[要約] RFC 4810は、長期アーカイブサービスの要件に関するものであり、デジタル情報の長期保存に必要な機能や要件を定義しています。このRFCの目的は、長期アーカイブサービスの設計や実装において、信頼性や持続性を確保するためのガイドラインを提供することです。
Network Working Group C. Wallace
Request for Comments: 4810 Cygnacom Solutions
Category: Informational U. Pordesch
Fraunhofer Gesellschaft
R. Brandner
InterComponentWare AG
March 2007
Long-Term Archive Service Requirements
長期アーカイブサービス要件
Status of This Memo
本文書の位置付け
This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited.
このメモは、インターネットコミュニティに情報を提供します。いかなる種類のインターネット標準を指定しません。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The IETF Trust (2007).
著作権(c)The IETF Trust(2007)。
Abstract
概要
There are many scenarios in which users must be able to prove the existence of data at a specific point in time and be able to demonstrate the integrity of data since that time, even when the duration from time of existence to time of demonstration spans a large period of time. Additionally, users must be able to verify signatures on digitally signed data many years after the generation of the signature. This document describes a class of long-term archive services to support such scenarios and the technical requirements for interacting with such services.
ユーザーが特定の時点でデータの存在を証明し、その時からデータの整合性を示すことができる多くのシナリオがあります。期間。さらに、ユーザーは、署名の生成から何年も後にデジタル署名されたデータの署名を検証できる必要があります。このドキュメントでは、そのようなシナリオとそのようなサービスとの対話のための技術的要件をサポートするための長期アーカイブサービスのクラスについて説明します。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . 3
2. Terminology . . . . . . . . . . . . . . . . . . . . . . . . . 4
3. General Principles . . . . . . . . . . . . . . . . . . . . . . 5
4. Technical Requirements . . . . . . . . . . . . . . . . . . . . 6
4.1. Enable Submission, Retrieval, and Deletion of Archived
Data Objects . . . . . . . . . . . . . . . . . . . . . . . 6
4.1.1. Functional Requirements . . . . . . . . . . . . . . . 7
4.1.2. Rationale . . . . . . . . . . . . . . . . . . . . . . 7
4.2. Operate in accordance with a long-term archive policy . . 8
4.2.1. Functional Requirements . . . . . . . . . . . . . . . 8
4.2.2. Rationale . . . . . . . . . . . . . . . . . . . . . . 9
4.3. Enable Management of Archived Data Objects . . . . . . . . 9
4.3.1. Functional Requirements . . . . . . . . . . . . . . . 9
4.3.2. Rationale . . . . . . . . . . . . . . . . . . . . . . 9
4.4. Provide Evidence Records that Support Demonstration of
Data Integrity . . . . . . . . . . . . . . . . . . . . . . 10
4.4.1. Functional Requirements . . . . . . . . . . . . . . . 10
4.4.2. Rationale . . . . . . . . . . . . . . . . . . . . . . 10
4.5. Support Data Confidentiality . . . . . . . . . . . . . . . 11
4.5.1. Functional Requirements . . . . . . . . . . . . . . . 11
4.5.2. Rationale . . . . . . . . . . . . . . . . . . . . . . 11
4.6. Provide Means to Transfer Data and Evidence from One
Service to Another . . . . . . . . . . . . . . . . . . . . 11
4.6.1. Functional Requirements . . . . . . . . . . . . . . . 11
4.6.2. Rationale . . . . . . . . . . . . . . . . . . . . . . 11
4.7. Support Operations on Groups of Data Objects . . . . . . . 12
4.7.1. Functional Requirements . . . . . . . . . . . . . . . 12
4.7.2. Rationale . . . . . . . . . . . . . . . . . . . . . . 12
5. Operational Considerations . . . . . . . . . . . . . . . . . . 12
6. Security Considerations . . . . . . . . . . . . . . . . . . . 13
7. Acknowledgements . . . . . . . . . . . . . . . . . . . . . . . 14
8. Informative References . . . . . . . . . . . . . . . . . . . . 14
Appendix A. Application Scenarios . . . . . . . . . . . . . . . . 15
A.1. Archive Service Supporting Long-Term Non-Repudiation . . . 15
A.2. Pure Long-Term Non-Repudiation Service . . . . . . . . . . 15
A.3. Long-Term Archive Service as Part of an Internal
Network . . . . . . . . . . . . . . . . . . . . . . . . . 15
A.4. Long-Term Archive External Service . . . . . . . . . . . . 15
Digital data durability is undermined by continual progress and change on a number of fronts. The useful lifetime of data may exceed the life span of formats and mechanisms used to store the data. The lifetime of digitally signed data may exceed the validity periods of public-key certificates used to verify signatures or the cryptanalysis period of the cryptographic algorithms used to generate the signatures, i.e., the time after which an algorithm no longer provides the intended security properties. Technical and operational means are required to mitigate these issues. A solution must address issues such as storage media lifetime, disaster planning, advances in cryptanalysis or computational capabilities, changes in software technology, and legal issues.
デジタルデータの耐久性は、多くの面での継続的な進歩と変化によって損なわれます。データの有用な寿命は、データの保存に使用されるフォーマットとメカニズムの寿命を超える可能性があります。デジタルで署名されたデータの寿命は、署名を検証するために使用される公開キー証明書の有効期間または署名を生成するために使用される暗号化アルゴリズムの暗号化期間、つまりアルゴリズムが意図されたセキュリティプロパティを提供しなくなる時間を超える可能性があります。これらの問題を軽減するには、技術的および運用手段が必要です。ソリューションは、ストレージメディアの寿命、災害計画、暗号化の進歩または計算能力、ソフトウェア技術の変化、法的問題などの問題に対処する必要があります。
A long-term archive service aids in the preservation of data over long periods of time through a regimen of technical and procedural mechanisms designed to support claims regarding a data object. For example, it might periodically perform activities to preserve data integrity and the non-repudiability of data existence by a particular point in time or take actions to ensure the availability of data. Examples of periodic activities include refreshing time stamps or transferring data to a new storage medium.
