[要約] RFC 5126は、CMS Advanced Electronic Signatures(CAdES)の仕様を定義しています。CAdESは、電子署名の高度な機能を提供するために開発されました。このRFCの目的は、CAdESの仕様を明確にし、セキュアな電子署名の実装を促進することです。
Network Working Group D. Pinkas
Request for Comments: 5126 Bull SAS
Obsoletes: 3126 N. Pope
Category: Informational Thales eSecurity
J. Ross
Security and Standards
February 2008
CMS Advanced Electronic Signatures (CAdES)
CMS高度な電子署名(ケード)
Status of This Memo
本文書の位置付け
This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited.
このメモは、インターネットコミュニティに情報を提供します。いかなる種類のインターネット標準を指定しません。このメモの配布は無制限です。
Abstract
概要
This document defines the format of an electronic signature that can remain valid over long periods. This includes evidence as to its validity even if the signer or verifying party later attempts to deny (i.e., repudiates) the validity of the signature.
このドキュメントでは、長期間にわたって有効であることができる電子署名の形式を定義します。これには、署名者または検証が後で署名の妥当性を否定しようとする(つまり、拒否)しようとする場合でも、その有効性に関する証拠が含まれます。
The format can be considered as an extension to RFC 3852 and RFC 2634, where, when appropriate, additional signed and unsigned attributes have been defined.
この形式は、RFC 3852およびRFC 2634の拡張機能と見なすことができ、必要に応じて追加の署名属性と署名されていない属性が定義されています。
The contents of this Informational RFC amount to a transposition of the ETSI Technical Specification (TS) 101 733 V.1.7.4 (CMS Advanced Electronic Signatures -- CAdES) and is technically equivalent to it.
この情報RFCの内容は、ETSI技術仕様(TS)101 733 V.1.7.4(CMS Advanced Electronic Signatures -Cades)の転置に相当し、技術的にはそれに相当します。
The technical contents of this specification are maintained by ETSI. The ETSI TS and further updates are available free of charge at: http://www.etsi.org/WebSite/Standards/StandardsDownload.aspx
この仕様の技術的内容は、ETSIによって維持されます。ETSI TSおよびその他の更新は、http://www.etsi.org/website/standards/standardsdownload.aspxで無料でご利用いただけます。
Table of Contents
目次
1. Introduction ....................................................6
2. Scope ...........................................................6
3. Definitions and Abbreviations ...................................8
3.1. Definitions ................................................8
3.2. Abbreviations .............................................11
4. Overview .......................................................12
4.1. Major Parties .............................................13
4.2. Signature Policies ........................................14
4.3. Electronic Signature Formats ..............................15
4.3.1. CAdES Basic Electronic Signature (CAdES-BES) .......15
4.3.2. CAdES Explicit Policy-based Electronic
Signatures (CAdES-EPES) ............................18
4.4. Electronic Signature Formats with Validation Data .........19
4.4.1. Electronic Signature with Time (CAdES-T) ...........20
4.4.2. ES with Complete Validation Data References
(CAdES-C) ..........................................21
4.4.3. Extended Electronic Signature Formats ..............23
4.4.3.1. EXtended Long Electronic Signature
(CAdES-X Long) ............................24
4.4.3.2. EXtended Electronic Signature with
Time Type 1 ...............................25
4.4.3.3. EXtended Electronic Signature with
Time Type 2 ...............................26
4.4.3.4. EXtended Long Electronic Signature
with Time (CAdES-X Long ...................27
4.4.4. Archival Electronic Signature (CAdES-A) ............27
4.5. Arbitration ...............................................28
4.6. Validation Process ........................................29
5. Electronic Signature Attributes ................................30
5.1. General Syntax ............................................30
5.2. Data Content Type .........................................30
5.3. Signed-data Content Type ..................................30
5.4. SignedData Type ...........................................31
5.5. EncapsulatedContentInfo Type ..............................31
5.6. SignerInfo Type ...........................................31
5.6.1. Message Digest Calculation Process .................32
5.6.2. Message Signature Generation Process ...............32
5.6.3. Message Signature Verification Process .............32
5.7. Basic ES Mandatory Present Attributes .....................32
5.7.1. content-type .......................................32
5.7.2. Message Digest .....................................33
5.7.3. Signing Certificate Reference Attributes ...........33
5.7.3.1. ESS signing-certificate Attribute
Definition ................................34
5.7.3.2. ESS signing-certificate-v2
Attribute Definition ......................34
5.7.3.3. Other signing-certificate
Attribute Definition ......................35
5.8. Additional Mandatory Attributes for Explicit
Policy-based Electronic Signatures ........................36
5.8.1. signature-policy-identifier ........................36
5.9. CMS Imported Optional Attributes ..........................38
5.9.1. signing-time .......................................38
5.9.2. countersignature ...................................39
5.10. ESS-Imported Optional Attributes .........................39
5.10.1. content-reference Attribute .......................39
5.10.2. content-identifier Attribute ......................39
5.10.3. content-hints Attribute ...........................40
5.11. Additional Optional Attributes Defined in the
Present Document .........................................40
5.11.1. commitment-type-indication Attribute ..............41
5.11.2. signer-location Attribute .........................43
5.11.3. signer-attributes Attribute .......................43
5.11.4. content-time-stamp Attribute ......................44
5.12. Support for Multiple Signatures ..........................44
5.12.1. Independent Signatures ............................44
5.12.2. Embedded Signatures ...............................45
6. Additional Electronic Signature Validation Attributes ..........45
6.1. signature time-stamp Attribute (CAdES-T) ..................47
6.1.1. signature-time-stamp Attribute Definition ..........47
6.2. Complete Validation Data References (CAdES-C) .............48
6.2.1. complete-certificate-references Attribute
Definition .........................................48
6.2.2. complete-revocation-references Attribute
Definition .........................................49
6.2.3. attribute-certificate-references Attribute
Definition .........................................51
6.2.4. attribute-revocation-references Attribute
Definition .........................................52
6.3. Extended Validation Data (CAdES-X) ........................52
6.3.1. Time-Stamped Validation Data (CAdES-X Type
1 or Type 2) .......................................53
6.3.2. Long Validation Data (CAdES-X Long, CAdES-X
Long Type 1 or 2) ..................................53
6.3.3. certificate-values Attribute Definition ............54
6.3.4. revocation-values Attribute Definition .............54
6.3.5. CAdES-C-time-stamp Attribute Definition ............56
6.3.6. time-stamped-certs-crls-references
Attribute Definition ...............................57
6.4. Archive Validation Data ...................................58
6.4.1. archive-time-stamp Attribute Definition ............58
7. Other Standard Data Structures .................................60
7.1. Public Key Certificate Format .............................60
7.2. Certificate Revocation List Format ........................60
7.3. OCSP Response Format ......................................60
7.4. Time-Stamp Token Format ...................................60
7.5. Name and Attribute Formats ................................60
7.6. AttributeCertificate ......................................61
8. Conformance Requirements .......................................61
8.1. CAdES-Basic Electronic Signature (CAdES-BES) ..............62
8.2. CAdES-Explicit Policy-based Electronic Signature ..........63
8.3. Verification Using Time-Stamping ..........................63
8.4. Verification Using Secure Records .........................63
9. References .....................................................64
9.1. Normative References ......................................64
9.2. Informative References ....................................65
Annex A (normative): ASN.1 Definitions ............................69
A.1. Signature Format Definitions Using
X.208 ASN.1 Syntax ...................................69
A.2. Signature Format Definitions Using
X.680 ASN.1 Syntax ...................................77
Annex B (informative): Extended Forms of Electronic Signatures ....86
B.1. Extended Forms of Validation Data ....................86
B.1.1. CAdES-X Long ..................................87
B.1.2. CAdES-X Type 1 ................................88
B.1.3. CAdES-X Type 2 ................................90
B.1.4. CAdES-X Long Type 1 and CAdES-X Long Type 2 ...91
B.2. Time-Stamp Extensions ................................93
B.3. Archive Validation Data (CAdES-A) ....................94
B.4. Example Validation Sequence ..........................97
B.5. Additional Optional Features ........................102
Annex C (informative): General Description .......................103
C.1. The Signature Policy ................................103
C.2. Signed Information ..................................104
C.3. Components of an Electronic Signature ...............104
C.3.1. Reference to the Signature Policy ............104
C.3.2. Commitment Type Indication ...................105
C.3.3. Certificate Identifier from the Signer .......106
C.3.4. Role Attributes ..............................106
C.3.4.1. Claimed Role .......................107
C.3.4.2. Certified Role .....................107
C.3.5. Signer Location ..............................108
C.3.6. Signing Time .................................108
C.3.7. Content Format ...............................108
C.3.8. content-hints ................................109
C.3.9. Content Cross-Referencing ....................109
C.4. Components of Validation Data .......................109
C.4.1. Revocation Status Information ................109
C.4.1.1. CRL Information .....................110
C.4.1.2. OCSP Information ....................110
C.4.2. Certification Path ...........................111
C.4.3. Time-stamping for Long Life of Signatures ....111
C.4.4. Time-stamping for Long Life of Signature
before CA key Compromises ....................113
C.4.4.1. Time-stamping the ES with
Complete Validation Data ...........113
C.4.4.2. Time-Stamping Certificates and
Revocation Information References ..114
C.4.5. Time-stamping for Archive of Signature .......115
C.4.6. Reference to Additional Data .................116
C.4.7. Time-Stamping for Mutual Recognition .........116
C.4.8. TSA Key Compromise ...........................117
C.5. Multiple Signatures .................................118
Annex D (informative): Data Protocols to Interoperate with TSPs ..118
D.1. Operational Protocols ...............................118
D.1.1. Certificate Retrieval ........................118
D.1.2. CRL Retrieval ................................118
D.1.3. Online Certificate Status ....................119
D.1.4. Time-Stamping ................................119
D.2. Management Protocols ................................119
D.2.1. Request for Certificate Revocation ...........119
Annex E (informative): Security Considerations ...................119
E.1. Protection of Private Key ...........................119
E.2. Choice of Algorithms ................................119
Annex F (informative): Example Structured Contents and MIME ......120
F.1. General Description .................................120
F.1.1. Header Information ...........................120
F.1.2. Content Encoding .............................121
F.1.3. Multi-Part Content ...........................121
F.2. S/MIME ..............................................122
F.2.1. Using application/pkcs7-mime .................123
F.2.2. Using application/pkcs7-signature ............124
Annex G (informative): Relationship to the European Directive
and EESSI .................................125
G.1. Introduction ........................................125
G.2. Electronic Signatures and the Directive .............126
G.3. ETSI Electronic Signature Formats and the Directive .127
G.4. EESSI Standards and Classes of Electronic Signature .127
G.4.1. Structure of EESSI Standardization ...........127
G.4.2. Classes of Electronic Signatures .............128
G.4.3. Electronic Signature Classes and the ETSI
Electronic Signature Format ..................128
Annex H (informative): APIs for the Generation and Verification
of Electronic Signatures Tokens ...........129
H.1. Data Framing ........................................129
H.2. IDUP-GSS-APIs Defined by the IETF ...................131
H.3. CORBA Security Interfaces Defined by the OMG ........132
Annex I (informative): Cryptographic Algorithms ..................133
I.1. Digest Algorithms ...................................133
I.1.1. SHA-1 ........................................133
I.1.2. General ......................................133
I.2. Digital Signature Algorithms ........................134
I.2.1. DSA ..........................................134
I.2.2. RSA ..........................................135
I.2.3. General ......................................135
Annex J (informative): Guidance on Naming ........................137
J.1. Allocation of Names .................................137
J.2. Providing Access to Registration Information ........138
J.3. Naming Schemes ......................................138
J.3.1. Naming Schemes for Individual Citizens .......138
J.3.2. Naming Schemes for Employees of an
Organization .................................139
This document is intended to cover electronic signatures for various types of transactions, including business transactions (e.g., purchase requisition, contract, and invoice applications) where long-term validity of such signatures is important. This includes evidence as to its validity even if the signer or verifying party later attempts to deny (i.e., repudiates; see ISO/IEC 10181-5 [ISO10181-5]) the validity of the signature.
