを所有していたという証拠と、実際のデータがデータ検証サーバーに提示されたという証拠を提供します。
The Certification of Claim of Possession of Data service is similar to the previous one, except that the requester does not present the data itself but a message digest.
データサービスの所有権の請求の認証は、リクエスターがデータ自体ではなくメッセージダイジェストを提示することを除いて、以前のものと類似しています。
The Validation of Digitally Signed Document service is used when validity of a signed document is to be asserted.
デジタル署名されたドキュメントサービスの検証は、署名されたドキュメントの有効性を主張する場合に使用されます。
The DVCS verifies all signatures attached to the signed document using all appropriate status information and public key certificates. The DVCS verifies the mathematical correctness of all signatures attached to the document and also checks whether the signing entities can be trusted, for example by validating the full certification path from the signing entities to a trusted point (e.g., the DVCS's CA, or the root CA in a hierarchy).
DVCSは、すべての適切なステータス情報と公開キー証明書を使用して、署名されたドキュメントに添付されたすべての署名を検証します。DVCSは、ドキュメントに添付されたすべての署名の数学的正確性を検証し、署名エンティティから信頼できるポイント(例:DVCSのCA、またはルート)までの完全な認証パスを検証することにより、署名エンティティを信頼できるかどうかを確認します。階層内のca)。
The DVCS may be able to rely on relevant CRLs or may need to supplement this with access to more current status information from the CAs for example by accessing an OCSP service, a trusted directory service, or other DVCS services.
DVCは、関連するCRLSに依存することができる場合があります。たとえば、OCSPサービス、信頼できるディレクトリサービス、またはその他のDVCSサービスにアクセスすることにより、CASからのより多くの現在のステータス情報へのアクセスでこれを補完する必要がある場合があります。
The DVCS will perform verification of all signatures attached to the signed document. A failure of the verification of one of the signatures does not necessarily result in the failure of the entire validation, and vice versa, a global failure may occur if the document has an insufficient number of signatures.
DVCは、署名されたドキュメントに添付されたすべての署名の検証を実行します。署名の1つの検証の障害が必ずしも検証全体の障害をもたらすわけではなく、その逆も同様であり、ドキュメントに署名が不十分な場合、グローバルな障害が発生する可能性があります。
The Validation of Public Key Certificates service is used to verify and assert the validity (according to [RFC2459]) of one or more public key certificates at the specified time.
公開キー証明書サービスの検証は、指定された時間に1つ以上の公開キー証明書の有効性([RFC2459]に従って)を検証および主張するために使用されます。
When verifying a public key certificate, the DVCS verifies that the certificate included in the request is a valid certificate and determines its revocation status at a specified time. DVS checks the full certification path from the certificate's issuer to a trusted point. Again, the DVCS MAY be able to rely on external information (CRL, OCSP, DVCS).
公開鍵証明書を確認する場合、DVCSは、リクエストに含まれる証明書が有効な証明書であることを確認し、指定された時間に取り消しステータスを決定します。DVSは、証明書の発行者から信頼できるポイントまでの完全な認定パスをチェックします。繰り返しますが、DVCは外部情報(CRL、OCSP、DVCS)に依存できる場合があります。
3. Data Certification Server Usage and Scenarii.
3. データ認証サーバーの使用とシナリ。
It is outside the scope of this document to completely describe different operational scenarii or usages for DVCS.
このドキュメントの範囲外で、DVCのさまざまな運用シナリまたは使用法を完全に説明します。
See Appendix B and C for a set of some basic examples and use cases.
いくつかの基本的な例とユースケースのセットについては、付録BとCを参照してください。
The Validate Signed Document service can be used to support non-repudiation services, to allow use of the signed document beyond public key certificate revocation or expiry, or simply to delegate signature validation to a trusted central (company wide) service.
検証済みの署名済みドキュメントサービスを使用して、非repudiationサービスをサポートし、公開キーの証明書の取り消しまたは有効期限を超えて署名されたドキュメントの使用を許可するか、単に信頼できるセントラル(会社全体)サービスに署名検証を委任することができます。
The Validate Public Key Certificate service can be used when timely information regarding a certificate's revocation status is required (e.g., high value funds transfer or the compromise of a highly sensitive key) or when evidence supporting non-repudiation is required.
証明書の取り消しステータスに関するタイムリーな情報が必要な場合(たとえば、高価値のキーの妥協など)、または非和解をサポートする非和解をサポートする証拠が必要な場合、検証済みの公開キー証明書サービスを使用できます。
A data validation certificate may be used to simplify the validation of a signature beyond the expiry or subsequent revocation of the signing certificate: a Data validation certificate used as an authenticated attribute in a signature includes an additional assertion about the usability of a certificate that was used for signing. In order to validate such a signature it may be sufficient to only validate the data validation certificate.
データ検証証明書を使用して、署名証明書の有効期限またはその後の取り消しを超えた署名の検証を簡素化することができます。署名用。このような署名を検証するには、データ検証証明書のみを検証するだけで十分かもしれません。
A DVCS may include additional key exchange certificates in a data validation certificate to validate a key exchange certificate in order to provide to an application a set of additional authorised recipients for which a session key should also be encrypted. This can be used for example to provide central management of a company wide recovery scheme. Note, that the additional certificates may not only depend on the requested certificate, but also on the requester's identity.
DVCSには、データ検証証明書に追加のキー交換証明書を含めて、キー交換証明書を検証して、セッションキーも暗号化する必要がある追加の認定受信者のセットをアプリケーションに提供することができます。これは、たとえば、会社全体の回復スキームの中央管理を提供するために使用できます。追加の証明書は、要求された証明書だけでなく、要求者の身元にも依存する場合があることに注意してください。
The Certification of Claim of Possession of Data service is also known as time stamping.
データサービスの所持の請求の認証は、タイムスタンピングとも呼ばれます。
The Certification of Possession of Data service can be used to assert legal deposit of documents, or to implement archival services as a trusted third party service.
データサービスの所有の認証は、文書の法的預金を主張するために、または信頼できるサードパーティサービスとしてアーカイブサービスを実装するために使用できます。
The Data Validation and Certification Server Protocols can be used in different service contexts. Examples include company-wide centralised services (verification of signatures, certification of company certificates), services to cooperate in a multi-organization community, or general third party services for time stamping or data archival.
データ検証および認証サーバープロトコルは、さまざまなサービスコンテキストで使用できます。例には、全社的な集中サービス(署名の確認、会社証明書の認定)、マルチ編成コミュニティで協力するサービス、またはタイムスタンピングまたはデータアーカイブのための一般的なサードパーティサービスが含まれます。
An important application of DVCS is an enterprise environment where all security decisions are based on company wide rules. A company wide DVCS service can be used to delegate all technical decisions (e.g., path validation, trust configuration) to a centrally managed service.
DVCSの重要なアプリケーションは、すべてのセキュリティ決定が会社全体のルールに基づいているエンタープライズ環境です。会社全体のDVCSサービスを使用して、すべての技術的決定(パス検証、信頼構成など)を中央管理サービスに委任できます。
In all cases, the trust that PKI entities have in the Data Validation and Certification Server is transferred to the contents of the Data Validation Certificate (just as trust in a CA is transferred to the public key certificates that it issues).
すべての場合において、PKIエンティティがデータ検証と認証サーバーに持っている信頼は、データ検証証明書の内容に転送されます(CAの信頼が発行する公開キー証明書に転送されるように)。
A DVCS service may be combined with or use archiving and logging systems, in order to serve as a strong building block in non-repudiation services. In this sense it can be regarded as an Evidence Recording Authority [ISO-NR].
DVCSサービスは、非繰り返しサービスの強力なビルディングブロックとして機能するために、アーカイブおよびロギングシステムと組み合わせるか使用できます。この意味で、それは証拠記録機関[ISO-NR]と見なすことができます。
The DVCS MUST
DVCは必要です
1. provide a signed response in the form of a data validation certificate to the requester, as defined by policy, or an error response. The DVCS service definition and the policy define how much information that has been used by the DVCS to generate the response will be included in a data validation certificate, e.g., public key certificates, CRLs, and responses from other OCSP servers, DVCS, or others.