長期的なアーカイブサービスは、データオブジェクトに関するクレームをサポートするように設計された技術的および手続き的メカニズムのレジメンを通じて、長期間にわたるデータの保存を支援します。たとえば、特定の時点でデータの整合性とデータの存在の非和解性を維持するためのアクティビティを定期的に実行したり、データの可用性を確保するためのアクションを実行したりする場合があります。定期的なアクティビティの例には、リフレッシュされたタイムスタンプやデータの新しいストレージメディアへの転送が含まれます。
A long-term archive service may be used to provide evidence that supports validation of the existence of documents or assertions of agreements that were originally asserted with digital signatures. Validation may occur at times in the future well beyond the validity period of the private key originally used to generate the signature, or even beyond the time when the algorithms available for digital signatures, message digesting, or data encryption cease to offer effective protection because of improvements in computing speeds and methods.
長期的なアーカイブサービスを使用して、もともとデジタル署名で主張されていたドキュメントの存在または契約の主張の検証をサポートする証拠を提供することができます。検証は、もともと署名を生成するために使用されていた秘密鍵の有効期間をはるかに超えて、またはデジタル署名、メッセージの消化、またはデータ暗号化が効果的な保護を提供するために停止する時代を超えて、将来的に発生する場合があります。コンピューティング速度と方法の改善。
A long-term archive service may be located within an enterprise network, communicating with local storage mechanisms and other applications, or a long-term archive service may be implemented as an external service accessible via the Internet. A long-term archive service may use functionality, e.g., time stamping, provided by independent service providers.
長期的なアーカイブサービスは、エンタープライズネットワーク内に配置され、ローカルストレージメカニズムやその他のアプリケーションと通信したり、インターネットを介してアクセス可能な外部サービスとして長期的なアーカイブサービスを実装することもできます。長期的なアーカイブサービスは、独立したサービスプロバイダーによって提供される時間、タイムスタンピング、たとえば機能を使用する場合があります。
A primary goal of a long-term archive service is to support the credible assertion of a claim that is currently asserted, at points well into the future. A long-term archive service may support a range of applications, including: wills, land records, medical data, criminal case files, personnel files, and contracts. A long-term archive service may be used by any type of entity, e.g., organizations, citizens, notaries. Examples of long-term archive service usage by submitters include:
長期アーカイブサービスの主な目標は、現在主張されている主張の信頼できる主張を、将来のポイントでサポートすることです。長期的なアーカイブサービスは、意志、土地記録、医療データ、刑事訴訟ファイル、人事ファイル、契約など、さまざまなアプリケーションをサポートする場合があります。長期的なアーカイブサービスは、あらゆるタイプのエンティティ、たとえば、組織、市民、公証人によって使用される場合があります。提出者による長期的なアーカイブサービスの使用の例は次のとおりです。
- A company stores contracts using a third party service.
- 会社は、サードパーティのサービスを使用して契約を保存します。
- A hospital stores medical data using an internal service.
- 病院は、内部サービスを使用して医療データを保存します。
- An individual wants to generate evidence of data possession at a particular point in time, e.g., for intellectual property purposes or endorsement of a contract.
- 個人は、特定の時点で、たとえば知的財産目的や契約の承認のために、データ所有の証拠を生成したいと考えています。
- A law enforcement officer wants to store criminal data such that integrity of the data can be demonstrated years later.
- 法執行官は、数年後にデータの完全性を実証できるように、刑事データを保存したいと考えています。
For each of the above examples, there is a corresponding example involving retrievers, e.g., a company retrieves a contract in the case of a dispute or a law enforcement officer prepares information for a criminal trial.
上記のそれぞれの例については、報復者を含む対応する例があります。たとえば、会社が紛争の場合に契約を取得するか、法執行官が刑事裁判のために情報を準備します。
This document addresses the technical requirements for a long-term archive service.
We define the following terms based on their usage in the archiving community, in order to provide a vocabulary for describing requirements and the standards around them.
要件と周囲の標準を説明するための語彙を提供するために、アーカイブコミュニティでの使用に基づいて次の用語を定義します。
Arbitrator: Principal for whom the validity of archived data characteristics, e.g., origin, integrity or time of existence, must be demonstrated.
仲裁人:アーカイブされたデータ特性の有効性、例えば、起源、完全性、または存在時間を実証する必要がある校長。
Archival Period: The period during which an archived data object is preserved by a long-term archive service.
アーカイブ期間:アーカイブされたデータオブジェクトが長期的なアーカイブサービスによって保存される期間。
Archived Data Object: Data unit to be preserved by a long-term archive service.
アーカイブデータオブジェクト:長期的なアーカイブサービスによって保存されるデータユニット。
Archive Package: Collection of information including archived data objects and associated Evidence Record.
アーカイブパッケージ:アーカイブされたデータオブジェクトや関連する証拠記録を含む情報の収集。
Cryptographic Maintenance Policy: A set of rules that defines how to maintain the validity of digitally signed objects should one of the hash or asymmetric algorithms used to create a digital signature become weak, or one of the private keys used to create a digital signature be compromised or become weak.
暗号化のメンテナンスポリシー:デジタル署名されたオブジェクトの有効性を維持する方法を定義する一連のルールのセットデジタル署名の作成に使用されるハッシュまたは非対称アルゴリズムの1つが弱くなるか、デジタル署名を作成するために使用されるプライベートキーの1つが侵害された場合または弱くなる。
Evidence: Information that may be used to demonstrate the validity of an archived data object or related attestations.
証拠:アーカイブされたデータオブジェクトまたは関連する証明の妥当性を実証するために使用できる情報。
Evidence Record: Collection of evidence compiled for one or more archived data objects. An Evidence Record may include acknowledgements from a long-term archive service, time stamps and verification data, such as public-key certificates, revocation information, trust anchors, policy details and role information.