このドキュメントは、そのような署名の長期的な有効性が重要な場合、ビジネストランザクション(購入要求、契約、請求書アプリケーションなど)など、さまざまなタイプのトランザクションの電子署名をカバーすることを目的としています。これには、署名者または検証が後で拒否しようとする場合でも(つまり、拒否します。ISO/IEC 10181-5 [ISO10181-5]を参照)、署名の妥当性を検証する場合でも、その有効性に関する証拠が含まれます。
Thus, the present document can be used for any transaction between an individual and a company, between two companies, between an individual and a governmental body, etc. The present document is independent of any environment; it can be applied to any environment, e.g., smart cards, Global System for Mobile Communication Subscriber Identity Module (GSM SIM) cards, special programs for electronic signatures, etc.
したがって、現在の文書は、個人と会社の間の任意の取引、2つの企業間、個人と政府機関などの取引に使用できます。現在の文書は、あらゆる環境とは無関係です。あらゆる環境に適用できます。たとえば、スマートカード、モバイル通信サブスクライバーIDモジュール(GSM SIM)カード用のグローバルシステム、電子署名用の特別なプログラムなど
The European Directive on a community framework for Electronic Signatures defines an electronic signature as: "Data in electronic form which is attached to or logically associated with other electronic data and which serves as a method of authentication".
電子署名のコミュニティフレームワークに関する欧州指令は、電子署名を次のように定義しています。「他の電子データに添付されている、または論理的に関連付けられており、認証方法として機能する電子形式のデータ」。
An electronic signature, as used in the present document, is a form of advanced electronic signature, as defined in the Directive.
現在のドキュメントで使用されている電子署名は、指令で定義されている高度な電子署名の形式です。
The scope of the present document covers electronic signature formats only. The aspects of Electronic Signature Policies are defined in RFC 3125 [RFC3125] and ETSI TR 102 272 [TR102272].
現在のドキュメントの範囲は、電子署名形式のみをカバーしています。電子署名ポリシーの側面は、RFC 3125 [RFC3125]およびETSI TR 102 272 [TR102272]で定義されています。
The present document defines a number of electronic signature formats, including electronic signatures that can remain valid over long periods. This includes evidence as to its validity even if the signer or verifying party later attempts to deny (repudiates) the validity of the electronic signature.
現在のドキュメントでは、長期間にわたって有効であることができる電子署名を含む、多くの電子署名形式を定義しています。これには、署名者または検証が後に電子署名の有効性を否定(拒否)しようとする場合でも、その有効性に関する証拠が含まれます。
The present document specifies use of Trusted Service Providers (e.g., Time-Stamping Authorities) and the data that needs to be archived (e.g., cross-certificates and revocation lists) to meet the requirements of long-term electronic signatures.
現在のドキュメントでは、長期的な電子署名の要件を満たすために、信頼できるサービスプロバイダー(例:タイムスタンピング当局)とアーカイブする必要があるデータ(たとえば、クロス認証および取り消しリスト)の使用を指定しています。
An electronic signature, as defined by the present document, can be used for arbitration in case of a dispute between the signer and verifier, which may occur at some later time, even years later.
現在の文書で定義されている電子署名は、署名者と検証者との間の紛争の場合に仲裁に使用できます。
The present document includes the concept of signature policies that can be used to establish technical consistency when validating electronic signatures, but it does not mandate their use.
現在のドキュメントには、電子署名を検証する際に技術的な一貫性を確立するために使用できる署名ポリシーの概念が含まれていますが、それらの使用を義務付けていません。
The present document is based on the use of public key cryptography to produce digital signatures, supported by public key certificates. The present document also specifies the use of time-stamping and time-marking services to prove the validity of a signature long after the normal lifetime of critical elements of an electronic signature. This document also, as an option, defines ways to provide very long-term protection against key compromise or weakened algorithms.
現在の文書は、公開キーの署名を作成するための公開キー暗号化の使用に基づいており、公開キー証明書によってサポートされています。現在のドキュメントでは、電子署名の重要な要素の通常の寿命の後に署名の妥当性を証明するために、タイムスタンプおよびタイムマークサービスの使用も指定しています。また、このドキュメントは、オプションとして、重要な妥協または弱体化したアルゴリズムに対する非常に長期的な保護を提供する方法を定義します。
The present document builds on existing standards that are widely adopted. These include:
現在のドキュメントは、広く採用されている既存の標準に基づいています。これらには以下が含まれます:
- RFC 3852 [4]: "Cryptographic Message Syntax (CMS)";
- RFC 3852 [4]:「暗号化メッセージ構文(CMS)」;
- ISO/IEC 9594-8/ITU-T Recommendation X.509 [1]: "Information technology - Open Systems Interconnection - The Directory: Authentication framework";
- ISO/IEC 9594-8/ITU -T推奨X.509 [1]:「情報技術 - オープンシステムの相互接続 - ディレクトリ:認証フレームワーク」;
- RFC 3280 [2]: "Internet X.509 Public Key Infrastructure (PKIX) Certificate and Certificate Revocation List (CRL) Profile";
- RFC 3280 [2]:「インターネットX.509公開キーインフラストラクチャ(PKIX)証明書および証明書取消リスト(CRL)プロファイル」;
- RFC 3161 [7]: "Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP)".
- RFC 3161 [7]:「インターネットX.509公開キーインフラストラクチャタイムスタンププロトコル(TSP)」」。
NOTE: See Section 11 for a full set of references.
注:参照の完全なセットについては、セクション11を参照してください。
The present document describes formats for advanced electronic signatures using ASN.1 (Abstract Syntax Notation 1) [14]. ASN.1 is encoded using X.690 [16].
現在のドキュメントでは、ASN.1を使用した高度な電子署名の形式について説明しています(要約構文表記1)[14]。ASN.1はX.690 [16]を使用してエンコードされています。
These formats are based on CMS (Cryptographic Message Syntax) defined in RFC 3852 [4]. These electronic signatures are thus called CAdES, for "CMS Advanced Electronic Signatures".
これらの形式は、RFC 3852 [4]で定義されているCMS(暗号化メッセージ構文)に基づいています。したがって、これらの電子署名は、「CMS Advanced Electronic Signatures」のためにケードと呼ばれます。
Another document, TS 101 903 [TS101903], describes formats for XML advanced electronic signatures (XAdES) built on XMLDSIG as specified in [XMLDSIG].
別のドキュメントTS 101 903 [TS101903]は、[XMLDSIG]で指定されているようにXMLDSIG上に構築されたXML Advanced Electronic Signatures(Xades)の形式について説明しています。
In addition, the present document identifies other documents that define formats for Public Key Certificates, Attribute Certificates, and Certificate Revocation Lists and supporting protocols, including protocols for use by trusted third parties to support the operation of electronic signature creation and validation.
さらに、現在のドキュメントは、公開キー証明書、属性証明書、証明書の取り消しリスト、およびサポートプロトコルの形式を定義する他のドキュメントを特定します。
Informative annexes include:
有益な付録には以下が含まれます。
- illustrations of extended forms of Electronic Signature formats that protect against various vulnerabilities and examples of validation processes (Annex B);
- さまざまな脆弱性と検証プロセスの例から保護する電子署名形式の拡張形式のイラスト(付録B)。
- descriptions and explanations of some of the concepts used in the present document, giving a rationale for normative parts of the present document (Annex C);
- 現在のドキュメントで使用されているいくつかの概念の説明と説明。現在の文書の規範的部分(付録C)の理論的根拠を示しています。
- information on protocols to interoperate with Trusted Service Providers (Annex D);
- 信頼できるサービスプロバイダーと相互運用するプロトコルに関する情報(付録D)。
- guidance on naming (Annex E);
- 命名に関するガイダンス(付録E);
- an example structured content and MIME (Annex F);
- 構造化されたコンテンツとMIMEの例(付録F);
- the relationship between the present document and the directive on electronic signature and associated standardization initiatives (Annex G);
- 現在の文書と電子署名および関連する標準化イニシアチブに関する指令(付録G)との関係。
- APIs to support the generation and verification of electronic signatures (Annex H);
- 電子署名の生成と検証をサポートするAPI(付録H);
- cryptographic algorithms that may be used (Annex I); and
- 使用できる暗号化アルゴリズム(付録I);と
- naming schemes (see Annex J).
- 命名スキーム(付録Jを参照)。
For the purposes of the present document, the following terms and definitions apply:
現在の文書の目的のために、次の用語と定義が適用されます。
Arbitrator: an arbitrator entity may be used to arbitrate a dispute between a signer and verifier when there is a disagreement on the validity of a digital signature.
仲裁人:仲裁人エンティティは、デジタル署名の有効性について意見の相違がある場合、署名者と検証剤の間の紛争を仲裁するために使用される場合があります。
Attribute Authority (AA): an authority that assigns privileges by issuing attribute certificates.
属性権限(AA):属性証明書を発行することにより特権を割り当てる権限。
Authority Certificate: a certificate issued to an authority (e.g., either to a certification authority or an attribute authority).
当局証明書:当局に発行された証明書(例:認証当局または属性当局のいずれか)。
Attribute Authority Revocation List (AARL): a revocation list containing a list of references to certificates issued to AAs that are no longer considered valid by the issuing authority.
Attribute Authority Recocation List(AARL):発行機関によって有効ではなくなったAASに発行された証明書への参照のリストを含む取り消しリスト。
Attribute Certificate Revocation List (ACRL): a revocation list containing a list of references to attribute certificates that are no longer considered valid by the issuing authority.
属性証明書取消リスト(ACRL):発行機関によって有効ではなくなった属性証明書への参照のリストを含む取り消しリスト。
Certification Authority Revocation List (CARL): a revocation list containing a list of public key certificates issued to certification authorities that are no longer considered valid by the certificate issuer.