1. ポリシーまたはエラー応答で定義されているように、要求者にデータ検証証明書の形式で署名された応答を提供します。DVCSサービスの定義とポリシーは、DVCSが応答を生成するために使用した情報の量を定義します。たとえば、他のOCSPサーバー、DVC、またはその他の公開キー証明書、CRL、および回答などのデータ検証証明書に含まれます。。
2. indicate in the data validation certificate whether or not the signed document, the public key certificate(s), or the data were validated, and, if not, the reason why the verification failed.
2. データ検証証明書に、署名されたドキュメント、公開鍵証明書、またはデータが検証されたかどうか、およびそうでない場合、検証が失敗した理由を示します。
3. include a strictly monotonically increasing serial number in each data validation certificate.
3. 各データ検証証明書に厳密に単調に増加するシリアル番号を含めます。
4. include a time of day value or a time stamp token into each data validation certificate.
4. 各データ検証証明書に時刻価値またはタイムスタンプトークンを含めます。
5. sign each data certification token using a key that has been certified with a dvcs signing extended key purpose, and include a reference to this certificate as a signed attribute in the signature.
5. 各データ認証トークンに署名したDVCSに署名された拡張重要な目的で認定されたキーを使用して、この証明書への参照を署名の署名属性として含めます。
6. check the validity of its own signing key and certificate before delivering data validation certificates and MUST not deliver data validation certificate in case of failure.
6. データ検証証明書を配信する前に、独自の署名キーと証明書の有効性を確認し、失敗の場合にデータ検証証明書を提供してはなりません。
A DVCS SHOULD include within each data validation certificate a policy identifier to determine the trust and validation policy used for DVC's signature.
DVCSには、各データ検証証明書内に、DVCの署名に使用される信頼と検証ポリシーを決定するポリシー識別子を含める必要があります。
A DVCS transaction begins with a client preparing a Data Validation and Certification Request. The request always contains data for which validity, correctness or possession is to be certified.
DVCSトランザクションは、クライアントがデータ検証と認証リクエストを準備することから始まります。リクエストには、有効性、正確性、または所有が認定されるデータが常に含まれています。
The request MAY be encapsulated using a security envelope to provide for authentication of both requester and server. Requester authentication can be achieved by several of the formats described in CMS, in particular, signedData.
リクエストは、リクエスターとサーバーの両方の認証を提供するために、セキュリティエンベロープを使用してカプセル化される場合があります。要求者認証は、特にCMSで説明されているいくつかの形式、特にSignedDataによって達成できます。
The DVCS client chooses an appropriate transport mechanism to convey the requests to a DVCS. It may also be necessary to choose a transport mechanism providing confidentiality and, in particular, allowing authentication of the DVCS by the requestor, e.g., TLS or CMS or S/MIME encryption.
DVCSクライアントは、リクエストをDVCSに伝えるための適切なトランスポートメカニズムを選択します。また、機密性を提供する輸送メカニズムを選択し、特にリクエスターによるDVCの認証を可能にする必要がある場合があります。たとえば、TLSまたはCMSまたはS/MIME暗号化。
If the request is valid, the DVCS performs all necessary verifications steps, and generates a Data Validation Certificate (DVC), and sends a response message containing the DVC back to the requestor.
リクエストが有効な場合、DVCは必要なすべての検証手順を実行し、データ検証証明書(DVC)を生成し、DVCを含む応答メッセージをリクエスターに送信します。
The Data Validation Certificate is formed as a signed document (CMS SignedData).
データ検証証明書は、署名されたドキュメント(CMS SignedData)として形成されます。
As with the request, it may be necessary to choose a transport mechanism that provides for confidentiality to carry the DVC. DVCs are not necessarily transported the same way as requests, e.g., they can be returned using e-mail after an online request received via HTTPS.
リクエストと同様に、DVCを運ぶための機密性を提供する輸送メカニズムを選択する必要がある場合があります。DVCは、要求と同じ方法で必ずしも輸送されるわけではありません。たとえば、HTTPSを介して受信したオンラインリクエストの後に電子メールを使用して返品できます。
If the request was invalid, the DVCS generates a response message containing an appropriate error notification.
要求が無効である場合、DVCSは適切なエラー通知を含む応答メッセージを生成します。
Upon receiving the response, the requesting entity SHOULD verify its validity, i.e., whether it contains an acceptable time, the correct name for the DVCS, the correct request information and message imprint, a valid signature, and satisfactory status, service and policy fields.
応答を受信すると、要求エンティティはその有効性、つまり、許容可能な時間、DVCの正しい名前、正しい要求情報とメッセージの刷り込み、有効な署名、満足のいくステータス、サービス、ポリシーフィールドを含むかどうかを確認する必要があります。
When verifying the validity of a DVC, it is up to the requestor's application to check whether a DVCS's signing certificate is valid. Depending on the usage environment, different methods, online or out of band, e.g., CRLs, DVCS, or OCSP, may have to be used.
DVCの有効性を確認する場合、DVCSの署名証明書が有効かどうかを確認するのは要求者の申請次第です。使用環境に応じて、さまざまな方法、オンラインまたはバンド外の方法、たとえばCRL、DVC、またはOCSPを使用する必要がある場合があります。
After all checks have passed, the data validation certificate can be used to authenticate the correctness or possession of the corresponding data.
すべてのチェックが合格した後、データ検証証明書を使用して、対応するデータの正確性または所有を認証できます。
A DVCS may return more than one DVC corresponding to one request. In this case, all but one request have a global status of 'WAITING'.
DVCは、1つのリクエストに対応する複数のDVCを返す場合があります。この場合、1つの要求を除くすべてのリクエストには、「待機」というグローバルなステータスがあります。
In order to be able to import elements from dvcs the following object identifier is used as a ASN.1 module identifier.
DVCSから要素をインポートできるようにするために、次のオブジェクト識別子がASN.1モジュール識別子として使用されます。
id-mod-dvcs OBJECT IDENTIFIER ::= {iso(1) identified-organization(3)
dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) 15}
The DVCS that use SignedData to provide authentication for DVCs MUST sign all data certification messages with a key whose corresponding certificate MUST contain the extended key usage field extension as defined in [RFC2459] Section 4.2.1.14 with KeyPurposeID having value id-kp-dvcs. This extension MUST be marked as critical.
SignedDataを使用してDVCSの認証を提供するDVCは、[RFC2459]セクション4.2.1.14で定義されているように、対応するキーの使用状況フィールド拡張を含む必要があるキーを使用してすべてのデータ認証メッセージに署名する必要があります。この拡張機能は重要であるとマークする必要があります。
The Data Validation Certificate MUST contain an ESSCertID authenticated attribute for the certificate used by the DVCS for signing.
データ検証証明書には、署名にDVCSが使用する証明書のesscertid認証属性を含める必要があります。
id-kp-dvcs OBJECT IDENTIFIER ::= {iso(1) identified-organization(3)
dod(6) internet(1) security(5) mechanisms(5) pkix(7) kp(3) 10}
Consistent KeyUsage bits:
一貫したkeyusageビット:
digitalSignature, nonRepudiation, keyCertSign, cRLSign
DigitalSignature、非控除、keycertsign、crlsign
A DVCS's certificate MAY contain an Authority Information Access extension [RFC2459] in order to convey the method of contacting the DVCS. The accessMethod field in this extension MUST contain the OID id-ad-dvcs:
DVCSの証明書には、DVCSに接触する方法を伝えるために、権限の情報アクセス拡張[RFC2459]が含まれる場合があります。この拡張機能のAccessMethodフィールドには、OID ID-AD-DVCSを含める必要があります。
id-ad-dvcs OBJECT IDENTIFIER ::= {iso(1) identified-organization(3)
dod(6) internet(1) security(5) mechanisms(5) pkix(7) ad(48) 4}
The value of the 'accessLocation' field defines the transport (e.g., an URI) used to access the DVCS.