証拠記録:1つ以上のアーカイブされたデータオブジェクトに対してコンパイルされた証拠の収集。証拠記録には、長期的なアーカイブサービス、パブリックキー証明書、取り消し情報、信頼アンカー、ポリシーの詳細、役割情報などの検証データからの謝辞が含まれる場合があります。
Long-Term Archive Policy: A set of rules that define operational characteristics of a long-term archive service.
長期アーカイブポリシー:長期アーカイブサービスの運用特性を定義する一連のルール。
Long-Term Archive Service (LTA): A service that is responsible for preserving data for long periods.
長期アーカイブサービス(LTA):長期にわたってデータの保存を担当するサービス。
Modifier: Principal who modifies attributes associated with an archived data object and/or Evidence Record held by a long-term archive service.
修飾子:アーカイブされたデータオブジェクトおよび/または長期アーカイブサービスが保持している証拠記録に関連付けられた属性を変更する元本。
Originator: Principal who produces, and possibly digitally signs, an archived data object. The Originator does not necessarily have any relationship with a long-term archive service or any awareness of an Evidence Record associated with the archived data object.
オリジネーター:アーカイブされたデータオブジェクトを生産し、場合によってはデジタルで署名する校長。オリジネーターは、必ずしも長期的なアーカイブサービスや、アーカイブされたデータオブジェクトに関連付けられた証拠記録の認識と関係があるわけではありません。
Retriever: Principal who retrieves archived data objects and/or Evidence Records from a long-term archive service.
Retriver:アーカイブされたデータオブジェクトおよび/または証拠記録を長期アーカイブサービスから取得する校長。
Submitter: Principal who submits data objects for archiving.
提出者:アーカイブのためにデータオブジェクトを提出する校長。
Time Stamp: An attestation generated by a Time Stamping Authority (TSA) that a data item existed at a certain time. For example, [RFC3161] specifies a structure for signed time stamp tokens as part of a protocol for communicating with a TSA.
タイムスタンプ:タイムスタンピング機関(TSA)によって生成された証明は、特定の時間にデータ項目が存在したことを示しています。たとえば、[RFC3161]は、TSAと通信するためのプロトコルの一部として、署名されたタイムスタンプトークンの構造を指定します。
Time Stamping Authority (TSA): A trusted service that provides attestations of existence of data at particular points in time. For example, [RFC3161] defines protocol elements for interacting with a TSA.
タイムスタンピング局(TSA):特定の時点でデータの存在の証明を提供する信頼できるサービス。たとえば、[RFC3161]は、TSAと相互作用するプロトコル要素を定義します。
A long-term archive service may accept any type of data for preservation. The data might be in any format, whether textual data, images, documents, applications, or compound packages of multiple components. The data may be digitally signed, time stamped, encrypted, or not subject to any cryptographic processing.
長期的なアーカイブサービスは、保存のためのあらゆる種類のデータを受け入れる場合があります。データ、画像、ドキュメント、アプリケーション、または複数のコンポーネントの複合パッケージなど、データはあらゆる形式である可能性があります。データは、デジタル署名、タイムスタンプ、暗号化、または暗号化処理の対象ではない場合があります。
A long-term archive service may preserve archived data objects as opaque collections of bytes with the primary aim of data integrity.
長期的なアーカイブサービスは、アーカイブされたデータオブジェクトを、データの整合性の主な目的を持つバイトの不透明なコレクションとして保存する場合があります。
A long-term archive service is not required to operate upon evidence related to the content of archived data objects. Content-focused operations, including data format migration or translation, may be performed by another service. However, an LTA may incorporate support for such services.
アーカイブされたデータオブジェクトの内容に関連する証拠に基づいて動作するために、長期的なアーカイブサービスは必要ありません。データ形式の移行や翻訳を含むコンテンツ重視の操作は、別のサービスによって実行される場合があります。ただし、LTAにはそのようなサービスのサポートが組み込まれる場合があります。
Different long-term archive services may establish policies and procedures for archiving data objects over different lengths of time. For example, an LTA may refuse to preserve archived data objects for periods longer than 30 years. Similarly, LTAs may establish policies that limit the types of data that will be accepted for deposit by a particular LTA.
さまざまな長期アーカイブサービスが、さまざまな長さにわたってデータオブジェクトをアーカイブするためのポリシーと手順を確立する場合があります。たとえば、LTAは、30年以上にわたってアーカイブされたデータオブジェクトの保存を拒否する場合があります。同様に、LTAは、特定のLTAによって預金のために受け入れられるデータの種類を制限するポリシーを確立する場合があります。
A long-term archive service provides evidence that may be used to demonstrate the existence of an archived data object at a given time and the integrity of the archived data object since that time. Additionally, the evidence identifies the LTA(s) that have participated in the preservation of the archived data object. If the archived data object itself contains digitally signed data, authentication of the signer is also possible.
長期的なアーカイブサービスは、特定の時期にアーカイブされたデータオブジェクトの存在とアーカイブされたデータオブジェクトの整合性を実証するために使用される可能性のある証拠を提供します。さらに、証拠は、アーカイブされたデータオブジェクトの保存に参加したLTAを特定します。アーカイブされたデータオブジェクト自体にデジタル署名データが含まれている場合、署名者の認証も可能です。
A long-term archive service may be an adjunct component of a document management system. In such cases, the Evidence Record generated and maintained by the LTA is a property of data that is otherwise managed by the document management system.
長期的なアーカイブサービスは、ドキュメント管理システムの補助コンポーネントである場合があります。そのような場合、LTAによって生成および維持された証拠記録は、ドキュメント管理システムによって管理されているデータのプロパティです。
This section describes the requirements for the protocol for accessing a long-term archive system and for the data formats associated with data preservation.