認証局の取り消しリスト(CARL):証明書発行者によって有効ではなくなった認定当局に発行された公開キー証明書のリストを含む取り消しリスト。
Certification Authority (CA): an authority trusted by one or more users to create and assign public key certificates; optionally, the certification authority may create the users' keys.
認定機関(CA):1人以上のユーザーが公開キーの証明書を作成および割り当てるために信頼できる機関。オプションで、認定機関はユーザーのキーを作成する場合があります。
NOTE: See ITU-T Recommendation X.509 [1].
注:ITU-Tの推奨X.509 [1]を参照してください。
Certificate Revocation List (CRL): a signed list indicating a set of public key certificates that are no longer considered valid by the certificate issuer.
証明書取消リスト(CRL):証明書発行者によって有効ではなくなった公開キー証明書のセットを示す署名リスト。
Digital Signature: data appended to, or a cryptographic transformation of, a data unit that allows a recipient of the data unit to prove the source and integrity of the data unit and protect against forgery, e.g., by the recipient.
デジタル署名:データユニットの受信者がデータユニットのソースと整合性を証明し、受信者によって偽造から保護できるようにするデータユニットに追加されたデータまたは暗号化された変換。
NOTE: See ISO 7498-2 [ISO7498-2].
注:ISO 7498-2 [ISO7498-2]を参照してください。
Electronic Signature: data in electronic form that is attached to or logically associated with other electronic data and that serves as a method of authentication.
電子署名:他の電子データに添付されている、または論理的に関連付けられており、認証方法として機能する電子形式のデータ。
NOTE: See Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures [EUDirective].
注:1999年12月13日の欧州議会および評議会の1999/93/ECの指令を参照してください。
Extended Electronic Signatures: electronic signatures enhanced by complementing the baseline requirements with additional data, such as time-stamp tokens and certificate revocation data, to address commonly recognized threats.
拡張された電子署名:一般的に認識されている脅威に対処するために、タイムスタンプトークンや証明書の取り消しデータなどの追加データでベースライン要件を補完することにより強化された電子署名。
Explicit Policy-based Electronic Signature (EPES): an electronic signature where the signature policy that shall be used to validate it is explicitly specified.
明示的なポリシーベースの電子署名(EPES):それを検証するために使用される署名ポリシーが明示的に指定されている電子署名。
Grace Period: a time period that permits the certificate revocation information to propagate through the revocation process to relying parties.
猶予期間:証明書の取り消し情報が取り消しプロセスを通じて依存して当事者に伝播することを許可する期間。
Initial Verification: a process performed by a verifier done after an electronic signature is generated in order to capture additional information that could make it valid for long-term verification.
初期検証:電子署名の後に行われた検証剤によって実行されるプロセスは、長期的な検証に有効にする可能性のある追加情報をキャプチャするために生成されます。
Public Key Certificate (PKC): public keys of a user, together with some other information, rendered unforgeable by encipherment with the private key of the certification authority that issued it.
公開鍵証明書(PKC):ユーザーのパブリックキーは、他の情報とともに、発行した認定機関の秘密鍵との秘密鍵との容赦なくレンダリングされました。
NOTE: See ITU-T Recommendation X.509 [1].
注:ITU-Tの推奨X.509 [1]を参照してください。
Rivest-Shamir-Adleman (RSA): an asymmetric cryptography algorithm based on the difficulty to factor very large numbers using a key pair: a private key and a public key.
Rivest-Shamir-Adleman(RSA):キーペアを使用して非常に多くの数値を考慮するのが難しいことに基づく非対称暗号化アルゴリズム:秘密鍵と公開キー。
Signature Policy: a set of rules for the creation and validation of an electronic signature that defines the technical and procedural requirements for electronic signature creation and validation, in order to meet a particular business need, and under which the signature can be determined to be valid.
署名ポリシー:特定のビジネスニーズを満たすために、電子署名の作成と検証の技術的および手続き的要件を定義する電子署名の作成と検証に関する一連のルール、および署名が有効であると判断されることができる。
Signature Policy Issuer: an entity that defines and issues a signature policy.
署名ポリシー発行者:署名ポリシーを定義および発行するエンティティ。
Signature Validation Policy: part of the signature policy that specifies the technical requirements on the signer in creating a signature and verifier when validating a signature.
署名検証ポリシー:署名者の技術要件を指定する署名ポリシーの一部は、署名を検証する際に署名と検証を作成する際に指定します。
Signer: an entity that creates an electronic signature.
署名者:電子署名を作成するエンティティ。
Subsequent Verification: a process performed by a verifier to assess the signature validity.
後続の検証:検証者によって実行されるプロセスが署名の妥当性を評価します。
NOTE: Subsequent verification may be done even years after the electronic signature was produced by the signer and completed by the initial verification, and it might not need to capture more data than those captured at the time of initial verification.
注:後続の検証は、電子署名が署名者によって作成され、最初の検証によって完了してから数年後でも行われ、最初の検証時にキャプチャされたデータよりも多くのデータをキャプチャする必要はない場合があります。
Time-Stamp Token: a data object that binds a representation of a datum to a particular time, thus establishing evidence that the datum existed before that time.
タイムスタンプトークン:データムの表現を特定の時間に結合するデータオブジェクトであり、その時以前にデータムが存在していたという証拠を確立します。
Time-Mark: information in an audit trail from a Trusted Service Provider that binds a representation of a datum to a particular time, thus establishing evidence that the datum existed before that time.
Time-Mark:データムの表現を特定の時間に結合する信頼できるサービスプロバイダーからの監査証跡の情報が、その時以前にデータムが存在していたという証拠を確立します。
Time-Marking Authority: a trusted third party that creates records in an audit trail in order to indicate that a datum existed before a particular point in time.
タイムマーキング当局:特定の時点でデータムが存在したことを示すために監査証跡に記録を作成する信頼できる第三者。
Time-Stamping Authority (TSA): a trusted third party that creates time-stamp tokens in order to indicate that a datum existed at a particular point in time.
タイムスタンピング機関(TSA):特定の時点でデータムが存在したことを示すために、タイムスタンプトークンを作成する信頼できる第三者。
Time-Stamping Unit (TSU): a set of hardware and software that is managed as a unit and has a single time-stamp token signing key active at a time.
タイムスタンピングユニット(TSU):ユニットとして管理され、一度にアクティブにアクティブになっている単一のタイムスタンプトークン署名があるハードウェアとソフトウェアのセット。
Trusted Service Provider (TSP): an entity that helps to build trust relationships by making available or providing some information upon request.
Trusted Service Provider(TSP):リクエストに応じて情報を提供したり、情報を提供したりすることで、信頼関係を構築するのに役立つエンティティ。
Validation Data: additional data that may be used by a verifier of electronic signatures to determine that the signature is valid.
検証データ:電子署名の検証者によって使用される追加データが署名が有効であると判断することができます。
Valid Electronic Signature: an electronic signature that passes validation.
有効な電子署名:検証に合格する電子署名。
Verifier: an entity that verifies evidence.
Verifier:証拠を検証するエンティティ。
NOTE 1: See ISO/IEC 13888-1 [ISO13888-1].
注1:ISO/IEC 13888-1 [ISO13888-1]を参照してください。
NOTE 2: Within the context of the present document, this is an entity that validates an electronic signature.
注2:現在のドキュメントのコンテキスト内で、これは電子署名を検証するエンティティです。
For the purposes of the present document, the following abbreviations apply:
現在の文書の目的のために、次の略語が適用されます。
AA Attribute Authority
AARL Attribute Authority Revocation List
ACRL Attribute Certificate Revocation List
API Application Program Interface
ASCII American Standard Code for Information Interchange
ASN.1 Abstract Syntax Notation 1
CA Certification Authority
CAD Card Accepting Device
CAdES CMS Advanced Electronic Signature
CAdES-A CAdES with Archive validation data
CAdES-BES CAdES Basic Electronic Signature
CAdES-C CAdES with Complete validation data
CAdES-EPES CAdES Explicit Policy Electronic Signature
CAdES-T CAdES with Time
CAdES-X CAdES with eXtended validation data
CAdES-X Long CAdES with EXtended Long validation data
CARL Certification Authority Revocation List
CMS Cryptographic Message Syntax
CRL Certificate Revocation List
CWA CEN (European Committee for Standardization) Workshop
Agreement
DER Distinguished Encoding Rules (for ASN.1)
DSA Digital Signature Algorithm
EDIFACT Electronic Data Interchange For Administration,
Commerce and Transport
EESSI European Electronic Signature Standardization
Initiative
EPES Explicit Policy-based Electronic Signature
ES Electronic Signature
ESS Enhanced Security Services (enhances CMS)
IDL Interface Definition Language
MIME Multipurpose Internet Mail Extensions
OCSP Online Certificate Status Provider
OID Object IDentifier
PKC Public Key Certificate
PKIX Public Key Infrastructure using X.509
(IETF Working Group)
RSA Rivest-Shamir-Adleman
SHA-1 Secure Hash Algorithm 1
TSA Time-Stamping Authority
TSP Trusted Service Provider
TST Time-Stamp Token
TSU Time-Stamping Unit
URI Uniform Resource Identifier
URL Uniform Resource Locator
XML Extensible Markup Language
XMLDSIG XML Digital Signature
The present document defines a number of Electronic Signature (ES) formats that build on CMS (RFC 3852 [4]) by adding signed and unsigned attributes.
現在のドキュメントでは、署名付き属性と符号なし属性を追加することにより、CMS(RFC 3852 [4])に基づいて構築される多くの電子署名(ES)形式を定義しています。
This section:
このセクション:
- provides an introduction to the major parties involved (Section 4.1),
- 関係する主要政党への紹介を提供します(セクション4.1)、
- introduces the concept of signature policies (Section 4.2),
- 署名ポリシーの概念を紹介します(セクション4.2)、
- provides an overview of the various ES formats (Section 4.3),
- さまざまなES形式の概要(セクション4.3)を提供します。
- introduces the concept of validation data, and provides an overview of formats that incorporate validation data (Section 4.4), and
- 検証データの概念を紹介し、検証データを組み込んだ形式の概要(セクション4.4)を提供します。
- presents relevant considerations on arbitration (Section 4.5) and for the validation process (Section 4.6).
- 仲裁(セクション4.5)および検証プロセス(セクション4.6)に関する関連する考慮事項を提示します。
The formal specifications of the attributes are specified in Sections 5 and 6; Annexes C and D provide rationale for the definitions of the different ES forms.
属性の正式な仕様は、セクション5および6で指定されています。付録CとDは、異なるESフォームの定義の理論的根拠を提供します。
The major parties involved in a business transaction supported by electronic signatures, as defined in the present document, are:
現在の文書で定義されているように、電子署名によってサポートされているビジネストランザクションに関与する主要な当事者は次のとおりです。
- the signer; - the verifier; - Trusted Service Providers (TSP); and - the arbitrator.