「アクセスロケーション」フィールドの値は、DVCSへのアクセスに使用される輸送(URIなど)を定義します。
There are several common data types that occur in the request and the response data structures. These data types are either defined by this document or imported from other sources. This chapter defines and describes these types and lists their usages.
リクエストおよび応答データ構造で発生するいくつかの一般的なデータ型があります。これらのデータ型は、このドキュメントで定義されるか、他のソースからインポートされます。この章では、これらのタイプを定義および説明し、それらの使用法をリストします。
7.1 Version:
7.1 バージョン:
The request and the response include an optional integer field specifying the version of the data structure. For both fields the value is 1, or the field is not present at all in this version of the protocol.
リクエストと応答には、データ構造のバージョンを指定するオプションの整数フィールドが含まれます。両方のフィールドの値は1です。または、このバージョンのプロトコルにはフィールドがまったく存在しません。
7.2 DigestInfo:
7.2 Digestinfo:
This element is defined in [RFC2315]. Since the status of that document is informational, the definition is repeated here:
この要素は[RFC2315]で定義されています。そのドキュメントのステータスは情報提供であるため、定義はここで繰り返されます。
DigestInfo ::= SEQUENCE {
digestAlgorithm DigestAlgorithmIdentifier,
digest Digest }
Digest ::= OCTET STRING
The fields of type DigestInfo have the following meanings:
タイプDigestinfoのフィールドには、次の意味があります。
- The field 'digestAlgorithm' identifies the message-digest algorithm (and any associated parameters) under which data are digested.
- フィールドの「消化器gorthm」は、データが消化されるメッセージダイジストアルゴリズム(および関連するパラメーター)を識別します。
- The field 'digest' is the result of the message-digesting process.
- フィールドの「ダイジェスト」は、メッセージダイニングプロセスの結果です。
A DigestInfo is used in two places:
Digestinfoは2つの場所で使用されます。
- as a data portion for the ccpd service, and
- CCPDサービスのデータ部分として、および
- in all a data validation certificates to hold a digest of the data portion of the corresponding request or a copy of the data field for a ccpd service.
- すべてのデータ検証証明書において、CCPDサービスの対応する要求のデータ部分またはデータフィールドのコピーを保持するためのすべてのデータ検証証明書。
Indicators of time can be present in requests and responses. In the most simple form, the time is represented as GeneralizedTime where fractions of seconds are allowed.
リクエストと応答には、時間の指標が存在する可能性があります。最も単純な形式では、時間は秒の分数が許可されている一般化時間として表されます。
An alternate form is a timeStampToken from a TSA, or as a DVC (or some other token) from another third party service.
別のフォームは、TSAからのタイムスタンプが、または別のサードパーティサービスからDVC(または他のトークン)としてです。
It is a matter of policy whether a DVCS tries to interpret or validate a Time Value in a request.
DVCSがリクエストの時間値を解釈または検証しようとするかどうかはポリシーの問題です。
DVCSTime ::= CHOICE {
genTime GeneralizedTime,
timeStampToken ContentInfo }
Future versions of the protocol MAY include additional time formats.
プロトコルの将来のバージョンには、追加の時間形式が含まれる場合があります。
Time values generated by the DVCS are increasing but not necessarily unique, an order among DVCs is defined by serial numbers.
DVCによって生成される時間値は増加していますが、必ずしも一意ではありません。DVCの順序はシリアル番号によって定義されます。
This structure is defined in [RFC2510]. It is used as component of the 'chain' field of a TargetEtcChain structure, and as a global status indicator in the DVCSResponse structure. Every occurrence of PKIStatusInfo is generated by the responding DVCS to reflect the result of some local verification.
この構造は[RFC2510]で定義されています。これは、TargetEtCchain構造の「チェーン」フィールドのコンポーネントとして、およびDVCSResponse構造のグローバルステータスインジケーターとして使用されます。Pkistatusinfoのすべての発生は、応答するDVCによって生成され、局所検証の結果を反映しています。
A TargetEtcChain structure contains certificates and other indicators to describe either (in a request for a cpkc service) information to be validated, or the result of the verifications. The structure may also contain information about policies and policy mappings.
TargetEtCchain構造には、検証される(CPKCサービスの要求で)(CPKCサービスの要求で)検証の結果、または検証の結果を記述する証明書およびその他のインジケーターが含まれています。構造には、ポリシーとポリシーマッピングに関する情報も含まれている場合があります。
The details about how to fill in and to interpret the structure are defined later for each service.
構造を記入し、解釈する方法の詳細は、各サービスに対して後で定義されます。
The 'pathProcInput' field contains information about policies and policy mapping to be used or used during a validation.
「Pathprocinput」フィールドには、検証中に使用または使用するポリシーとポリシーマッピングに関する情報が含まれています。
In a response, the 'pkistatus' and `certstatus' choices can only occur in the 'chain' sequence. If present, they contain the result of a local verification of the immediately preceding element, or of the target value, if it is the first element in the 'chain' sequence. If no 'pkistatus' or 'certstatus' is present, the DVCS considers all elements in the 'chain' as trustworthy. Note, that there may be a valid OCSP response or DVC indicating an invalid certificate.
応答として、「Pkistatus」と「Certstatus」の選択は、「チェーン」シーケンスでのみ発生する可能性があります。存在する場合、「チェーン」シーケンスの最初の要素である場合、直前の要素の局所検証またはターゲット値の結果が含まれています。「pkistatus」または「certstatus」が存在しない場合、DVCは「チェーン」のすべての要素を信頼できると見なします。無効な証明書を示す有効なOCSP応答またはDVCがある場合があることに注意してください。
TargetEtcChain ::= SEQUENCE {
target CertEtcToken,
chain SEQUENCE SIZE (1..MAX) OF
CertEtcToken OPTIONAL,
pathProcInput [0] PathProcInput OPTIONAL }
PathProcInput ::= SEQUENCE {
acceptablePolicySet SEQUENCE SIZE (1..MAX) OF
PolicyInformation,
inhibitPolicyMapping BOOLEAN DEFAULT FALSE,
explicitPolicyReqd BOOLEAN DEFAULT FALSE }
CertEtcToken ::= CHOICE {
certificate [0] IMPLICIT Certificate , esscertid [1] ESSCertId , pkistatus [2] IMPLICIT PKIStatusInfo , assertion [3] ContentInfo , crl [4] IMPLICIT CertificateList, ocspcertstatus [5] IMPLICIT CertStatus, oscpcertid [6] IMPLICIT CertId , oscpresponse [7] IMPLICIT OCSPResponse, capabilities [8] SMIMECapabilities, extension Extension }
証明書[0]暗黙的証明書、esscertid [1] esscertid、pkistatus [2] Implict pkistatusinfo、assertion [3] contentinfo、crl [4] crl [4] ocspcertstatus [5] emblicit cortstatus、oscpcertid [6] intlicit certid、osppresposs [7]]暗黙のocspresponse、能力[8] smimecapability、拡張拡張}
Certificate, PolicyInformation and CertificateList are defined in [RFC2459]. ESSCertId is defined in [RFC2634]. CertId, OCSPResponse and CertStatus are defined in [RFC2560]. PKIStatusField is defined in [RFC2510].
証明書、ポリシー情報、および証明書リストは[RFC2459]で定義されています。esscertidは[RFC2634]で定義されています。certid、ocspresponse、およびcertstatusは[RFC2560]で定義されています。Pkistatusfieldは[RFC2510]で定義されています。
The choice 'assertion' can contain a data validation certificate, or a timeStamp, or other assertions.
選択「アサーション」には、データ検証証明書、タイムスタンプ、またはその他のアサーションを含めることができます。
The choices 'assertion', 'ocspresponse' and 'crl' are provided by services external to the responding DVCS. The choices 'certStatus' and 'pkistatus' reflect decisions made directly by the responding DVCS.