このセクションでは、長期アーカイブシステムにアクセスするためのプロトコルと、データ保存に関連するデータ形式の要件について説明します。
A long-term archive service must permit clients to request the following basic operations:
長期的なアーカイブサービスは、クライアントが次の基本操作を要求することを許可する必要があります。
- submit data objects for archive
- アーカイブにデータオブジェクトを送信します
- retrieve archived data objects
- アーカイブされたデータオブジェクトを取得します
- delete archived data objects
- アーカイブされたデータオブジェクトを削除します
Following submission, the service must provide an identifier that can be used to retrieve the archived data and/or associated evidence. For example, it may be possible to retrieve archive packages by using a hash value of an archived data object. Possession of this value is not necessarily an authorization to access the associated archived data object or evidence record.
提出後、サービスはアーカイブされたデータおよび/または関連する証拠を取得するために使用できる識別子を提供する必要があります。たとえば、アーカイブデータオブジェクトのハッシュ値を使用してアーカイブパッケージを取得することが可能です。この値の所有は、必ずしも関連するアーカイブデータオブジェクトまたは証拠レコードにアクセスする許可ではありません。
It must be possible to authenticate requests and responses, e.g., to enable LTAs to render an authorization decision. This may be accomplished by using transport security mechanisms. Requests, in particular retrieval or deletion requests, may be rejected if the requestor is not authorized. An authorization policy must be defined and observed by the long-term archive service. An LTA may disallow deletion as a matter of policy.
LTAが認可決定を下すことを可能にするために、リクエストと応答を認証することができなければなりません。これは、輸送セキュリティメカニズムを使用することで実現できます。リクエスト、特に検索または削除要求は、要求者が承認されていない場合、拒否される場合があります。承認ポリシーは、長期アーカイブサービスによって定義および遵守されなければなりません。LTAは、ポリシーの問題として削除を禁止する場合があります。
The format for the acknowledgements must allow the identification of the archiving provider and the participating client.
謝辞の形式は、アーカイブプロバイダーと参加クライアントの識別を許可する必要があります。
The LTA must provide an acknowledgement of the deposit that permits the submitter to confirm the correct data was accepted by the LTA. This proof need not be provided immediately.
LTAは、提出者が正しいデータがLTAによって受け入れられたことを確認することを許可するデポジットの承認を提供する必要があります。この証明はすぐに提供する必要はありません。
Submission, retrieval, query state, and deletion of archived data objects are necessary basic functions of a long-term archive service.
提出、検索、クエリ状態、およびアーカイブされたデータオブジェクトの削除は、長期的なアーカイブサービスの必要な基本機能です。
Deletion may be disallowed due to procedural difficulties in fulfilling the request. For example, an archived data object may be stored on write-once media, along with other records that are not subject to deletion.
要求を満たす際の手続き上の困難のために、削除が許可される可能性があります。たとえば、アーカイブされたデータオブジェクトは、削除の対象ではない他のレコードとともに、write-onceメディアに保存できます。
Acknowledgements may not be provided immediately due to implementation of a grace period. A generic query state mechanism should be provided to address such situations. For example, a submission response may indicate that a submission has been accepted and a subsequent query state response may indicate a submission has completed all necessary preservation steps.
恵み期間の実装により、謝辞はすぐに提供されない場合があります。そのような状況に対処するために、一般的なクエリ状態メカニズムを提供する必要があります。たとえば、提出応答は、提出が受け入れられ、その後のクエリ状態応答が必要なすべての保存手順を完了したことを示す可能性があることを示している場合があります。
A long-term archive service must operate in accordance with a long-term archive service policy that defines characteristics of the implementation of the long-term archive service. A long-term archive service policy contains several components, including:
長期的なアーカイブサービスは、長期的なアーカイブサービスの実装の特性を定義する長期的なアーカイブサービスポリシーに従って運用する必要があります。長期的なアーカイブサービスポリシーには、以下を含むいくつかのコンポーネントが含まれています。
- Archived data object maintenance policy
- アーカイブされたデータオブジェクトメンテナンスポリシー
- Authorization policy
- 承認ポリシー
- Service policy
- サービスポリシー
A long-term archive service policy must include specifications of the preservation activities performed for archived data objects subject to the policy. A maintenance policy should define rules for the following operational aspects: preservation activity triggers, default archival period, and default handling upon expiration of archival period.
長期的なアーカイブサービスポリシーには、ポリシーの対象となるアーカイブデータオブジェクトに対して実行された保存活動の仕様を含める必要があります。メンテナンスポリシーは、次の運用上の側面のルールを定義する必要があります。保存活動トリガー、デフォルトアーカイブ期間、およびアーカイブ期間の有効期限時にデフォルトの処理。
Maintenance policies should include mechanism-specific details describing LTA operation. For example, where cryptographic mechanisms are employed, a cryptographic maintenance policy ought to be defined.
メンテナンスポリシーには、LTA操作を説明するメカニズム固有の詳細を含める必要があります。たとえば、暗号化メカニズムが採用されている場合、暗号化のメンテナンスポリシーを定義する必要があります。
An authorization policy should define the entities permitted to exercise services provided by the LTA, including who is permitted to submit, retrieve, or manage specific archived data objects.
許可ポリシーは、特定のアーカイブデータオブジェクトを提出、取得、または管理することを許可されている人を含む、LTAが提供するサービスを行使することを許可されたエンティティを定義する必要があります。
A service policy defines the types of services provided by an LTA, including acceptable data types, description of requests that may be accepted, and deletion procedures.
サービスポリシーでは、許容可能なデータ型、受け入れられる可能性のある要求の説明、削除手順など、LTAが提供するサービスの種類を定義します。
Policies must be unambiguously identified, e.g., by an object identifier. Alternatively, an LTA may support a protocol that permits clients to specify policy parameters explicitly instead of by reference to a policy.