- 署名者; - 検証剤; - 信頼できるサービスプロバイダー(TSP);および - 仲裁人。
The signer is the entity that creates the electronic signature. When the signer digitally signs over data using the prescribed format, this represents a commitment on behalf of the signing entity to the data being signed.
署名者は、電子署名を作成するエンティティです。署名者が所定の形式を使用してデータをデジタル的に署名する場合、これは署名されているデータに対する署名エンティティに代わってコミットメントを表します。
The verifier is the entity that validates the electronic signature; it may be a single entity or multiple entities.
検証者は、電子署名を検証するエンティティです。これは、単一のエンティティまたは複数のエンティティである場合があります。
The Trusted Service Providers (TSPs) are one or more entities that help to build trust relationships between the signer and verifier. They support the signer and verifier by means of supporting services including: user certificates, cross-certificates, time-stamp tokens, CRLs, ARLs, and OCSP responses. The following TSPs are used to support the functions defined in the present document:
信頼できるサービスプロバイダー(TSP)は、署名者と検証者の間の信頼関係を構築するのに役立つ1つ以上のエンティティです。ユーザー証明書、クロス認証、タイムスタンプトークン、CRL、ARLS、OCSP応答など、サービスをサポートすることにより、署名者と検証者をサポートします。次のTSPは、現在のドキュメントで定義されている関数をサポートするために使用されます。
- Certification Authorities; - Registration Authorities; - CRL Issuers; - OCSP Responders; - Repository Authorities (e.g., a Directory); - Time-Stamping Authorities; - Time-Marking Authorities; and - Signature Policy Issuers.
- 認定当局。 - 登録当局。-CRL発行者。-OCSP応答者。 - リポジトリ当局(例:ディレクトリ); - タイムスタンピング当局。 - タイムマーキング当局。および - 署名ポリシー発行者。
Certification Authorities provide users with public key certificates and a revocation service.
認定当局は、ユーザーに公開キー証明書と取り消しサービスを提供します。
Registration Authorities allow the identification and registration of entities before a CA generates certificates.
登録当局は、CAが証明書を生成する前に、エンティティの識別と登録を許可します。
Repository Authorities publish CRLs issued by CAs, signature policies issued by Signature Policy Issuers, and optionally public key certificates.
リポジトリ当局は、CASによって発行されたCRL、署名ポリシー発行者が発行した署名ポリシー、およびオプションで公開キー証明書を公開しています。
Time-Stamping Authorities attest that some data was formed before a given trusted time.
タイムスタンプ当局は、特定の信頼時間の前にいくつかのデータが形成されたことを証明しています。
Time-Marking Authorities record that some data was formed before a given trusted time.
タイムマーク当局は、特定の信頼時間の前にいくつかのデータが形成されたことを記録しています。
Signature Policy Issuers define the signature policies to be used by signers and verifiers.
署名ポリシー発行者は、署名者と検証者が使用する署名ポリシーを定義します。
In some cases, the following additional TSPs are needed:
場合によっては、次の追加のTSPが必要です。
- Attribute Authorities.
- 属性当局。
Attributes Authorities provide users with attributes linked to public key certificates.
属性当局は、公開キー証明書にリンクされた属性をユーザーに提供します。
An Arbitrator is an entity that arbitrates in disputes between a signer and a verifier.
仲裁人は、署名者と検証者の間の紛争で仲裁するエンティティです。
The present document includes the concept of signature policies that can be used to establish technical consistency when validating electronic signatures.
現在のドキュメントには、電子署名を検証する際に技術的な一貫性を確立するために使用できる署名ポリシーの概念が含まれています。
When a comprehensive signature policy used by the verifier is either explicitly indicated by the signer or implied by the data being signed, then a consistent result can be obtained when validating an electronic signature.
検証者が使用する包括的な署名ポリシーが署名者によって明示的に示されるか、署名されているデータによって暗示される場合、電子署名を検証するときに一貫した結果を得ることができます。
When the signature policy being used by the verifier is neither indicated by the signer nor can be derived from other data, or the signature policy is incomplete, then verifiers, including arbitrators, may obtain different results when validating an electronic signature. Therefore, comprehensive signature policies that ensure consistency of signature validation are recommended from both the signer's and verifier's point of view.
検証者が使用する署名ポリシーが署名者によって示されたり、他のデータから導き出されたりすることも、署名ポリシーが不完全である場合、仲裁人を含む検証剤は、電子署名を検証する際に異なる結果を得ることができます。したがって、署名者と検証者の視点の両方から、署名検証の一貫性を確保する包括的な署名ポリシーが推奨されます。
Further information on signature policies is provided in:
署名ポリシーの詳細については、以下を提供しています。
- TR 102 038 [TR102038]; - Sections 5.8.1, C.1, and C.3.1 of the present document; - RFC 3125 [RFC3125]; and - TR 102 272 [TR102272].
- TR 102 038 [TR102038]; - 現在の文書のセクション5.8.1、C.1、およびC.3.1。-RFC 3125 [RFC3125];および-TR 102 272 [TR102272]。
The current section provides an overview for two forms of CMS advanced electronic signature specified in the present document, namely, the CAdES Basic Electronic Signature (CAdES-BES) and the CAdES Explicit Policy-based Electronic Signature (CAdES-EPES). Conformance to the present document mandates that the signer create one of these formats.
現在のセクションでは、現在のドキュメントで指定された2つの形式のCMS高度な電子署名、つまりCades Basic Electronic Signature(Cades-Bes)とCades明示的なポリシーベースの電子署名(Cades-Epes)の概要を説明します。現在の文書への適合は、署名者がこれらの形式のいずれかを作成することを義務付けています。
A CAdES Basic Electronic Signature (CAdES-BES), in accordance with the present document, contains:
Cades Basic Electronic Signature(Cades-Bes)は、現在の文書に従って、以下が含まれています。
- The signed user data (e.g., the signer's document), as defined in CMS (RFC 3852 [4]);
- CMS(RFC 3852 [4])で定義されている署名されたユーザーデータ(署名者のドキュメントなど);
- A collection of mandatory signed attributes, as defined in CMS (RFC 3852 [4]) and in ESS (RFC 2634 [5]);
- CMS(RFC 3852 [4])およびESS(RFC 2634 [5])で定義されている必須署名属性のコレクション。
- Additional mandatory signed attributes, defined in the present document; and
- 本文書で定義されている追加の必須署名属性。と
- The digital signature value computed on the user data and, when present, on the signed attributes, as defined in CMS (RFC 3852 [4]).
- CMSで定義されているように、ユーザーデータと存在する場合、署名された属性(RFC 3852 [4])で計算されたデジタル署名値。
A CAdES Basic Electronic Signature (CAdES-BES), in accordance with the present document, may contain:
Cades Basic Electronic Signature(Cades-Bes)は、現在の文書に従って、以下を含めることができます。
- a collection of additional signed attributes; and
- 追加の署名属性のコレクション。と
- a collection of optional unsigned attributes.
- オプションの符号なし属性のコレクション。
The mandatory signed attributes are:
必須の署名属性は次のとおりです。
- Content-type. It is defined in RFC 3852 [4] and specifies the type of the EncapsulatedContentInfo value being signed. Details are provided in Section 5.7.1 of the present document. Rationale for its inclusion is provided in Annex C.3.7;
- コンテンツタイプ。RFC 3852 [4]で定義されており、署名されているカプセル化されたContentInfo値のタイプを指定します。詳細は、現在のドキュメントのセクション5.7.1に記載されています。その包含の理論的根拠は、付録C.3.7で提供されています。
- Message-digest. It is defined in RFC 3852 [4] and specifies the message digest of the eContent OCTET STRING within encapContentInfo being signed. Details are provided in Section 5.7.2;
- メッセージダイジェスト。RFC 3852 [4]で定義されており、署名されているEncapContentInfo内のecontent Octet Stringのメッセージダイジェストを指定します。詳細については、セクション5.7.2に記載されています。
- ESS signing-certificate OR ESS signing-certificate-v2. The ESS signing-certificate attribute is defined in Enhanced Security Services (ESS), RFC 2634 [5], and only allows for the use of SHA-1 as a digest algorithm. The ESS signing-certificate-v2 attribute is defined in "ESS Update: Adding CertID Algorithm Agility", RFC 5035 [15], and allows for the use of any digest algorithm. A CAdES-BES claiming compliance with the present document must include one of them. Section 5.7.3 provides the details of these attributes. Rationale for its inclusion is provided in Annex C.3.3.
- signing signing-certificateまたはsess signing-ectificate-v2。ESSの署名証明属性は、強化されたセキュリティサービス(ESS)、RFC 2634 [5]で定義されており、SHA-1をダイジェストアルゴリズムとしてのみ使用できます。ESS署名の認証-V2属性は、「ESSアップデート:CertIDアルゴリズムAgilityの追加」、RFC 5035 [15]で定義されており、Digestアルゴリズムを使用できます。現在の文書へのコンプライアンスを主張するケードベスには、そのいずれかを含める必要があります。セクション5.7.3は、これらの属性の詳細を示します。その包含の根拠は、付録C.3.3で提供されています。
Optional signed attributes may be added to the CAdES-BES, including optional signed attributes defined in CMS (RFC 3852 [4]), ESS (RFC 2634 [5]), and the present document. Listed below are optional attributes that are defined in Section 5 and have a rationale provided in Annex C:
CMS(RFC 3852 [4])、ESS(RFC 2634 [5])、および現在のドキュメントで定義されたオプションの署名された属性を含む、オプションの署名された属性がCades-Besに追加される場合があります。以下にリストされているのは、セクション5で定義されており、付録Cで提供される理論的根拠があるオプションの属性です。
- Signing-time: as defined in CMS (RFC 3852 [4]), indicates the time of the signature, as claimed by the signer. Details and short rationale are provided in Section 5.9.1. Annex C.3.6 provides the rationale.
- 署名時間:CMS(RFC 3852 [4])で定義されているように、署名者が主張するように、署名の時間を示します。詳細と短い根拠は、セクション5.9.1に記載されています。付録C.3.6は、理論的根拠を提供します。
- content-hints: as defined in ESS (RFC 2634 [5]), provides information that describes the innermost signed content of a multi-layer message where one content is encapsulated in another. Section 5.10.1 provides the specification details. Annex C.3.8 provides the rationale.
- コンテンツヒント:ESS(RFC 2634 [5])で定義されているように、あるコンテンツが別のコンテンツにカプセル化される多層メッセージの最も内側の署名コンテンツを説明する情報を提供します。セクション5.10.1では、仕様の詳細を示します。付録C.3.8は、理論的根拠を提供します。
- content-reference: as defined in ESS (RFC 2634 [5]), can be incorporated as a way to link request and reply messages in an exchange between two parties. Section 5.10.1 provides the specification details. Annex C.3.9 provides the rationale.
- Content-Reference:ESS(RFC 2634 [5])で定義されているように、2つの当事者間の交換でリクエストと返信メッセージをリンクする方法として組み込むことができます。セクション5.10.1では、仕様の詳細を示します。付録C.3.9は、理論的根拠を提供します。
- content-identifier: as defined in ESS (RFC 2634 [5]), contains an identifier that may be used later on in the previous content-reference attribute. Section 5.10.2 provides the specification details.