選択の「主張」、「Ocspresponse」、および「CRL」は、応答するDVCの外部のサービスによって提供されます。「certstatus」と「pkistatus」の選択は、応答するDVCによって直接行われた決定を反映しています。
As a replacement for certificates, certification identifiers (ESSCertId, CertId) MAY be used in requests and responses, if this is sufficient to perform the service, e.g., when the corresponding certificates are provided elsewhere in a request or response (as part of the SignedData type).
証明書の代替品として、これがサービスを実行するのに十分な場合、リクエストまたは応答の他の場所で提供される場合(SignedDataの一部として、認定識別子(ESSCERTID、CERTID)がリクエストと回答で使用される場合があります。タイプ)。
Certificate or certification identifiers of certification authorities MAY occur in any order and MAY represent several certification chains.
認証当局の証明書または認証識別子は、任意の順序で発生する場合があり、いくつかの認定チェーンを表す場合があります。
The choice 'capabilities' can be used to indicate SMIMECapabilities. It applies to the certificate identified by the preceding element in the sequence.
選択の「機能」を使用して、smimeCapabilityを示すことができます。シーケンスの前の要素によって識別された証明書に適用されます。
A DVCSRequestInformation data structure contains general information about the Data Validation and Certification Request. This structure occurs in a request, and is also included in a corresponding Data Validation Certificate.
DVCSRequestInformationデータ構造には、データの検証と認証要求に関する一般的な情報が含まれています。この構造はリクエストで発生し、対応するデータ検証証明書にも含まれています。
DVCSRequestInformation ::= SEQUENCE {
version INTEGER DEFAULT 1 ,
service ServiceType,
nonce INTEGER OPTIONAL,
requestTime DVCSTime OPTIONAL,
requester [0] GeneralNames OPTIONAL,
requestPolicy [1] PolicyInformation OPTIONAL,
dvcs [2] GeneralNames OPTIONAL,
dataLocations [3] GeneralNames OPTIONAL,
extensions [4] IMPLICIT Extensions OPTIONAL
}
The ServiceType type enumerates the DVCS service type of a request. See chapter 2 for the description of the services.
ServiceTypeタイプは、リクエストのDVCSサービスタイプを列挙します。サービスの説明については、第2章を参照してください。
ServiceType ::= ENUMERATED { cpd(1), vsd(2), cpkc(3), ccpd(4) }
There are several occurrences of SEQUENCES of GeneralName and GeneralNames. These structures are imported from [RFC2459].
GeneralNameとGeneralNamesのシーケンスのいくつかの発生があります。これらの構造は[RFC2459]からインポートされます。
A Data Validation and Certification request is a ContentInfo defined in [RFC2630].
データ検証と認証要求は、[RFC2630]で定義されているContentInfoです。
It may consist of a [RFC2630] content with a contenttype id-ct-DVCSRequestData signalling a DVCSRequestData,
DVCSRequestDataを信号するContentType ID-CT-DVCSREQUESTDATAを備えた[RFC2630]コンテンツで構成される場合があります。
id-ct-DVCSRequestData OBJECT IDENTIFIER ::= {iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) ct(1) 7}
These data are optionally encapsulated by contenttypes that provide for authentication and/or confidentiality.
これらのデータは、オプションで、認証および/または機密性を提供するContentTypesによってカプセル化されています。
This document describes the usage of a SignedData construct of [RFC2630] where the contenttype indicated in the eContentType of the encapContentInfo is id-ct-DVCSRequestData and the eContent of the encapContentInfo, carried as an octet string, contains a DVCSRequestData structure.
このドキュメントでは、[rfc2630]の署名data構築物の使用について説明します。ここでは、encapcontentinfoのecontenttypeに示されているコンテンツタイプがid-ct-dvcsrequestdataと、dvcsrequestdata構造を含むencapcontentinfoのエコネントです。
When using a SignedData structure, a Data Validation and Certification Request MAY contain several SignerInfo structures, and countersignature attributes depending on operational environments. When an end user client creates the request, there is one or zero SignerInfo. A relaying DVCS MAY add an additional signature or a countersignature attribute, or MAY use another encapsulation from [RFC2630] that provides for authentication and/or confidentiality.
SignedData構造を使用する場合、データの検証と認証要求には、いくつかのSignerINFO構造、および運用環境に応じてBountersignature属性が含まれる場合があります。エンドユーザークライアントがリクエストを作成すると、Signerinfoが1つまたはゼロになります。リレーするDVCSは、追加の署名またはcounterignature属性を追加する場合、または認証および/または機密性を提供する[RFC2630]の別のカプセル化を使用する場合があります。
The content of a request consists of a description of the desired service and additional parameters, the data to be validated, and an optional identifier of the request.
リクエストの内容は、目的のサービスの説明と追加のパラメーター、検証されるデータ、およびリクエストのオプションの識別子で構成されています。
DVCSRequest ::= SEQUENCE {
requestInformation DVCSRequestInformation,
data Data,
transactionIdentifier GeneralName OPTIONAL
}
The 'DVCSRequest.requestInformation' element contains general information about the request. It is filled in by the requester as follows:
「dvcsrequest.requestinformation」要素には、リクエストに関する一般的な情報が含まれています。次のようにリクエスターによって記入されます:
- The 'version' field is set to 1 or the field is absent in this version of the protocol.
- 「バージョン」フィールドは1に設定されているか、このバージョンのプロトコルにフィールドが存在しません。
The field 'service' contains the requested service.
フィールド「サービス」には、要求されたサービスが含まれています。
- The 'nonce' field MAY be used to provide additional protection against replay or content guessing attacks.
- 「ノンセ」フィールドを使用して、リプレイまたはコンテンツ推測攻撃に対する追加の保護を提供する場合があります。
- The 'requestTime' field MAY be used to indicate the time for which the requested service should be performed. For a vsd and cpkc service, it specifies the time for which the validity of a signed document or certicates is to be asserted. For the other service, the field is ignored by the DVCS. If the field is absent, the current time is assumed.
- 「要求タイム」フィールドを使用して、要求されたサービスを実行する時間を示すことができます。VSDおよびCPKCサービスの場合、署名されたドキュメントまたは証明書の有効性が主張される時間を指定します。他のサービスでは、フィールドはDVCSによって無視されます。フィールドがない場合、現在の時刻が想定されます。
- The value of the 'requester' field indicates the requesting entity.
- 「要求者」フィールドの値は、リクエストエンティティを示します。
The interpretation and usage of this field MUST be defined by the DVCS policy.
このフィールドの解釈と使用は、DVCSポリシーによって定義されなければなりません。
Some usage examples are:
いくつかの使用例は次のとおりです。
If the field is present, and the request is signed, a DVCS MAY require that the field MUST match the identity (subjectName or subjectAltName extension) of the corresponding signature certificate.
フィールドが存在し、リクエストが署名されている場合、DVCは、対応する署名証明書のID(subjectnameまたはsubjectaltname拡張機能)と一致する必要がある場合があります。
A request MAY be signed by a DVCS when relaying it to another DVCS.
DVCSを別のDVCに中継するときに、DVCSがリクエストに署名することができます。
When acting as a relay, a DVCS MAY add its own identity in the request relayed to another service provider, and it MAY remove the initial value.
リレーとして機能する場合、DVCは別のサービスプロバイダーにリレーしたリクエストに独自のIDを追加し、初期値を削除する場合があります。
- The 'requestPolicy' field SHOULD indicate the policy under which the validation is requested. This field MUST be checked by the DVCS to verify agreement with its own policy. The absence of this field indicates that any policy is acceptable.
- 「RequestPolicy」フィールドは、検証が要求されるポリシーを示す必要があります。このフィールドは、独自のポリシーとの合意を確認するために、DVCSによって確認する必要があります。このフィールドがないことは、ポリシーが許容できることを示しています。
- The 'dvcs' field MAY be used to indicate a list of DVCS which can be contacted to provide (additional) information or to perform additional operations necessary to produce the response.