ポリシーは、たとえば、オブジェクト識別子によって明確に識別される必要があります。あるいは、LTAは、ポリシーを参照するのではなく、クライアントがポリシーパラメーターを明示的に指定できるプロトコルをサポートする場合があります。
A long-term archive service must be able to provide information identifying the policies relevant for a given archived data object.
長期的なアーカイブサービスは、特定のアーカイブされたデータオブジェクトに関連するポリシーを特定する情報を提供できる必要があります。
Similar to a certificate policies [RFC3647], which are identified using object identifiers, a long-term archive policy provides a shorthand means of technically identifying a set of rules that govern the operation of a long-term archive service.
オブジェクト識別子を使用して識別される証明書ポリシー[RFC3647]と同様に、長期的なアーカイブポリシーは、長期的なアーカイブサービスの運用を支配する一連のルールを技術的に識別する速記の手段を提供します。
Over the course of many years, the policies under which an LTA operates may undergo modification. Thus, an evidence record may feature multiple indications of policies active at various points during the life of an archived data object.
長年にわたって、LTAが運営するポリシーは変更を受ける可能性があります。したがって、証拠記録は、アーカイブされたデータオブジェクトの存続期間中にさまざまなポイントでアクティブなポリシーの複数の兆候を特徴とする場合があります。
A long-term archive service must permit clients to request the following basic operations:
長期的なアーカイブサービスは、クライアントが次の基本操作を要求することを許可する必要があります。
- specify an archival period for submitted data objects
- 提出されたデータオブジェクトのアーカイブ期間を指定します
- extend or shorten the archival period for an archived data object
- アーカイブデータオブジェクトのアーカイブ期間を拡張または短縮する
- specify metadata associated with an archived data object
- アーカイブされたデータオブジェクトに関連付けられたメタデータを指定します
- specify an archive policy under which the submitted data should be handled
- 提出されたデータを処理する必要があるアーカイブポリシーを指定します
It should be possible to express an archival period in terms of time, an event or a combination of time and event.
時間、イベント、または時間とイベントの組み合わせの観点からアーカイブ期間を表現することが可能であるはずです。
Submitters should be able to specify metadata that, for example, can be used to enable retrievers to render the data correctly, to locate data in an archive or to place data in a particular context. Examples include, classification codes, type of format, contributors, title, author, and date. Alternatively, such information may be included in the content of an archived data object.
提出者は、たとえば、レトリーバーがデータを正しくレンダリングできるようにするために使用できるメタデータを指定できる必要があります。例には、分類コード、形式の種類、貢献者、タイトル、著者、および日付が含まれます。あるいは、そのような情報は、アーカイブされたデータオブジェクトのコンテンツに含まれる場合があります。
If a long-term archive service does not support a requested policy, it must return an error indication. A service must provide an indication of the archive policy enforced by the service.
長期的なアーカイブサービスが要求されたポリシーをサポートしていない場合、エラー表示を返す必要があります。サービスは、サービスによって実施されたアーカイブポリシーの兆候を提供する必要があります。
Submission, retrieval, and deletion of archived data objects are necessary basic functions of a long-term archive service.
アーカイブされたデータオブジェクトの提出、検索、および削除は、長期的なアーカイブサービスの必要な基本機能です。
Specification and management of the archival period is necessary to avoid unnecessary preservation activities.
不必要な保存活動を避けるために、アーカイブ期間の仕様と管理が必要です。
A long-term archive service must be capable of providing evidence that can be used to demonstrate the integrity of data for which it is responsible, from the time it received the data until the expiration of the archival period of the data.
長期的なアーカイブサービスは、データを受け取ってからデータのアーカイブ期間の有効期限まで、責任のあるデータの整合性を実証するために使用できる証拠を提供できる必要があります。
This may be achieved by providing evidence records that support the long-term non-repudiation of data existence at a point in time, e.g., in the case of legal disputes. The evidence record should contain sufficient information to enable the validity of an archived data object's characteristics to be demonstrated to an arbitrator. The characteristics subject to verification will vary. For example, authentication of an originator may not be possible in all cases, e.g., where the object submitted to the archive is not signed or where the object does not include the necessary information to authenticate the object's signer.
これは、たとえば、法的紛争の場合に、ある時点でのデータの存在の長期的な非和解をサポートする証拠記録を提供することによって達成される場合があります。証拠記録には、アーカイブされたデータオブジェクトの特性が仲裁人に実証されるのに十分な情報を含める必要があります。検証の対象となる特性は異なります。たとえば、すべての場合に発信者の認証は不可能な場合があります。たとえば、アーカイブに送信されたオブジェクトが署名されていない場合、またはオブジェクトにオブジェクトの署名者を認証するために必要な情報が含まれていない場合。
Evidence records must be structured such that modifications to an archived data object or its evidence record can be detected, including modifications made by administrators of an LTA.
アーカイブされたデータオブジェクトまたはその証拠記録の変更を検出できるように、証拠記録を構成する必要があります。
Supporting non-repudiation of data existence, integrity, and origin is a primary purpose of a long-term archive service. Evidence may be generated, or otherwise obtained, by the service providing the evidence to a retriever. A long-term archive service need not be capable of providing all evidence necessary to produce a non-repudiation proof, and in some cases, should not be trusted to provide all necessary information. For example, trust anchors [RFC3280] and algorithm security policies should be provided by other services. An LTA that is trusted to provide trust anchors could forge an evidence record verified by using those trust anchors.