- Content-Identifier:ESS(RFC 2634 [5])で定義されているように、以前のコンテンツレファレンス属性で後で使用できる識別子が含まれています。セクション5.10.2では、仕様の詳細を示します。
- commitment-type-indication: this attribute is defined by the present document as a way to indicate the commitment endorsed by the signer when producing the signature. Section 5.11.1 provides the specification details. Annex C.3.2 provides the rationale.
- コミットメントタイプの指定:この属性は、署名を作成する際に署名者が承認したコミットメントを示す方法として現在のドキュメントによって定義されます。セクション5.11.1は、仕様の詳細を示します。付録C.3.2は、理論的根拠を提供します。
- signer-location: this attribute is defined by the present document. It allows the signer to indicate the place where the signer purportedly produced the signature. Section 5.11.2 provides the specification details. Annex C.3.5 provides the rationale.
- 署名者ロケーション:この属性は、現在のドキュメントで定義されています。署名者は、署名者が署名を作成したとされる場所を示すことができます。セクション5.11.2では、仕様の詳細を示します。付録C.3.5は、理論的根拠を提供します。
- signer-attributes: this attribute is defined by the present document. It allows a claimed or certified role to be incorporated into the signed information. Section 5.11.3 provides the specification details. Annex C.3.4 provides the rationale.
- Signer-Attributes:この属性は、現在のドキュメントで定義されています。請求または認定された役割を署名された情報に組み込むことができます。セクション5.11.3は、仕様の詳細を示します。付録C.3.4は、理論的根拠を提供します。
- content-time-stamp: this attribute is defined by the present document. It allows a time-stamp token of the data to be signed to be incorporated into the signed information. It provides proof of the existence of the data before the signature was created. Section 5.11.4 provides the specification details. Annex C.3.6 provides the rationale.
- コンテンツタイムスタンプ:この属性は、現在のドキュメントで定義されています。これにより、データのタイムスタンプトークンを署名して、署名された情報に組み込むことができます。署名が作成される前に、データの存在の証拠を提供します。セクション5.11.4では、仕様の詳細を示します。付録C.3.6は、理論的根拠を提供します。
A CAdES-BES form can also incorporate instances of unsigned attributes, as defined in CMS (RFC 3852 [4]) and ESS (RFC 2634 [5]).
CADES-BESフォームには、CMS(RFC 3852 [4])およびESS(RFC 2634 [5])で定義されているように、署名されていない属性のインスタンスを組み込むこともできます。
- CounterSignature, as defined in CMS (RFC 3852 [4]); it can be incorporated wherever embedded signatures (i.e., a signature on a previous signature) are needed. Section 5.9.2 provides the specification details. Annex C.5 in Annex C provides the rationale.
- CMSで定義されているbountersignature(RFC 3852 [4]);埋め込まれた署名(つまり、以前の署名の署名)が必要な場所に組み込むことができます。セクション5.9.2では、仕様の詳細を示します。付録Cの付録C.5は、理論的根拠を提供します。
The structure of the CAdES-BES is illustrated in Figure 1.
Cades-Besの構造を図1に示します。
+------Elect.Signature (CAdES-BES)------+
|+----------------------------------- + |
||+---------+ +----------+ | |
|||Signer's | | Signed | Digital | |
|||Document | |Attributes| Signature | |
||| | | | | |
||+---------+ +----------+ | |
|+------------------------------------+ |
+---------------------------------------+
Figure 1: Illustration of a CAdES-BES
図1:ケードベスのイラスト
The signer's conformance requirements of a CAdES-BES are defined in Section 8.1.
署名者のケードベスの適合要件は、セクション8.1で定義されています。
NOTE: The CAdES-BES is the minimum format for an electronic signature to be generated by the signer. On its own, it does not provide enough information for it to be verified in the longer term. For example, revocation information issued by the relevant certificate status information issuer needs to be available for long-term validation (see Section 4.4.2).
注:Cades-Besは、署名者によって生成される電子署名の最小形式です。それだけでは、長期的に検証するのに十分な情報を提供しません。たとえば、関連する証明書ステータス情報発行者によって発行された失効情報は、長期的な検証に利用できる必要があります(セクション4.4.2を参照)。
The CAdES-BES satisfies the legal requirements for electronic signatures, as defined in the European Directive on Electronic Signatures, (see Annex C for further discussion on the relationship of the present document to the Directive). It provides basic authentication and integrity protection.
Cades-Besは、電子署名に関する欧州指令で定義されているように、電子署名の法的要件を満たしています(現在の文書と指令との関係に関する詳細については、付録Cを参照)。基本的な認証と整合性の保護を提供します。
The semantics of the signed data of a CAdES-BES or its context may implicitly indicate a signature policy to the verifier.
Cades-Besまたはそのコンテキストの署名データのセマンティクスは、Verifierに署名ポリシーを暗黙的に示す場合があります。
Specification of the contents of signature policies is outside the scope of the present document. However, further information on signature policies is provided in TR 102 038 [TR102038], RFC 3125 [RFC3125], and Sections 5.8.1, C.1, and C.3.1 of the present document.
署名ポリシーの内容の指定は、現在の文書の範囲外です。ただし、署名ポリシーに関する詳細情報は、TR 102 038 [TR102038]、RFC 3125 [RFC3125]、および現在の文書のセクション5.8.1、C.1、およびC.3.1で提供されています。
A CAdES Explicit Policy-based Electronic Signature (CAdES-EPES), in accordance with the present document, extends the definition of an electronic signature to conform to the identified signature policy.
現在の文書に従って、明示的なポリシーベースの電子署名(Cades-EPE)は、特定された署名ポリシーに準拠するために電子署名の定義を拡張します。
A CAdES Explicit Policy-based Electronic Signature (CAdES-EPES) incorporates a signed attribute (sigPolicyID attribute) indicating the signature policy that shall be used to validate the electronic signature. This signed attribute is protected by the signature. The signature may also have other signed attributes required to conform to the mandated signature policy.
Cades明示的なポリシーベースの電子署名(Cades-EPE)には、電子署名の検証に使用される署名ポリシーを示す署名属性(Sigpolicyid属性)が組み込まれています。この署名された属性は、署名によって保護されています。署名には、義務付けられた署名ポリシーに準拠するために必要な他の署名属性もあります。
Section 5.7.3 provides the details on the specification of signature-policy-identifier attribute. Annex C.1 provides a short rationale. Specification of the contents of signature policies is outside the scope of the present document.
セクション5.7.3では、署名-Policy-Identifier属性の仕様に関する詳細を示します。付録C.1は、短い理論的根拠を提供します。署名ポリシーの内容の指定は、現在の文書の範囲外です。
Further information on signature policies is provided in TR 102 038 [TR102038] and Sections 5.8.1, C.1, and C.3.1 of the present document.
署名ポリシーの詳細については、現在の文書のTR 102 038 [TR102038]およびセクション5.8.1、C.1、およびC.3.1に記載されています。
The structure of the CAdES-EPES is illustrated in Figure 2.
Cades-EPEの構造を図2に示します。
+------------- Elect.Signature (CAdES-EPES) ---------------+
| |
|+-------------------------------------------------------+ |
|| +-----------+ | |
|| | | +---------------------------+ | |
|| | | | +----------+ | | |
|| | Signer's | | |Signature | Signed | Digital | |
|| | Document | | |Policy ID | Attributes |Signature| |
|| | | | +----------+ | | |
|| | | +---------------------------+ | |
|| +-----------+ | |
|+-------------------------------------------------------+ |
| |
+----------------------------------------------------------+
Figure 2: Illustration of a CAdES-EPES
図2:ケードエペスのイラスト
The signer's conformance requirements of CAdES-EPES are defined in Section 8.2.
Cades-EPEの署名者の適合要件は、セクション8.2で定義されています。
Validation of an electronic signature, in accordance with the present document, requires additional data needed to validate the electronic signature. This additional data is called validation data, and includes:
現在の文書に従って、電子署名の検証には、電子署名を検証するために必要な追加データが必要です。この追加データは検証データと呼ばれ、以下が含まれます。
- Public Key Certificates (PKCs);
- 公開鍵証明書(PKCS);
- revocation status information for each PKC;
- 各PKCの取り消しステータス情報。
- trusted time-stamps applied to the digital signature, otherwise a time-mark shall be available in an audit log.
- デジタル署名に適用される信頼できるタイムスタンプ、そうでない場合は、監査ログでタイムマークが利用可能でなければなりません。
- when appropriate, the details of a signature policy to be used to verify the electronic signature.
- 必要に応じて、電子署名を検証するために使用される署名ポリシーの詳細。
The validation data may be collected by the signer and/or the verifier. When the signature-policy-identifier signed attribute is present, it shall meet the requirements of the signature policy.
検証データは、署名者および/または検証者によって収集される場合があります。Signature-Policy-Identifier Signed属性が存在する場合、署名ポリシーの要件を満たすものとします。
Validation data includes CA certificates as well as revocation status information in the form of Certificate Revocation Lists (CRLs) or certificate status information (OCSP) provided by an online service. Validation data also includes evidence that the signature was created before a particular point in time; this may be either a time-stamp token or time-mark.
検証データには、CA証明書と、オンラインサービスが提供する証明書の取り消しリスト(CRLS)または証明書ステータス情報(OCSP)の形式での取り消しステータス情報が含まれます。検証データには、特定の時点で署名が作成されたという証拠も含まれています。これは、タイムスタンプトークンまたはタイムマークのいずれかです。
The present document defines unsigned attributes able to contain validation data that can be added to CAdES-BES and CAdES-EPES, leading to electronic signature formats that include validation data. The sections below summarize these formats and their most relevant characteristics.
現在のドキュメントでは、Cades-BesとCades-EPEに追加できる検証データを含めることができる署名されていない属性を定義し、検証データを含む電子署名形式につながります。以下のセクションでは、これらの形式と最も関連性の高い特性を要約しています。
An electronic signature with time (CAdES-T), in accordance with the present document, is when there exits trusted time associated with the ES.
現在の文書に従って、時間のある電子署名(Cades-T)は、ESに関連付けられた信頼時間を終了する場合です。
The trusted time may be provided by:
信頼できる時間は、次のように提供される場合があります。
- a time-stamp attribute as an unsigned attribute added to the ES; and
- ESに追加された署名されていない属性としてのタイムスタンプ属性。と
- a time-mark of the ES provided by a Trusted Service Provider.
- 信頼できるサービスプロバイダーが提供するESのタイムマーク。
The time-stamp attribute contains a time-stamp token of the electronic signature value. Section 6.1.1 provides the specification details. Annex C.4.3 provides the rationale.