- 「DVC」フィールドを使用して、(追加の)情報を提供するために連絡できるDVCのリストを示したり、応答を生成するために必要な追加操作を実行したりできます。
It is up to the DVCS policy whether to honor this field or not, and to define which choice of a general name is acceptable (e.g., an URL or a DN).
このフィールドを尊重するかどうか、そして一般名の選択が許容できるかどうか(たとえば、URLまたはDN)を定義するかどうかは、DVCSポリシー次第です。
- The 'dataLocations' field MAY be used to indicate where a copy of the 'data' field of the request or supplementary information can be obtained. The DVCS does not use this field for its own operation, the exact interpretation of this field is defined by applications.
- 「データロケーション」フィールドを使用して、リクエストの「データ」フィールドまたは補足情報のコピーをどこで取得できるかを示すことができます。DVCは独自の操作にこのフィールドを使用していません。このフィールドの正確な解釈は、アプリケーションによって定義されます。
- The 'requestTime' field MAY be used to indicate the time for which the requested service should be performed. For a vsd and cpkc service, it specifies the time for which the validity of a signed document or certicates is to be asserted. For the other service, the field is ignored by the DVCS. If the field is absent, the current time is assumed. The DVCS service may have a time limit or a delta time limit regarding current time which are specified in the local policy of the DVCS service.
- 「要求タイム」フィールドを使用して、要求されたサービスを実行する時間を示すことができます。VSDおよびCPKCサービスの場合、署名されたドキュメントまたは証明書の有効性が主張される時間を指定します。他のサービスでは、フィールドはDVCSによって無視されます。フィールドがない場合、現在の時刻が想定されます。DVCSサービスには、DVCSサービスのローカルポリシーで指定されている現在の時間に関する時間制限またはデルタ時間制限があります。
- The 'extensions' field MAY be used to include additional information. Extensions may be marked critical or not in order to indicate whether the DVCS is supposed to understand them. This document does not define extensions.
- 「拡張機能」フィールドを使用して、追加情報を含めることができます。DVCがそれらを理解することになっているかどうかを示すために、拡張機能が重要であるかどうかにはマークされるかどうか。このドキュメントでは、拡張機能を定義しません。
The DVCSRequest.data contains service-specific content, defined by each particular service provided by the DVCS.
DVCSRequest.Dataには、DVCSが提供する各特定のサービスで定義されたサービス固有のコンテンツが含まれています。
Depending on the requested service type, the field may contain a signed document, a list of certificates, a message digest or arbitrary data.
要求されたサービスタイプに応じて、フィールドには署名されたドキュメント、証明書のリスト、メッセージダイジェスト、または任意のデータが含まれる場合があります。
The following type is used:
次のタイプが使用されます。
Data ::= CHOICE {
message OCTET STRING ,
messageImprint DigestInfo,
certs SEQUENCE SIZE (1..MAX) OF
TargetEtcChain
}
The requester fills the 'data' element as follows:
要求者は、次のように「データ」要素を入力します。
- For a vsd service request, the requestor encapsulates a CMS SignedData object in the value octets of the 'message' choice.
- VSDサービスリクエストの場合、リクエスターは「メッセージ」選択の値でCMS SignedDataオブジェクトをカプセル化します。
It is up to the requester to decide whether and how to provide any certificate that may be needed to verify the signature(s) in the signedData object. A requester MAY add certificates to the encapsulated signedData object or in the certificate list of the request.
SignedDataオブジェクトの署名を検証するために必要な証明書を提供するかどうか、およびどのように提供するかを決定するのは要求者次第です。要求者は、カプセル化されたsignedDataオブジェクトまたはリクエストの証明書リストに証明書を追加する場合があります。
- For a cpkc service request the 'certs' choice is used.
- CPKCサービスリクエストの場合、「証明書」の選択が使用されます。
Each certificate to be verified MUST be included in a separate instance of TargetEtcChain. The 'TargetEtcChain.chain' field, if present, indicates one or more chains of trust that can be used to validate the certificate. The DVCS MAY choose to select a subset of certificates as certification path, or to ignore this field. The 'TargetEtcChain.pathProcInput' field, if present, indicates the acceptable policy set and initial settings for explicit-policy-indicator and inhibit-policy-mapping indicators to be used in X.509 public key certificate path validation (see [RFC2459]).
検証する各証明書は、TargetETCChainの別のインスタンスに含める必要があります。「TargetetCchain.chain」フィールドは、存在する場合、証明書の検証に使用できる1つ以上の信頼のチェーンを示します。DVCは、証明書のサブセットを認証パスとして選択するか、このフィールドを無視することを選択できます。「TargetETCChain.PathProcinput」フィールドは、存在する場合、X.509公開キー証明書のパス検証で使用される明示的ポリティインディケーターおよび阻害ポリティマッピングインジケーターの許容可能なポリシーセットと初期設定を示します([RFC2459を参照])。
Only the Certificate, ESSCertId, CertId or Extension choices of the TargetEtcChain can be used in the request.
リクエストでは、TargetETCChainの証明書、ESSCERTID、CERTID、または拡張の選択肢のみを使用できます。
The requester is responsible for providing sufficient information to the DVCS to identify the corresponding certificates.
リクエスターは、DVCSに十分な情報を提供して、対応する証明書を特定する責任があります。
- For a ccpd service the 'messageImprint' choice is used.
- CCPDサービスの場合、「messageImprint」選択が使用されます。
The hash algorithm indicated in the hashAlgorithm field SHOULD be a "strong" hash algorithm (that is, it SHOULD be one-way and collision resistant). It is up to the Data Certification Server to decide whether or not the given hash algorithm is sufficiently "strong" (based on the current state of knowledge in cryptanalysis and the current state of the art in computational resources, for example).
ハスハルゴリズムフィールドに示されているハッシュアルゴリズムは、「強力な」ハッシュアルゴリズムでなければなりません(つまり、一方向と衝突耐性である必要があります)。特定のハッシュアルゴリズムが十分に「強い」かどうかを決定するのはデータ認証サーバー次第です(たとえば、暗号化における現在の知識と計算リソースの現在の最新の状態に基づいています)。
- For a cpd service the 'message' choice is used.
- CPDサービスの場合、「メッセージ」の選択が使用されます。
The field contains requester-specific data with any type of content. The DVCS does not inspect, modify, or take any particular action based on the particular content of the 'message' field.
このフィールドには、あらゆるタイプのコンテンツを含むリクエスター固有のデータが含まれています。DVCは、「メッセージ」フィールドの特定のコンテンツに基づいて、特定のアクションを検査、変更、または実行することはありません。
The field 'DVCSRequest.transactionIdentifier' MAY be used in order to associate DVCS responses containing error messages, to requests. For example, in a mail based environment, the parameter could be a copy of a messageid. Note, that the transactionIdentifier is not necessary for associating a request with a valid data validation certificate.
フィールド「DVCSRequest.TransactionIdentifier」を使用して、エラーメッセージを含むDVCS応答をリクエストに関連付けることができます。たとえば、メールベースの環境では、パラメーターはMessageIDのコピーになる可能性があります。TransactionIdentifierは、リクエストを有効なデータ検証証明書に関連付けるために必要ではないことに注意してください。
This chapters describes the data structures that are created by a DVCS to indicate the results of validation and certification requests.
この章では、検証と認証要求の結果を示すためにDVCによって作成されたデータ構造について説明します。
A DVCS Response structure is generated by the DVCS as a result of processing of the data validation and certification request.
DVCS応答構造は、データ検証と認証リクエストの処理の結果としてDVCSによって生成されます。
A Data Validation response contains an [RFC2630] ContentInfo with a type of id-ct-DVCSResponseData signalling a DVCSResponse structure.