データの存在、整合性、および原産地の非繰り返しをサポートすることは、長期的なアーカイブサービスの主な目的です。証拠がレトリーバーに証拠を提供するサービスによって、証拠が生成されるか、そうでなければ得られることがあります。長期的なアーカイブサービスは、非和解の証拠を作成するために必要なすべての証拠を提供できる必要はなく、場合によっては、必要なすべての情報を提供するために信頼されるべきではありません。たとえば、Trust Anchors [RFC3280]およびアルゴリズムセキュリティポリシーは、他のサービスによって提供される必要があります。信頼のアンカーを提供すると信頼されているLTAは、それらの信頼アンカーを使用して検証された証拠を築くことができます。
Demonstration that data has not been altered while in the care of a long-term archive service is a first step towards supporting non-repudiation of data. Certification services support cases in which data must be modified, e.g., translation or format migration. An LTA may provide certification services.
長期的なアーカイブサービスのケア中にデータが変更されていないことを示すデモは、データの非和解をサポートするための最初のステップです。認定サービスは、データを変更する必要があるケース、例えば翻訳または形式の移行をサポートします。LTAは認証サービスを提供する場合があります。
A long-term archive service must provide means to ensure confidentiality of archived data objects, including confidentiality between the submitter and the long-term archive service. An LTA must provide a means for accepting encrypted data such that future preservation activities apply to the original, unencrypted data. Encryption, or other methods of providing confidentiality, must not pose a risk to the associated evidence record.
長期的なアーカイブサービスは、提出者と長期アーカイブサービスの間の機密性を含む、アーカイブされたデータオブジェクトの機密性を確保するための手段を提供する必要があります。LTAは、将来の保存活動が元の暗号化されていないデータに適用されるように、暗号化されたデータを受け入れる手段を提供する必要があります。暗号化、または機密性を提供するその他の方法は、関連する証拠記録にリスクをもたらさないでください。
A long-term archive service should maintain contact information for the parties responsible for each archived data object so warning messages can be sent when encryption algorithms require maintenance.
長期的なアーカイブサービスは、暗号化アルゴリズムがメンテナンスを必要とするときに警告メッセージを送信できるように、各アーカイブされたデータオブジェクトの責任者の連絡先情報を維持する必要があります。
Individuals may wish to use the services of a commercial long-term service without disclosing data to the commercial service. However, access to the original data may be necessary to perform some preservation activities.
個人は、商業サービスにデータを開示することなく、商業長期サービスのサービスを使用したい場合があります。ただし、いくつかの保存アクティビティを実行するには、元のデータへのアクセスが必要になる場合があります。
It must be possible to submit data along with previously generated evidence, i.e., to support transfer of data from one archive to another. A long-term archive service must support the transfer of archived data objects, evidence and evidence records from one service to another. It must be possible for evidence records to span multiple providers over the course of time, without losing value as evidence.
以前に生成された証拠とともにデータを送信すること、つまり、あるアーカイブから別のアーカイブへのデータの転送をサポートするために可能でなければなりません。長期的なアーカイブサービスは、アーカイブされたデータオブジェクト、証拠、証拠記録のあるサービスの転送をサポートする必要があります。証拠記録は、証拠として価値を失うことなく、時間の経過とともに複数のプロバイダーに及ぶ可能性がある必要があります。
Before the end of an archived data object's archival period, a long-term archive service may cease operation. In such cases, it must be possible for the archived data object (and any associated evidence) to be transferred to another service that will continue preservation of the data until the end of the archival period.
アーカイブされたデータオブジェクトのアーカイブ期間が終了する前に、長期的なアーカイブサービスが操作を停止する場合があります。そのような場合、アーカイブ期間の終了までデータの保存を継続する別のサービスにアーカイブされたデータオブジェクト(および関連する証拠)を別のサービスに転送することが可能である必要があります。
Submitters may change service providers before the end of an archived data object's archival period. In such cases, it must be possible for the submitter to transfer an archived data object and all associated evidence from the original LTA to a new LTA.
提出者は、アーカイブされたデータオブジェクトのアーカイブ期間が終了する前に、サービスプロバイダーを変更する場合があります。そのような場合、提出者がアーカイブされたデータオブジェクトとすべての関連する証拠を元のLTAから新しいLTAに転送することが可能である必要があります。
An LTA should support submission of groups of data objects. Submitters should be able to indicate which data objects belong together, i.e. comprise a group, and retrievers should be able to retrieve one, some or all members of a group of data objects.
LTAは、データオブジェクトのグループの提出をサポートする必要があります。提出者は、どのデータオブジェクトが一緒に属しているかを示すことができるはずです。つまり、グループを構成し、レトリーバーはデータオブジェクトのグループのメンバー、一部、またはすべてのメンバーを取得できる必要があります。
It should be possible to provide evidence for groups of archived data objects. For example, it should be possible to archive a document file and a signature file together such that they are covered by the same evidence record.
アーカイブされたデータオブジェクトのグループに証拠を提供できるはずです。たとえば、ドキュメントファイルと署名ファイルを一緒にアーカイブして、同じ証拠レコードでカバーされるようにすることができるはずです。
Where an LTA operates upon groups of data objects, non-repudiation proof must still be available for each archived data object separately.
LTAがデータオブジェクトのグループで動作する場合、アーカイブされた各データオブジェクトに対しては、非repudiationプルーフを個別に利用できる必要があります。
In many cases data objects belong together. Examples include:
多くの場合、データオブジェクトは一緒に属します。例は次のとおりです。
- a document file and an associated signature file, which are two separate objects
- ドキュメントファイルと2つの別々のオブジェクトである関連する署名ファイル
- TIF-files representing pages of a document
- ドキュメントのページを表すtif-files
- a document file and an evidence file (possibly generated by another LTA)
- ドキュメントファイルと証拠ファイル(おそらく別のLTAによって生成される可能性が高い)
- a document and its translation to another format or language
- ドキュメントとその別の形式または言語への翻訳
In these cases, it is to the best advantage to handle these data objects as a group.
これらの場合、これらのデータオブジェクトをグループとして処理することが最良の利点です。
A long-term archive service must be able to work efficiently even for large amounts of archived data objects. In order to limit expenses and to achieve high performance, it may be desirable to minimize the use of trusted third parties, e.g., LTA operations should be designed to limit the number of time stamps required to provide the desired level of service.