タイムスタンプ属性には、電子署名値のタイムスタンプトークンが含まれています。セクション6.1.1は、仕様の詳細を示します。付録C.4.3は、理論的根拠を提供します。
A time-mark provided by a Trusted Service would have a similar effect to the signature-time-stamp attribute, but in this case, no attribute is added to the ES, as it is the responsibility of the TSP to provide evidence of a time-mark when required to do so. The management of time marks is outside the scope of the present document.
信頼できるサービスによって提供されるタイムマークは、署名時間スタンプ属性と同様の効果を持ちますが、この場合、時間の証拠を提供するTSPの責任であるため、ESに属性は追加されません。 - 必要に応じてマークします。タイムマークの管理は、現在の文書の範囲外です。
Trusted time provides the initial steps towards providing long-term validity. Electronic signatures with the time-stamp attribute or a time-marked BES/EPES, forming the CAdES-T are illustrated in Figure 3.
信頼できる時間は、長期的な妥当性を提供するための最初のステップを提供します。タイムスタンプ属性またはタイムマークされたBES/EPESを備えた電子署名、Cades-Tを形成することを図3に示します。
+-------------------------------------------------CAdES-T ---------+
|+------ CAdES-BES or CAdES-EPES -------+ |
||+-----------------------------------+ | +----------------------+ |
|||+---------+ +----------+ | | | | |
||||Signer's | | Signed | Digital | | | Signature-time-stamp | |
||||Document | |Attributes| Signature | | | attribute required | |
|||| | | | | | | when using time | |
|||+---------+ +----------+ | | | stamps. | |
||+-----------------------------------+ | | | |
|+--------------------------------------+ | or the BES/EPES | |
| | shall be time-marked | |
| | | |
| | Management and | |
| | provision of time | |
| | mark is the | |
| | responsibility of | |
| | the TSP. | |
| +----------------------+ |
+------------------------------------------------------------------+
Figure 3: Illustration of CAdES-T formats
図3:Cades-T形式のイラスト
NOTE 1: A time-stamp token is added to the CAdES-BES or CAdES-EPES as an unsigned attribute.
注1:タイムスタンプトークンが、署名されていない属性としてCades-BesまたはCades-Epesに追加されます。
NOTE 2: Time-stamp tokens that may themselves include unsigned attributes required to validate the time-stamp token, such as the complete-certificate-references and complete-revocation-references attributes, as defined by the present document.
注2:現在のドキュメントで定義されているように、完全な認証紹介や完全な拒否再参照属性など、タイムスタンプトークンを検証するために必要な署名されていない属性が含まれる場合があるタイムスタンプトークン。
Electronic Signature with Complete validation data references (CAdES-C), in accordance with the present document, adds to the CAdES-T the complete-certificate-references and complete-revocation-references attributes, as defined by the present document. The complete-certificate-references attribute contains references to all the certificates present in the certification path used for verifying the signature. The complete-revocation-references attribute contains references to the CRLs and/or OCSPs responses used for verifying the signature. Section 6.2 provides the specification details. Storing the references allows the values of the certification path and the CRLs or OCSPs responses to be stored elsewhere, reducing the size of a stored electronic signature format.
現在のドキュメントに従って、完全な検証データ参照(Cades-C)を備えた電子署名(Cades-C)は、現在のドキュメントで定義されているように、Cades-Tに完全な評判と完全な再参照属性を追加します。完全総参照属性には、署名の検証に使用される認証パスに存在するすべての証明書への参照が含まれています。Complete-revocation-References属性には、署名の検証に使用されるCRLSおよび/またはOCSPS応答への参照が含まれています。セクション6.2では、仕様の詳細を示します。参照を保存すると、認証パスの値とCRLSまたはOCSPS応答を他の場所に保存し、保存された電子署名形式のサイズを縮小できます。
Sections C.4.1 to C.4.2 provide rationale on the usage of validation data and when it is suitable to generate the CAdES-C form. Electronic signatures, with the additional validation data forming the CAdES-C, are illustrated in Figure 4.
セクションC.4.1からC.4.2は、検証データの使用法と、Cades-Cフォームを生成するのに適した場合の理論的根拠を提供します。Cades-Cを形成する追加の検証データを備えた電子署名を図4に示します。
+------------------------- CAdES-C --------------------------------+
|+----------------------------- CAdES-T ---------+ |
|| +----------+ | +-------------+ |
|| |Timestamp | | | | |
|| |attribute | | | | |
||+- CAdES-BES or CAdES-EPES ------+|over | | | | |
||| ||digital | | | Complete | |
|||+---------++----------+ ||signature | | | certificate | |
||||Signer's || Signed | Digital ||is | | | and | |
||||Document ||Attributes|Signature||mandatory | | | revocation | |
|||| || | ||if is not | | | references | |
|||+---------++----------+ ||timemarked| | | | |
||+--------------------------------++----------+ | | | |
|+-----------------------------------------------+ +-------------+ |
+------------------------------------------------------------------+
Figure 4: Illustration of CAdES-C format
図4:Cades-C形式のイラスト
NOTE 1: The complete certificate and revocation references are added to the CAdES-T as an unsigned attribute.
注1:完全な証明書と取り消しの参照が、署名されていない属性としてCades-Tに追加されます。
NOTE 2: As a minimum, the signer will provide the CAdES-BES or, when indicating that the signature conforms to an explicit signing policy, the CAdES-EPES.
注2:少なくとも、署名者はケードベスを提供するか、署名が明示的な署名ポリシーに準拠していることを示す場合、ケードエペスを提供します。
NOTE 3: To reduce the risk of repudiating signature creation, the trusted time indication needs to be as close as possible to the time the signature was created. The signer or a TSP could provide the CAdES-T; if not, the verifier should create the CAdES-T on first receipt of an electronic signature because the CAdES-T provides independent evidence of the existence of the signature prior to the trusted time indication.
注3:署名の作成を拒否するリスクを減らすには、信頼できる時間兆候は、署名が作成された時間にできるだけ近くである必要があります。署名者またはTSPはCades-Tを提供できます。そうでない場合、Cades-Tは信頼できる時間指示の前に署名の存在の独立した証拠を提供するため、電子署名の最初の受信時に検証者はCades-Tを作成する必要があります。
NOTE 4: A CAdES-T trusted time indication must be created before a certificate has been revoked or expired.
注4:証明書が取り消されるか、期限切れになる前に、Cades-T信頼できる時間の表示を作成する必要があります。
NOTE 5: The signer and TSP could provide the CAdES-C to minimize this risk, and when the signer does not provide the CAdES-C, the verifier should create the CAdES-C when the required component of revocation and validation data become available; this may require a grace period.
注5:署名者とTSPは、このリスクを最小限に抑えるためにCades-Cを提供することができ、署名者がCades-Cを提供しない場合、Verifierは失効と検証データの必要なコンポーネントが利用可能になったときにCades-Cを作成する必要があります。これには恵み期間が必要になる場合があります。
NOTE 6: A grace period permits certificate revocation information to propagate through the revocation processes. This period could extend from the time an authorized entity requests certificate revocation to when the information is available for the relying party to use. In order to make sure that the certificate was not revoked at the time the signature was time-marked or time-stamped, verifiers should wait until the end of the grace period. A signature policy may define specific values for grace periods.
注6:猶予期間は、証明書の取り消し情報を失効プロセスを通じて伝播することを許可します。この期間は、承認されたエンティティが証明書の取り消しを要求してから、頼っている当事者が使用する情報がいつ利用できるかまで延長する可能性があります。証明書が取り消されていないことを確認するために、署名が時間マークまたはタイムスタンプされていたときに、検証者は恵み期間の終了まで待つ必要があります。署名ポリシーは、恵み期間の特定の値を定義する場合があります。
An illustration of a grace period is provided in Figure 5.
猶予期間の図を図5に示します。
+<--------------Grace Period --------->+
----+-------+-------+--------+---------------------+----------+
^ ^ ^ ^ ^ ^
| | | | | |
| | | | | |
Signature | First | Second |
creation | revocation | revocation |
time | status | status |
| checking | checking |
| | |
Time-stamp Certification Build
or path CAdES-C
time-mark construction
over & verification
signature
Figure 5: Illustration of a grace period
図5:恵み期間の図
NOTE 7: CWA 14171 [CWA14171] specifies a signature validation process using CAdES-T, CAdES-C, and a grace period. Annex B provides example validation processes. Annex C.4 provides additional information about applying grace periods during the validation process.
注7:CWA 14171 [CWA14171]は、Cades-T、Cades-C、およびGrace期間を使用した署名検証プロセスを指定します。付録Bは、検証プロセスの例を提供します。Annex C.4は、検証プロセス中の恵み期間の適用に関する追加情報を提供します。
The verifier's conformance requirements are defined in Section 8.3 for time-stamped CAdES-C, and Section 8.4 for time-marked CAdES-C. The present document only defines conformance requirements for the verifier up to an ES with Complete validation data (CAdES-C). This means that none of the extended and archive forms of electronic signatures, as defined in Sections 4.4.3 to 4.4.4, need to be implemented to achieve conformance to the present document.
検証剤の適合要件は、時間刻印されたケードCのセクション8.3で定義されており、タイムマークされたケードCのセクション8.4で定義されています。現在のドキュメントは、完全な検証データ(Cades-C)を持つESまでの検証者の適合要件のみを定義しています。これは、セクション4.4.3〜4.4.4で定義されているように、電子署名の拡張フォームとアーカイブフォームのいずれも、現在のドキュメントへの適合を達成するために実装する必要がないことを意味します。
CAdES-C can be extended by adding unsigned attributes to the electronic signature. The present document defines various unsigned attributes that are applicable for very long-term verification, and for preventing some disaster situations that are discussed in Annex C. Annex B provides the details of the various extended formats, all the required unsigned attributes for each type, and how they can be used within the electronic signature validation process. The sections below give an overview of the various forms of extended signature formats in the present document.
Cades-Cは、電子署名に署名されていない属性を追加することで拡張できます。現在のドキュメントでは、非常に長期的な検証に適用されるさまざまな署名の属性を定義し、付録C. Annex Bで議論されているいくつかの災害状況を防ぐために、各タイプに必要なすべての符号なし属性の詳細を提供します。電子署名検証プロセス内でどのように使用できるか。以下のセクションでは、現在のドキュメントの拡張署名形式のさまざまな形式の概要を示しています。
Extended Long format (CAdES-X Long), in accordance with the present document, adds the certificate-values and revocation-values attributes to the CAdES-C format. The first one contains the whole certificate path required for verifying the signature; the second one contains the CRLs and/OCSP responses required for the validation of the signature. This provides a known repository of certificate and revocation information required to validate a CAdES-C and prevents such information from getting lost. Sections 6.3.3 and 6.3.4 give specification details. Annex B.1.1 gives details on the production of the format. Annexes C4.1 to C.4.2 provide the rationale.