データ検証応答には、DVCSResponse構造をシグナル化するID-CT-DVCSResponseDataの種類を持つ[RFC2630] contentInfoが含まれています。
id-ct-DVCSResponseData OBJECT IDENTIFIER ::= { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) ct(1) 8 }
The data MAY be encapsulated by constructs of [RFC2630] in order to provide authentication of the DVCS, and or integrity and confidentiality of the request. This document specifies the usage of a SignedData construct of [RFC2630].
データは、DVCの認証、または要求の完全性と機密性を提供するために、[RFC2630]のコンストラクトによってカプセル化される場合があります。このドキュメントは、[RFC2630]のSignedDataコンストラクトの使用法を指定しています。
The contenttype indicated in the eContentType of the encapContentInfo is of type id-ct-DVCSResponseData, signalling a DVCSResponse as eContent of the encapContentInfo (carried as an octet string). The DVCS SHOULD use a key for which a corresponding certificate indicates in an extendedKeyUsage the purpose of DVCS signing.
encapContentInfoのecontentTypeに示されているコンテンツタイプは、型ID-CT-DVCSResponsedataであり、encapContentInfo(オクテット文字列として運ばれる)のecontentとしてdvcsResponseを合図します。DVCは、対応する証明書が拡張キーユーザーでDVCS署名の目的を示しているキーを使用する必要があります。
In a critical situation when a DVCS cannot produce a valid signature (if the DVCS's signing key is known to be compromised, for example), the DVCSResponse, containing the error notification, MUST be generated as a signedData with no signerInfo attached. Receiving unsigned DVCSResponse MUST be treated by the clients as a critical and fatal error, and the content of the message should not be implicitly trusted.
DVCSが有効な署名を作成できない場合(たとえば、DVCSの署名キーが損なわれることが知られている場合)、エラー通知を含むDVCSResponseは、SignerInfoが添付されていないSignedDataとして生成する必要があります。署名されていないDVCSResponseを受信することは、クライアントによって重要かつ致命的なエラーとして扱われる必要があり、メッセージの内容を暗黙的に信頼してはなりません。
A valid response can contain one of the following:
有効な応答には、次のいずれかを含めることができます。
1. A Data Validation Certificate (DVC), delivering the results of data validation operations, performed by the DVCS.
1. DVCSが実行するデータ検証操作の結果を提供するデータ検証証明書(DVC)。
2. An error notification. This may happen when a request fails due to a parsing error, requester authentication failure, or anything else that prevented the DVCS from executing the request.
2. エラー通知。これは、解析エラー、要求者認証の障害、またはDVCがリクエストの実行を妨げた他の何かのためにリクエストが故障した場合に発生する可能性があります。
The following type is used:
次のタイプが使用されます。
DVCSResponse ::= CHOICE {
dvCertInfo DVCSCertInfo ,
dvErrorNote [0] DVCSErrorNotice }
A Data Validation Certificate is a signedData object containing a DVCSResponse with a 'dvCertInfo' choice.
データ検証証明書は、「dvcertinfo」の選択肢を備えたDVCSResponseを含むSignedDataオブジェクトです。
DVCSCertInfo::= SEQUENCE {
version Integer DEFAULT 1 ,
dvReqInfo DVCSRequestInformation,
messageImprint DigestInfo,
serialNumber Integer,
responseTime DVCSTime,
dvStatus [0] PKIStatusInfo OPTIONAL,
policy [1] PolicyInformation OPTIONAL,
reqSignature [2] SignerInfos OPTIONAL,
certs [3] SEQUENCE SIZE (1..MAX) OF
TargetEtcChain OPTIONAL,
extensions Extensions OPTIONAL }
The DVCSCertInfo structure is returned as a result of successful execution of data validation service. It contains the results of the data validation, a reference to the original request, and other parameters. Please note that 'successful execution' does not necessarily mean that the validation itself was successful - a DVCSCertInfo may contain both the 'valid' and 'invalid' results.
DVCSCERTINFO構造は、データ検証サービスの実行が成功した結果、返されます。データ検証の結果、元のリクエストへの参照、およびその他のパラメーターが含まれています。「成功した実行」は、必ずしも検証自体が成功したことを意味するわけではないことに注意してください - DVCScertinfoには「有効」と「無効」の両方の結果が含まれる場合があります。
The DVCS creates a DVCSCertInfo as follows:
DVCSは、次のようにDVCSCERTINFOを作成します。
- The 'version' field is never present in this version of the protocol.
- 「バージョン」フィールドは、このバージョンのプロトコルには決して存在しません。
The 'dvReqInfo' is essentially a copy of the 'requestInformation' field of the corresponding request. The DVCS MAY modify the fields 'dvcs', 'requester', 'dataLocations', and 'nonce' of the ReqInfo structure, e.g., if the request was processed by a chain of DVCS, if the request needs to indicate DVCS, or to indicate where to find a copy of the data from a 'vpd' request. The only modification allowed to a 'nonce' is the inclusion of a new field if it was not present, or to concatenate other data to the end (right) of an existing value.
「dvreqinfo」は、本質的に対応する要求の「要求情報」フィールドのコピーです。DVCSは、ReqINFO構造のフィールド「DVCS」、「要求者」、「データロケーション」、および「非CE」を変更する場合があります。たとえば、リクエストがDVCSを指定する必要がある場合、または「VPD」リクエストからデータのコピーを見つける場所を示します。「ノンセ」に許可されている唯一の変更は、存在しない場合、または既存の値の最終(右)まで他のデータを連結することです。
- The 'DVCSCertInfo.messageImprint' field is computed from the 'data' field of the corresponding request as follows:
- 「dvcscertinfo.messageimprint」フィールドは、対応する要求の「データ」フィールドから次のように計算されます。
For the 'certs' choice (the 'vpkc' service), the digest is computed over the DER encoded data value. For a 'message' choice (the 'vsd' and the 'vpd' services) the digest is computed over the value octets (not including tag and length octets) of the OCTET STRING. It is up to the DVCS to choose an appropriate digest algorithm.
「証明書」の選択(「VPKC」サービス)の場合、DIGESTはDERエンコードされたデータ値を介して計算されます。「メッセージ」の選択(「VSD」および「VPD」サービス)の場合、ダイジェストは、オクテット文字列の値(タグと長さのオクテットを含まない)で計算されます。適切なダイジェストアルゴリズムを選択するのはDVCS次第です。
For a 'messageImprint' choice (the 'vcpd' service), the 'messageImprint' of the DVCSRequest is copied as is.
「MessageImprint」選択(「VCPD」サービス)の場合、DVCSRequestの「MessageImprint」がそのままコピーされます。
- The 'DVCSCertInfo.serialNumber' field contains a unique identifier of the request.
- 「DVCSCERTINFO.SERIALNUMBER」フィールドには、リクエストの一意の識別子が含まれています。
- The field 'responseTime' indicates a time value associated with the response. The value MAY be a locally generated one, or a signed TimeStampToken (TST) or DVC obtained from an external service. Before using a value obtained from an external service, the DVCS must validate it according the rules of the external service.
- フィールド「応答」は、応答に関連付けられた時間値を示します。この値は、ローカルで生成されたもの、または外部サービスから取得した署名されたタイムスタンプキン(TST)またはDVCである場合があります。外部サービスから取得した値を使用する前に、DVCは外部サービスのルールに従ってそれを検証する必要があります。
- The field 'DVCSCertInfo.dvStatus' reflects a collective result of the validation.
- フィールド「DVCSCERTINFO.DVSTATUS」は、検証の集合的な結果を反映しています。
If the field is missing, it is an equivalent of the SUCCESS status.
フィールドが欠落している場合、それは成功ステータスに相当します。
For a vkpc, if the status field is present and set to SUCCESS, it indicates that all certificates were successfully validated. If it is present and set to FAILED, it indicates that all or some of the certificates failed validation, and the specific status of the 'certs' should be investigated, at least one of the elements of the 'certs' TargetEtcChain structures MUST have a failure status.