長期的なアーカイブサービスは、大量のアーカイブデータオブジェクトでも効率的に作業できる必要があります。費用を制限し、高性能を達成するためには、信頼できる第三者の使用を最小限に抑えることが望ましい場合があります。
Necessity to access archived data objects should be minimized. It may only be necessary to access the archived data objects if the archived data objects are requested by users, or if hash algorithms used for indexing, or evidence record generation become insecure.
アーカイブされたデータオブジェクトにアクセスする必要性を最小限に抑える必要があります。アーカイブされたデータオブジェクトがユーザーによって要求されている場合、またはインデックス作成に使用されるハッシュアルゴリズム、または証拠レコード生成が不安定になる場合にのみ、アーカイブされたデータオブジェクトにアクセスする必要がある場合があります。
An LTA must be capable of operating in accordance with any applicable legal regime. For example, an LTA may be required to reject a deletion request from an authorized requestor if the target of the request has been subpoenaed by law enforcement authorities.
LTAは、該当する法的制度に従って運営できる必要があります。たとえば、リクエストのターゲットが法執行機関によって召喚された場合、承認された要求者からの削除要求を拒否するためにLTAが必要になる場合があります。
Some applications may require processing of a chain of archive policies present in an evidence record, e.g., to ensure that compatible policies were used throughout the lifetime of the archived data objects.
一部のアプリケーションでは、アーカイブされたデータオブジェクトの寿命を通じて互換性のあるポリシーが使用されていることを確認するために、証拠記録に存在する一連のアーカイブポリシーの処理が必要になる場合があります。
Data is the principal asset protected by a long-term archive service. The principle threat that must be addressed by a long-term archive service is an undetected loss of data integrity.
データは、長期のアーカイブサービスによって保護されている主要な資産です。長期的なアーカイブサービスで対処しなければならない主要な脅威は、データの整合性の検出されない損失です。
In cases where signature verification relies on a PKI, certificate revocation could retroactively invalidate previously verified signatures. An LTA may implement measures to support such claims by an alleged signer, e.g., collection of revocation information after a grace period during which compromise can be reported or preservation of subsequent revocation information.
署名検証がPKIに依存している場合、証明書の取り消しは、以前に検証された署名を遡及的に無効にする可能性があります。LTAは、疑わしい署名者によるそのような主張を支持するための措置を実施することができます。たとえば、妥協が報告できる猶予期間後、またはその後の取り消し情報の保存を行う猶予期間後の取り消し情報の収集。
When selecting access control mechanisms associated with data stored by a LTA, the lifespan of the archived data object should be considered. For example, the credentials of an entity that submitted data to an archive may not be available or valid when the data needs to be retrieved.
LTAによって保存されたデータに関連付けられたアクセス制御メカニズムを選択する場合、アーカイブされたデータオブジェクトの寿命を考慮する必要があります。たとえば、データをアーカイブに提出したエンティティの資格情報は、データを取得する必要がある場合に利用可能または有効ではない場合があります。
During the lifespan of an archived data object, formats may cease to be supported. Software components to process data, including content or signatures, may no longer be available. This could be a problem particularly if non-standard formats are used or proprietary processing is employed. The submitter should take care to avoid such problems. For example, the submitter (or other authorized entity) could periodically retrieve data, convert the data, and re-submit it in a new format. Additional mechanisms, applications, or tools may be needed to preserve the value of evidence records associated with the original archived data object.
アーカイブされたデータオブジェクトの寿命の間、フォーマットはサポートされなくなる場合があります。コンテンツや署名などのデータを処理するソフトウェアコンポーネントは、利用できなくなる場合があります。これは、特に非標準形式が使用されている場合、または独自の処理が採用されている場合に問題になる可能性があります。提出者は、そのような問題を回避するように注意する必要があります。たとえば、提出者(またはその他の認定エンティティ)は、定期的にデータを取得し、データを変換し、新しい形式で再提出することができます。元のアーカイブデータオブジェクトに関連付けられたエビデンスレコードの価値を保持するために、追加のメカニズム、アプリケーション、またはツールが必要になる場合があります。
A long-term archive system may require correlation of different identities that represent the same entity at different points in time. For example, an individual's identity may be represented by different employers at different points in time.
長期的なアーカイブシステムには、異なる時点で同じエンティティを表す異なるアイデンティティの相関が必要になる場合があります。たとえば、個人の身元は、異なる時点で異なる雇用主によって表される場合があります。
A long-term archive system must perform maintenance activities on a schedule that considers factors such as the strength of relevant cryptographic algorithms, lifespan of relevant certification authorities, and revocation status of relevant entities, e.g., timestamp authorities. Standards for use of cryptographic algorithms are expected to be established by organization or governmental bodies, not by individual LTAs.
長期的なアーカイブシステムは、関連する暗号化アルゴリズムの強さ、関連する認証当局の寿命、関連するエンティティなどの取り消しステータスなどの要因を考慮するスケジュールでメンテナンスアクティビティを実行する必要があります。暗号化アルゴリズムの使用に関する基準は、個々のLTAではなく、組織または政府機関によって確立されると予想されます。
Thanks to members of the LTANS mailing list for review of earlier drafts and many suggestions. In particular, thanks to Larry Masinter, Denis Pinkas, and Peter Sylvester for review and suggestions.
以前のドラフトと多くの提案をレビューしてくれたLTANSメーリングリストのメンバーに感謝します。特に、レビューと提案をしてくれたLarry Masinter、Denis Pinkas、およびPeter Sylvesterに感謝します。
[RFC3161] Adams, C., Cain, P., Pinkas, D., and R. Zuccherato, "Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP)", RFC 3161, August 2001.