現在のドキュメントに従って、拡張ロングフォーマット(Cades-X Long)は、Cades-C形式に証明書の値と取消値の属性を追加します。最初のものには、署名を確認するために必要な証明書パス全体が含まれています。2つ目には、署名の検証に必要なCRLSおよび/OCSP応答が含まれています。これにより、Cades-Cを検証するために必要な証明書および取り消し情報の既知のリポジトリが提供され、そのような情報が迷子になるのを防ぎます。セクション6.3.3および6.3.4は、仕様の詳細を示します。付録B.1.1は、フォーマットの作成に関する詳細を示しています。付録C4.1からC.4.2は、理論的根拠を提供します。
The structure of the CAdES-X Long format is illustrated in Figure 6.
Cades-X Long形式の構造を図6に示します。
+----------------------- CAdES-X-Long -----------------------------+
|+------------------------------------ CadES-C --+ |
|| +----------+ | +-------------+ |
||+------ CAdES -------------------+|Timestamp | | | | |
||| || over | | | Complete | |
|||+---------++----------+ ||digital | | | certificate | |
||||Signer's || Signed | Digital ||signature | | | and | |
||||Document ||Attributes|Signature|| | | | revocation | |
|||| || | ||Optional | | | data | |
|||+---------++----------+ ||when | | | | |
||+--------------------------------+|timemarked| | | | |
|| +----------+ | | | |
|| +-------------+ | +-------------+ |
|| | Complete | | |
|| | certificate | | |
|| | and | | |
|| | revocation | | |
|| | references | | |
|| +-------------+ | |
|+-----------------------------------------------+ |
| |
+------------------------------------------------------------------+
Figure 6: Illustration of CAdES-X-Long
図6:Cades-X-Longのイラスト
4.4.3.2. EXtended Electronic Signature with Time Type 1 (CAdES-X Type 1)
4.4.3.2. タイムタイプ1の拡張電子署名(ケード-Xタイプ1)
Extended format with time type 1 (CAdES-X Type 1), in accordance with the present document, adds the CAdES-C-time-stamp attribute, whose content is a time-stamp token on the CAdES-C itself, to the CAdES-C format.
Time Type 1(Cades-X Type 1)を使用した拡張形式は、現在のドキュメントに従って、Cades-C-Time-Stamp属性を追加します。-c形式。
This provides an integrity and trusted time protection over all the elements and references. It may protect the certificates, CRLs, and OCSP responses in case of a later compromise of a CA key, CRL key, or OCSP issuer key. Section 6.3.5 provides the specification details.
これは、すべての要素と参照にわたって完全性と信頼できる時間保護を提供します。CAキー、CRLキー、またはOCSP発行者キーの後の妥協の場合、証明書、CRL、およびOCSP応答を保護する場合があります。セクション6.3.5では、仕様の詳細を示します。
Annex B.1.2 gives details on the production of the time-stamping process. Annex C.4.4.1 provides the rationale.
付録B.1.2は、タイムスタンププロセスの生産に関する詳細を示しています。付録C.4.4.1は、理論的根拠を提供します。
The structure of the CAdES-X Type 1 format is illustrated in Figure 7.
Cades-X Type 1形式の構造を図7に示します。
+----------------------- CAdES-X-Type 1 ------------------------------+
|+-------------------------------------- CAdES-C -----+ |
|| +-------------+ | +-----------+ |
||+--------- CAdES ------------------+| Timestamp | | | | |
||| || over | | | | |
|||+---------++----------+ || digital | | | | |
||||Signer's || Signed | Digital || signature | | | Timestamp | |
||||Document ||Attributes| Signature || | | | over | |
|||| || | || Optional | | | CAdES-C | |
|||+---------++----------+ || when | | | | |
||+----------------------------------+| time-marked | | | | |
|| +-------------+ | | | |
|| +-------------+ | +-----------+ |
|| | Complete | | |
|| | certificate | | |
|| | and | | |
|| | revocation | | |
|| | references | | |
|| +-------------+ | |
|+----------------------------------------------------+ |
+---------------------------------------------------------------------+
Figure 7: Illustration of CAdES-X Type 1
図7:Cades-X Type 1のイラスト
4.4.3.3. EXtended Electronic Signature with Time Type 2 (CAdES-X Type 2)
4.4.3.3. タイムタイプ2の拡張電子署名(ケード-Xタイプ2)
Extended format with time type 2 (CAdES-X Type 2), in accordance with the present document, adds to the CAdES-C format the CAdES-C-time-stamped-certs-crls-references attribute, whose content is a time-stamp token on the certification path and revocation information references. This provides an integrity and trusted time protection over all the references.
Time Type 2(Cades-X Type 2)を使用した拡張形式は、現在のドキュメントに従って、Cades-C-Time-Stamped-Certs-CRLS-References属性をCades-C形式に追加します。認証パスおよび取り消し情報の参照にトークンをスタンプします。これは、すべての参照に対して完全性と信頼できる時間保護を提供します。
It may protect the certificates, CRLs and OCSP responses in case of a later compromise of a CA key, CRL key or OCSP issuer key.
CAキー、CRLキー、またはOCSP発行者キーの後の妥協の場合、証明書、CRLS、およびOCSP応答を保護する場合があります。
Both CAdES-X Type 1 and CAdES-X Type 2 counter the same threats, and the usage of one or the other depends on the environment. Section 6.3.5 provides the specification details. Annex B.1.3 gives details on the production of the time-stamping process. Annex C.4.4.2 provides the rationale.
Cades-X Type 1とCades-X Type 2の両方が同じ脅威に対抗し、どちらか一方の使用は環境に依存します。セクション6.3.5では、仕様の詳細を示します。付録B.1.3は、タイムスタンププロセスの生産に関する詳細を示しています。付録C.4.4.2は、理論的根拠を提供します。
The structure of the CAdES-X Type 2 format is illustrated in Figure 8.
Cades-X Type 2形式の構造を図8に示します。
+------------------------- CAdES-X-Type 2 ----------------------------+
|+----------------------------------------CAdES-C ---+ |
|| +------------+| |
||+----- CAdES -----------------------+| Timestamp || |
||| || over || |
|||+---------+ +----------+ || digital || +-------------+|
||||Signer's | | Signed | Digital || signature || | Time-stamp ||
||||Document | |Attributes| signature || || | only over ||
|||| | | | || optional || | complete ||
|||+---------+ +----------+ || when || | certificate ||
||+-----------------------------------+| timemarked || | and ||
|| +------------+| | revocation ||
|| +-------------+ | | references ||
|| | Complete | | +-------------+|
|| | certificate | | |
|| | and | | |
|| | revocation | | |
|| | references | | |
|| +-------------+ | |
|+---------------------------------------------------+ |
+---------------------------------------------------------------------+
Figure 8: Illustration of CAdES-X Type 2
図8:Cades-Xタイプ2のイラスト
Extended Long with Time (CAdES-X Long Type 1 or 2), in accordance with the present document, is a combination of CAdES-X Long and one of the two former types (CAdES-X Type 1 and CAdES-X Type 2). Annex B.1.4 gives details on the production of the time-stamping process. Annex C.4.8 in Annex C provides the rationale.
現在のドキュメントに従って、時間とともに長い時間を長く延長します(Cades-X Long Type 1または2)は、Cades-X Longと2つの以前のタイプの1つ(Cades-X Type 1とCades-X Type 2の1つ)の組み合わせです。。付録B.1.4は、タイムスタンププロセスの生産に関する詳細を示しています。付録Cの付録C.4.8は、理論的根拠を提供します。
The structure of the CAdES-X Long Type 1 and CAdES-X Long Type 2 format is illustrated in Figure 9.
Cades-X Long Type 1およびCades-X Long Type 2形式の構造を図9に示します。
+------------------ CAdES-X Long Type 1 or 2 -----------------------+
| +--------------+|
|+-------------------------------------- CAdES-C --+|+------------+||
|| ||| Timestamp |||
||+------- CAdES --------------------++----------+ ||| over |||
||| ||Timestamp | ||| CAdES-C |||
||| ||over | ||+------------+||
|||+---------++----------+ ||digital | || OR ||
||||Signer's || Signed | Digital ||signature | ||+------------+||
||||Document ||Attributes| signature || | ||| Timestamp |||
|||| || | ||Optional | ||| only over |||
|||+---------++----------+ ||when | ||| complete |||
||+----------------------------------+|timemarked| ||| certificate|||
|| +----------+ ||| and |||
|| ||| Revocation |||
|| +-------------+ ||| References |||
|| | Complete | ||+------------+||
|| | certificate | |+--------------+|
|| | and | | +------------+ |
|| | revocation | | | Complete | |
|| | references | | |certificate | |
|| +-------------+ | | and | |
|+-------------------------------------------------+ |revocation | |
| | value | |
| +------------+ |
+-------------------------------------------------------------------+
Figure 9: Illustration of CAdES-X Long Type 1 and CAdES Long Type 2
図9:ケードXロングタイプ1とケードロングタイプ2のイラスト
Archival Form (CAdES-A), in accordance with the present document, builds on a CAdES-X Long or a CAdES-X Long Type 1 or 2 by adding one or more archive-time-stamp attributes. This form is used for archival of long-term signatures. Successive time-stamps protect the whole material against vulnerable hashing algorithms or the breaking of the cryptographic material or algorithms. Section 6.4 contains the specification details. Sections C.4.5 and C.4.8 provide the rationale.
アーカイブフォーム(Cades-A)は、現在のドキュメントに従って、1つ以上のアーカイブタイムスタンプ属性を追加することにより、Cades-X LongまたはCades-X Long Type 1または2の上に構築されます。このフォームは、長期署名のアーカイブに使用されます。連続したタイムスタンプは、脆弱なハッシュアルゴリズムまたは暗号化材料またはアルゴリズムの破壊から材料全体を保護します。セクション6.4には、仕様の詳細が含まれています。セクションC.4.5およびC.4.8は、理論的根拠を提供します。
The structure of the CAdES-A form is illustrated in Figure 10.