VKPCの場合、ステータスフィールドが存在し、成功に設定されている場合、すべての証明書が正常に検証されたことを示します。それが存在し、失敗するように設定されている場合、証明書のすべてまたは一部が検証に失敗し、「証明書」の特定のステータスを調査する必要があることを示します。障害ステータス。
If the field 'dvStatus' does not indicate success ('granted' or 'granted with mods') the element 'failInfo' MAY indicate the reason for the failure. Note that the field 'certs' MAY contain additional information about verification failures.
フィールド「dvstatus」が成功(「付与」または「MODで付与」)を示していない場合、要素「失敗」が失敗の理由を示している可能性があります。フィールド「証明書」には、検証障害に関する追加情報が含まれている場合があることに注意してください。
A failure of the verification of one of the signatures does not necessarily result in failing to validate a signed document. For example, as long as a sufficient number of signature was successfully verified, a DVC with status 'grantedWithMods' may be produced. A DVC with status 'granted' MUST only be produced if all signatures verified successfully.
署名の1つの検証の失敗が必ずしも署名されたドキュメントの検証に失敗するとは限りません。たとえば、十分な数の署名が正常に検証されている限り、ステータス「ardentedwithmods」を持つDVCが作成される場合があります。ステータス「付与」を備えたDVCは、すべての署名が正常に検証された場合にのみ作成する必要があります。
The field MUST be present, and the status must be set to WAITING, if no final response can be immediately available. It is assumed that the DVCS provides an additional final status some time later. The details of the necessary procedures are part of the DVCS policy.
最終的な応答がすぐに利用できない場合は、フィールドが存在する必要があり、ステータスを待機に設定する必要があります。DVCSは、しばらくして追加の最終ステータスを提供すると想定されています。必要な手順の詳細は、DVCSポリシーの一部です。
In case of failure, the requester can further investigate the cause of the failure, by looking into the TargetEtcChain fields. 'CertEtctoken.pkistatus' fields will indicate which item(s) has failed or succeeded the validation and for what reason.
障害が発生した場合、要求者は、TargetETCChainフィールドを調べることにより、障害の原因をさらに調査できます。'certetctoken.pkistatus'フィールドは、どの項目が検証に失敗または成功したかを示します。
- The 'DVCSCertInfo.policy' field indicates the policy under which the DVCS operates.
- 「DVCSCERTINFO.POLICY」フィールドは、DVCSが動作するポリシーを示します。
- If present, 'DVCSCertInfo.reqSignature' MUST be the same value as the signerInfos field of the corresponding request. It is a policy decision whether to include this field.
- 存在する場合、「DVCSCERTINFO.REQSIGNATURE」は、対応するリクエストのSignerINFOSフィールドと同じ値でなければなりません。このフィールドを含めるかどうかは政策決定です。
- The 'DVCSCertInfo.certs' field contains the results of the verifications made by the DVCS. For the cpkc service, each element contains a copy of a corresponding field of the request with the selected subset in the targetAndChain subfield and the results of the verifications, and additional certificates or certificate references, e.g., from certification authorities or as described in appendix C.3. For a vsd service, each element contains the result of the validation of one signature of the signed document to be validated.
- 「DVCSCERTINFO.CERTS」フィールドには、DVCSが作成した検証の結果が含まれています。CPKCサービスの場合、各要素には、ターゲットアンドチェーンサブフィールドに選択されたサブセットがあるリクエストの対応するフィールドのコピー、および検証の結果、例えば認証当局から、または付録Cで説明されている追加の証明書または証明書の参照が含まれています。.3。VSDサービスの場合、各要素には、検証される署名されたドキュメントの1つの署名の検証の結果が含まれています。
In case of a global status of WAITING, the DVCS MAY choose to return an individual status of waiting in some of the 'certs' field, or not to return such a TargetEtcChain at all.
待機中のグローバルなステータスの場合、DVCは「証明書」フィールドの一部で待機の個々のステータスを返すこと、またはそのようなTargetetCchainをまったく返しないことを選択できます。
The 'acceptablePolicySet' sequence indicates the policies and mappings that were processed during X.509 public key certificate path validation. PolicyMappingsSyntax is defined in [RFC2459].
「許容可能なポリシセット」シーケンスは、X.509公開キーの証明書パス検証中に処理されたポリシーとマッピングを示します。policymappingssyntaxは[RFC2459]で定義されています。
- The 'extensions' field MAY be used to return additional information to the client. Extensions MAY be marked critical or not in order to indicate whether the client MUST understand them. This document does not define extensions.
- 「拡張機能」フィールドを使用して、追加情報をクライアントに返すことができます。クライアントがそれらを理解しなければならないかどうかを示すために、拡張機能が重要であるかどうかにかかわらず。このドキュメントでは、拡張機能を定義しません。
A DVCS Error Notification is a CMS signedData object containing a DVCSResponse with a 'dvErrorNote' choice.
DVCSエラー通知は、「dverrornote」の選択肢を備えたDVCSResponseを含むCMS SignedDataオブジェクトです。
DVCSErrorNotice ::= SEQUENCE {
transactionStatus PKIStatusInfo ,
transactionIdentifier GeneralName OPTIONAL }
The PKIStatusInfo is defined in [RFC2511]. For the purposes of communicating the DVCSErrorNotice, the following subset of PKIFailureInfo values is used:
pkistatusinfoは[RFC2511]で定義されています。DVCSERRORNOTICEを通信するために、PKIFAILUREINFO値の次のサブセットが使用されます。
PKIFailureInfo ::= BITSTRING {
badRequest (2),
-- transaction not permitted or supported
badTime (3),
-- messageTime was not sufficiently close to the system time,
-- as defined by local policy
badDataFormat (5),
-- the data submitted has the wrong format
wrongAuthority (6),
-- the DVCS indicated in the request is different from the
-- one creating the response token
incorrectData (7)
--the requester's data (i.e., signature) is incorrect )
In the DVCSErrorNotice, the PKIStatus field of the PKIStatusInfo must be set to REJECTED.
DVCSerrornoticeでは、PkistatusinfoのPkistatusフィールドを拒否するように設定する必要があります。
The 'statusString' field of PKIStatusInfo can be used to accommodate extra text, such as a reason for the failure, for example "I have gone out of service". The DVCS initializes the 'DVCSErrorNotice.transactionIdentifier' with a copy of the 'DVCSRequest.transactionIdentifier' field of the corresponding request.
Pkistatusinfoの「彫像」フィールドを使用して、障害の理由などの追加のテキストに対応することができます。たとえば、「私はサービスを受けていません」。DVCSは、「dvcsrequest.transactionidentifier」フィールドのコピーで「dvcserrornotice.transactionidentifier」を初期化します。
In certain circumstances, a DVCS may not be able to produce a valid response to a request (for example, if it is unable to compute signatures for a period of time). In these situations the DVCS MAY create a response with an DVCSErrorNotice but no signature.
特定の状況では、DVCはリクエストに対する有効な応答を作成できない場合があります(たとえば、一定期間署名を計算できない場合)。これらの状況では、DVCはDVCSerrornoticeを使用して応答を作成する場合がありますが、署名はありません。
DVCS clients SHOULD NOT trust unsigned responses. A DVCS client MAY trust unsigned responses, if the communication channel provides for server authentication (e.g., by services defined by TLS [RFC2246]).
DVCSクライアントは、署名されていない応答を信頼するべきではありません。DVCSクライアントは、通信チャネルがサーバー認証を提供する場合(たとえば、TLS [RFC2246]によって定義されたサービス)、署名されていない応答を信頼する場合があります。
There is no mandatory transport mechanism in this document. All mechanisms are optional. Two examples of transport protocols are given which allow online exchange of request and a response, and asynchronous communication between a client and a DVCS.
このドキュメントには、必須の輸送メカニズムはありません。すべてのメカニズムはオプションです。オンラインリクエストと応答の交換、およびクライアントとDVCの間の非同期通信を可能にするトランスポートプロトコルの2つの例が与えられます。
A DVCS MAY use a combination of protocols, for example in order to return additional DVCs.