[RFC3161] Adams、C.、Cain、P.、Pinkas、D。、およびR. Zuccherato、「Internet X.509公開キーインフラストラクチャタイムスタンププロトコル(TSP)」、RFC 3161、2001年8月。
[RFC3280] Housley, R., Polk, W., Ford, W., and D. Solo, "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile", RFC 3280, April 2002.
[RFC3280] Housley、R.、Polk、W.、Ford、W.、およびD. Solo、「インターネットX.509公開キーインフラストラクチャ証明書および証明書取消リスト(CRL)プロファイル」、RFC 3280、2002年4月。
[RFC3647] Chokhani, S., Ford, W., Sabett, R., Merrill, C., and S. Wu, "Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework", RFC 3647, November 2003.
[RFC3647] Chokhani、S.、Ford、W.、Sabett、R.、Merrill、C。、およびS. Wu、「インターネットX.509公開キーインフラストラクチャ証明書ポリシーと認証慣行フレームワーク」、RFC 3647、2003年11月。
Below are several example application scenarios demonstrating one or more of the basic service features mentioned above.
以下は、上記の基本的なサービス機能の1つ以上を示すいくつかのアプリケーションシナリオの例です。
A long-term archive service may store data objects, such as signed or unsigned documents, for authenticated users. It may generate time stamps for these data objects and obtain verification data during the archival period or until a deletion request is received from an authorized entity.
長期的なアーカイブサービスは、認証されたユーザー向けに、署名されたドキュメントや署名されていないドキュメントなどのデータオブジェクトを保存する場合があります。これらのデータオブジェクトのタイムスタンプを生成し、アーカイブ期間中または承認されたエンティティから削除要求が受信されるまで検証データを取得する場合があります。
A long-term archive service may only guarantee non-repudiation of existence of data by periodically generating time stamps and obtaining verification data. It stores data objects (e.g., documents and signatures) locally only for the purpose of non-repudiation and does not function as a document archive for users. It does not support retrieval and deletion of data objects.
長期的なアーカイブサービスは、定期的にタイムスタンプを生成し、検証データを取得することにより、データの存在の非和解のみを保証する場合があります。データオブジェクト(ドキュメントや署名など)を非和解の目的でのみローカルに保存し、ユーザー向けのドキュメントアーカイブとしては機能しません。データオブジェクトの取得と削除をサポートしません。
A long-term archive service may be part of an enterprise network. The network provider and archive service may be part of the same institution. In this case, the service should obtain non-repudiation evidence from a third party. An internally generated acknowledgement may be viewed worthless.
長期的なアーカイブサービスは、エンタープライズネットワークの一部である場合があります。ネットワークプロバイダーおよびアーカイブサービスは、同じ機関の一部である場合があります。この場合、サービスは第三者から非控除証拠を取得する必要があります。内部で生成された謝辞は価値がないと見なされる場合があります。
A long-term archive service may be provided over the Internet for enterprises or consumers. In this case, archiving and providing evidence (via time stamps or other means) may be adduced by one organization and its own technical infrastructure, without using external services.
企業または消費者向けにインターネットを介して長期的なアーカイブサービスが提供される場合があります。この場合、外部サービスを使用せずに、1つの組織と独自の技術インフラストラクチャによって(タイムスタンプまたはその他の手段を介して)証拠をアーカイブおよび提供することができます。
Authors' Addresses
著者のアドレス
Carl Wallace Cygnacom Solutions Suite 5200 7925 Jones Branch Drive McLean, VA 22102
Carl Wallace Cygnacom Solutions Suite 5200 7925 Jones Branch Drive McLean、VA 22102
Fax: +1(703)848-0960
EMail: cwallace@cygnacom.com
Ulrich Pordesch Fraunhofer Gesellschaft Rheinstrasse 75 Darmstadt, Germany D-64295
Ulrich Pordesch Fraunhofer Gesellschaft Rheinstrasse 75 Darmstadt、ドイツD-64295
EMail: ulrich.pordesch@zv.fraunhofer.de
Ralf Brandner InterComponentWare AG Otto-Hahn-Strabe 3 Walldorf, Germany 69190
RALF Brandner Intercomponentware Ag otto-hahn-straße3Walldorf、ドイツ69190
EMail: ralf.brandner@intercomponentware.com
Full Copyright Statement
完全な著作権声明
Copyright (C) The IETF Trust (2007).
著作権(c)The IETF Trust(2007)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書は、BCP 78に含まれる権利、ライセンス、および制限の対象となり、そこに記載されている場合を除き、著者はすべての権利を保持しています。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントとここに含まれる情報は、「現状のまま」に基づいて提供され、貢献者、彼/彼女が代表する組織(もしあれば)、インターネット協会、IETFトラスト、インターネットエンジニアリングタスクフォースがすべてを否認します。明示的または黙示的な保証。ここでの情報の使用は、特定の目的に対する商品性または適合性の権利または暗黙の保証を侵害しないという保証を含むがこれらに限定されない。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、知的財産権またはその他の権利の有効性または範囲に関して、本書に記載されている技術の実装または使用、またはそのような権利に基づくライセンスに基づくライセンスの範囲に関連すると主張される可能性のある他の権利に関しては、立場を取得しません。利用可能になります。また、そのような権利を特定するために独立した努力をしたことも表明していません。RFCドキュメントの権利に関する手順に関する情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IETF事務局に行われたIPR開示のコピーと、利用可能にするライセンスの保証、またはこの仕様の実装者またはユーザーによるそのような独自の権利の使用のための一般的なライセンスまたは許可を取得するための試みの結果を取得できます。http://www.ietf.org/iprのIETFオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、関心のある当事者に、著作権、特許、または特許出願、またはこの基準を実装するために必要なテクノロジーをカバーする可能性のあるその他の独自の権利を注意深く招待します。ietf-ipr@ietf.orgのIETFへの情報をお問い合わせください。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFCエディター機能の資金は現在、インターネット協会によって提供されています。