DVCは、追加のDVCを返すために、プロトコルの組み合わせを使用する場合があります。
This subsection specifies a means for conveying ASN.1-encoded messages for the DVCS protocol exchanges via the HyperText Transfer Protocol.
このサブセクションは、ハイパーテキスト転送プロトコルを介してDVCSプロトコル交換のASN.1エンコードメッセージを伝えるための手段を指定します。
The DER encoded DVCS requests and responses are encapsulated using a simple MIME object with Content-Type application/dvcs (and with the default binary encoding).
DERエンコードされたDVCSリクエストと応答は、コンテンツタイプのアプリケーション/DVC(およびデフォルトのバイナリエンコード)を備えた単純なMIMEオブジェクトを使用してカプセル化されます。
This MIME object can be sent and received using common HTTP or HTTPS processing engines over WWW links and provides a simple client-server transport for DVCS messages.
このMIMEオブジェクトは、WWWリンクを介した一般的なHTTPまたはHTTPS処理エンジンを使用して送信および受信でき、DVCSメッセージのシンプルなクライアントサーバートランスポートを提供します。
This section specifies a means for conveying ASN.1-encoded messages for the protocol exchanges described in Section 8 via Internet mail.
このセクションでは、インターネットメールでセクション8で説明されているプロトコル交換用にASN.1エンコードされたメッセージを伝える手段を指定します。
The DER encoded DVCS requests and responses are encapsulated using a simple MIME object with Content-Type application/dvcs with an appropriate Content-Transfer-Encoding.
DERエンコードされたDVCSリクエストと応答は、適切なコンテンツ移動エンコードを備えたコンテンツタイプのアプリケーション/DVCを備えたシンプルなMIMEオブジェクトを使用してカプセル化されます。
This MIME object can be sent and received using MIME processing engines and provides a simple Internet mail transport for DVCS messages.
このMIMEオブジェクトは、MIME処理エンジンを使用して送信および受信でき、DVCSメッセージにシンプルなインターネットメールトランスポートを提供します。
In order to be able to associate a possible error response with a request, the requester SHOULD use the field 'transactionIdentifier'. The requester SHOULD not make any assumption about the usage of message header fields by the responding service, in particular the usage of fields like Subject, Message-ID or References.
可能なエラー応答をリクエストに関連付けるために、リクエスタはフィールド「TransactionIdentifier」を使用する必要があります。リクエスターは、応答サービス、特にサブジェクト、メッセージID、参照などのフィールドの使用法によるメッセージヘッダーフィールドの使用について仮定するべきではありません。
This entire chapter discusses security considerations.
この章全体について、セキュリティ上の考慮事項について説明します。
When designing a data validation and certification service, the following considerations have been identified that have an impact upon the validity or "trust" in the data validation certificate.
データ検証と認証サービスを設計するとき、データ検証証明書の有効性または「信頼」に影響を与える以下の考慮事項が特定されています。
It is imperative that keys used to sign DVCs are guarded with proper security and controls in order to minimize the possibility of compromise. Nevertheless, in case the private key does become compromised, an audit trail of all the DVC generated by the DVCS SHOULD be kept as a means to help discriminate between genuine and false DVCs. A DVCS MAY provide for a vsd service to validate DVCs created by this DVCS or another one solely based on the audit trail.
DVCに署名するために使用されるキーは、妥協の可能性を最小限に抑えるために、適切なセキュリティと制御で守られることが不可欠です。それにもかかわらず、秘密鍵が侵害された場合、DVCによって生成されたすべてのDVCの監査証跡は、本物と偽のDVCを区別するための手段として保持する必要があります。DVCは、このDVCまたは別のDVCによって作成されたDVCを検証するためのVSDサービスを提供する場合があります。
When confidentiality and server authentication is required, requests and responses MAY be protected using appropriate mechanisms (e.g., CMS encapsulation [RFC 2630] or TLS [RFC2246]).
機密性とサーバー認証が必要な場合、適切なメカニズム(CMSカプセル化[RFC 2630]またはTLS [RFC2246])を使用して、リクエストと応答を保護することができます。
Server authentication is highly recommended for the vsd and cpd service.
VSDおよびCPDサービスには、サーバー認証を強くお勧めします。
Client identification and authentication MAY use services defined by TLS [RFC2246]) instead of, or in addition to, using a CMS format providing authentication.
クライアントの識別と認証は、認証を提供するCMS形式を使用する代わりに、またはそれに加えて、TLS [RFC2246]で定義されたサービスを使用する場合があります。
The following United States Patents related to data validation and certification services, listed in chronological order, are known by the authors to exist at this time. This may not be an exhaustive list. Other patents may exist or be issued at any time. Implementers of the DVCS protocol and applications using the protocol SHOULD perform their own patent search and determine whether or not any encumberences exist on their implementation.
時系列の順序でリストされているデータの検証と認証サービスに関連する以下の米国特許は、現時点で存在することが著者によって知られています。これは網羅的なリストではないかもしれません。他の特許はいつでも存在するか、発行される場合があります。プロトコルを使用したDVCSプロトコルとアプリケーションの実装者は、独自の特許検索を実行し、実装に妨害が存在するかどうかを判断する必要があります。
# 4,309,569 Method of Providing Digital Signatures (issued) January 5, 1982 (inventor) Ralph C. Merkle (assignee) The Board of Trustees of the Leland Stanford Junior University
#4,309,569デジタル署名を提供する方法(発行)1982年1月5日(発明者)ラルフC.メルクル(譲受人)リーランドスタンフォード大学ジュニア大学の評議員会
# 5,001,752 Public/Key Date-Time Notary Facility (issued) March 19, 1991 (inventor) Addison M. Fischer
#5,001,752公開/キーデートタイム公証施設(発行)1991年3月19日(発明者)Addison M. Fischer
# 5,022,080 Electronic Notary (issued) June 4, 1991 (inventors) Robert T. Durst, Kevin D. Hunter
#5,022,080電子公証人(発行)1991年6月4日(発明者)ロバートT.ダースト、ケビンD.ハンター
# 5,136,643 Public/Key Date-Time Notary Facility (issued) August 4, 1992 (inventor) Addison M. Fischer (Note: This is a continuation of patent # 5,001,752.)
#5,136,643公開/キーデートタイム施設(発行)1992年8月4日(発明者)Addison M. Fischer(注:これは特許#5,001,752の継続です。)
# 5,136,646 Digital Document Time-Stamping with Catenate Certificate (issued) August 4, 1992 (inventors) Stuart A. Haber, Wakefield S. Stornetta Jr. (assignee) Bell Communications Research, Inc.,
#5,136,646デジタルドキュメントCatenate証明書付きタイムスタンピング(発行)1992年8月4日(発明者)Stuart A. Haber、Wakefield S. Stornetta Jr.(譲受人)Bell Communications Research、Inc。、
# 5,136,647 Method for Secure Time-Stamping of Digital Documents (issued) August 4, 1992 (inventors) Stuart A. Haber, Wakefield S. Stornetta Jr. (assignee) Bell Communications Research, Inc.,
#5,136,647デジタルドキュメントの安全なタイムスタンピングの方法(発行)1992年8月4日(発明者)Stuart A. Haber、Wakefield S. Stornetta Jr.(譲受人)Bell Communications Research、Inc。、
# 5,373,561 Method of Extending the Validity of a Cryptographic Certificate (issued) December 13, 1994 (inventors) Stuart A. Haber, Wakefield S. Stornetta Jr. (assignee) Bell Communications Research, Inc.,
#5,373,561暗号化証明書の有効性を拡張する方法(発行)1994年12月13日(発明者)Stuart A. Haber、Wakefield S. Stornetta Jr.(譲受人)Bell Communications Research、Inc。、
# 5,422,95 Personal Date/Time Notary Device (issued) June 6, 1995 (inventor) Addison M. Fischer
#5,422,95個人日付/時刻公証デバイス(発行)1995年6月6日(発明者)Addison M. Fischer