Cades-Aフォームの構造を図10に示します。
+---------------------------CAdES-A ---------------------------------+
|+----------------------------------------------------+ |
|| +--------------+| +----------+ |
||+----------------------CAdES-C ----+|+------------+|| | | |
||| +----------+ ||| Timestamp ||| | | |
|||+---- CAdES-BES ----+|Timestamp | ||| over ||| | | |
|||| or CAdeS-EPES || over | ||| CAdES-C ||| | Archive | |
|||| ||digital | ||+------------+|| | | |
|||| ||signature | || or || |Timestamp | |
|||| || | ||+------------+|| | | |
|||| ||Optional | ||| Timestamp ||| | | |
|||| ||when | ||| only over ||| | | |
|||| ||Timemarked| ||| complete ||| | | |
|||+-------------------+| | ||| certificate||| +----------+ |
||| +----------+ ||| and ||| |
||| +-------------+ ||| revocation ||| |
||| | Complete | ||| references ||| |
||| | certificate | ||+------------+|| |
||| | and | |+--------------+| |
||| | revocation | | +------------+ | |
||| | references | | | Complete | | |
||| +-------------+ | |certificate | | |
||| | | and | | |
||+----------------------------------+ |revocation | | |
|| | values | | |
|| +------------+ | |
|+----------------------------------------------------+ |
+--------------------------------------------------------------------+
Figure 10: Illustration of CAdES-A
図10:Cades-Aのイラスト
The CAdES-C may be used for arbitration should there be a dispute between the signer and verifier, provided that:
Cades-Cは、署名者と検証者の間に紛争がある場合、仲裁に使用される場合があります。
- the arbitrator knows where to retrieve the signer's certificate (if not already present), all the cross-certificates and the required CRLs, ACRLs, or OCSP responses referenced in the CAdES-C;
- 仲裁人は、署名者の証明書(まだ存在していない場合)、すべてのクロス認証、および必要なCRL、ACRL、またはCades-Cで参照されるOCSP応答をどこで取得するかを知っています。
- when time-stamping in the CAdES-T is being used, the certificate from the TSU that has issued the time-stamp token in the CAdES-T format is still within its validity period;
- Cades-Tのタイムスタンプが使用されている場合、Cades-T形式でタイムスタンプトークンを発行したTSUの証明書は、その有効期間内にあります。
- when time-stamping in the CAdES-T is being used, the certificate from the TSU that has issued the time-stamp token in the CAdES-T format is not revoked at the time of arbitration;
- Cades-Tのタイムスタンプが使用されている場合、Cades-T形式でタイムスタンプトークンを発行したTSUの証明書は、仲裁時には取り消されません。
- when time-marking in the CAdES-T is being used, a reliable audit trail from the Time-Marking Authority is available for examination regarding the time;
- Cades-Tでのタイムマークが使用されている場合、タイムマーク当局からの信頼できる監査証跡が、時間に関する試験に利用できます。
- none of the private keys corresponding to the certificates used to verify the signature chain have ever been compromised;
- 署名チェーンの検証に使用される証明書に対応するプライベートキーは、これまでに侵害されていません。
- the cryptography used at the time the CAdES-C was built has not been broken at the time the arbitration is performed; and
- Cades-Cが構築されたときに使用された暗号化は、仲裁が行われた時点で壊れていません。と
- if the signature policy can be explicitly or implicitly identified, then an arbitrator is able to determine the rules required to validate the electronic signature.
- 署名ポリシーを明示的または暗黙的に識別できる場合、仲裁人は電子署名を検証するために必要な規則を決定できます。
The validation process validates an electronic signature; the output status of the validation process can be:
検証プロセスは、電子署名を検証します。検証プロセスの出力ステータスは次のとおりです。
- invalid;
- 無効;
- incomplete validation; or
- 不完全な検証。また
- valid.
- 有効。
An invalid response indicates that either the signature format is incorrect or that the digital signature value fails verification (e.g., the integrity check on the digital signature value fails, or any of the certificates on which the digital signature verification depends is known to be invalid or revoked).
無効な応答は、署名形式が正しくないこと、またはデジタル署名値が検証に失敗することを示しています(たとえば、デジタル署名値の整合性チェックが失敗するか、デジタル署名検証が依存する証明書のいずれかが無効であることがわかっているか、取り消された)。
An incomplete validation response indicates that the signature validation status is currently unknown. In the case of incomplete validation, additional information may be made available to the application or user, thus allowing them to decide what to do with the electronic signature. In the case of incomplete validation, the electronic signature may be checked again at some later time when additional information becomes available.
不完全な検証応答は、署名検証ステータスが現在不明であることを示しています。不完全な検証の場合、アプリケーションまたはユーザーが追加情報を利用できるようにすることができるため、電子署名をどうするかを決定できるようになります。不完全な検証の場合、追加情報が利用可能になった後の時期に、電子署名が再度チェックされる場合があります。
NOTE: For example, an incomplete validation may be because all the required certificates are not available or the grace period is not completed.
注:たとえば、不完全な検証は、必要なすべての証明書が利用できないか、猶予期間が完了していないためである可能性があります。
A valid response indicates that the signature has passed verification, and it complies with the signature validation policy.
有効な応答は、署名が検証に合格しており、署名検証ポリシーに準拠していることを示しています。
Example validation sequences are illustrated in Annex B.
検証シーケンスの例は、付録Bに示されています。
This section builds upon the existing Cryptographic Message Syntax (CMS), as defined in RFC 3852 [4], and Enhanced Security Services (ESS), as defined in RFC 2634 [5]. The overall structure of an Electronic Signature is as defined in CMS. The Electronic Signature (ES) uses attributes defined in CMS, ESS, and the present document. The present document defines ES attributes that it uses and that are not defined elsewhere.
このセクションでは、RFC 3852 [4]で定義されているように、既存の暗号化メッセージ構文(CMS)と、RFC 2634 [5]で定義されているセキュリティサービス(ESS)の強化(ESS)に基づいています。電子署名の全体的な構造は、CMSで定義されています。電子署名(ES)は、CMS、ESS、および現在のドキュメントで定義された属性を使用します。現在のドキュメントでは、使用するES属性を定義し、他の場所で定義されていません。
The mandated set of attributes and the digital signature value is defined as the minimum Electronic Signature (ES) required by the present document. A signature policy may mandate that other signed attributes be present.
義務付けられた属性とデジタル署名値は、現在のドキュメントで必要な最小電子署名(ES)として定義されます。署名ポリシーは、他の署名された属性が存在することを義務付ける場合があります。
The general syntax of the ES is as defined in CMS (RFC 3852 [4]).
ESの一般的な構文は、CMSで定義されています(RFC 3852 [4])。
NOTE: CMS defines content types for id-data, id-signedData, id-envelopedData, id-digestedData, id-encryptedData, and id-authenticatedData. Although CMS permits other documents to define other content types, the ASN.1 type defined should not be a CHOICE type. The present document does not define other content types.
注:CMSは、ID-Data、ID-SignedData、ID-EnvelopedData、ID-DigestedData、ID-RyptedData、およびID-AuthenticedDataのコンテンツタイプを定義します。CMSは他のドキュメントで他のコンテンツタイプを定義することを許可していますが、定義されたASN.1タイプは選択タイプであってはなりません。現在のドキュメントでは、他のコンテンツタイプを定義していません。
The data content type of the ES is as defined in CMS (RFC 3852 [4]).
ESのデータコンテンツタイプは、CMSで定義されています(RFC 3852 [4])。
NOTE: If the content type is id-data, it is recommended that the content be encoded using MIME, and that the MIME type is used to identify the presentation format of the data. See Annex F.1 for an example of using MIME to identify the encoding type.
注:コンテンツタイプがID-DATAの場合、MIMEを使用してコンテンツをエンコードし、MIMEタイプを使用してデータのプレゼンテーション形式を識別することをお勧めします。MIMEを使用してエンコーディングタイプを識別する例については、付録F.1を参照してください。
The Signed-data content type of the ES is as defined in CMS (RFC 3852 [4]).
ESの署名されたDATAコンテンツタイプは、CMSで定義されています(RFC 3852 [4])。
The syntax of the SignedData of the ES is as defined in CMS (RFC 3852 [4]).
ESのSignedDataの構文は、CMSで定義されているとおりです(RFC 3852 [4])。
The fields of type SignedData are as defined in CMS (RFC 3852 [4]).
タイプSignedDataのフィールドは、CMSで定義されているとおりです(RFC 3852 [4])。
The identification of a signer's certificate used to create the signature is always signed (see Section 5.7.3). The validation policy may specify requirements for the presence of certain certificates. The degenerate case, where there are no signers, is not valid in the present document.
署名の作成に使用される署名者の証明書の識別は、常に署名されています(セクション5.7.3を参照)。検証ポリシーは、特定の証明書の存在に関する要件を指定する場合があります。署名者がいない退化したケースは、現在の文書では無効です。
The syntax of the EncapsulatedContentInfo type ES is as defined in CMS (RFC 3852 [4]).
CMSの構文は、CMS(RFC 3852 [4])で定義されているとおりです。
For the purpose of long-term validation, as defined by the present document, it is advisable that either the eContent is present, or the data that is signed is archived in such as way as to preserve any data encoding. It is important that the OCTET STRING used to generate the signature remains the same every time either the verifier or an arbitrator validates the signature.
現在のドキュメントで定義されているように、長期的な検証の目的のために、econtentが存在するか、署名されたデータがデータエンコーディングを維持するような方法でアーカイブされることをお勧めします。検証剤または仲裁人が署名を検証するたびに、署名を生成するために使用されるoctet stringが署名を生成するために使用することが重要です。
NOTE: The eContent is optional in CMS :
注:econtentはCMSでオプションです:
- When it is present, this allows the signed data to be encapsulated in the SignedData structure, which then contains both the signed data and the signature. However, the signed data may only be accessed by a verifier able to decode the ASN.1 encoded SignedData structure.
- それが存在する場合、これにより、署名されたデータを署名されたデータ構造にカプセル化することができます。これには、署名されたデータと署名の両方が含まれます。ただし、署名されたデータには、ASN.1エンコードされたSignedData構造をデコードできる検証者によってのみアクセスできます。
- When it is missing, this allows the signed data to be sent or stored separately from the signature, and the SignedData structure only contains the signature. It is, in the case of the signature, only the data that is signed that needs to be stored and distributed in such as way as to preserve any data encoding.
- 欠落している場合、これにより、署名されたデータを署名から個別に送信または保存することができ、署名data構造には署名のみが含まれます。署名の場合、署名されたデータのみが、エンコードを保存する方法などで保存および配布する必要があります。
The degenerate case where there are no signers is not valid in the present document.
署名者がいない退化したケースは、現在の文書では無効です。
The syntax of the SignerInfo type ES is as defined in CMS (RFC 3852 [4]).
SignerINFOタイプESの構文は、CMSで定義されているとおりです(RFC 3852 [4])。
Per-signer information is represented in the type SignerInfo. In the case of multiple independent signatures (see Annex B.5), there is an instance of this field for each signer.
署名者ごとの情報は、Type Signerinfoで表されます。複数の独立した署名の場合(付録B.5を参照)、各署名者にこのフィールドのインスタンスがあります。
The fields of type SignerInfo have the meanings defined in CMS (RFC 3852 [4]), but the signedAttrs field shall contain the following attributes:
タイプSignerinfoのフィールドには、CMS(RFC 3852 [4])で定義されている意味がありますが、SigneDattrsフィールドには次の属性が含まれます。
- content-type, as defined in Section 5.7.1; and
- セクション5.7.1で定義されているコンテンツタイプ。と
- message-digest, as defined in Section 5.7.2;
- セクション5.7.2で定義されているメッセージダイジスト。
- signing-certificate, as defined in Section 5.7.3.
- セクション5.7.3で定義されているように、署名証明。
The message digest calculation process is as defined in CMS (RFC 3852 [4]).
メッセージダイジェスト計算プロセスは、CMSで定義されているとおりです(RFC 3852 [4])。
The input to the message signature generation process is as defined in CMS (RFC 3852 [4]).
メッセージ署名生成プロセスへの入力は、CMSで定義されています(RFC 3852 [4])。
The procedures for message signature verification are defined in CMS (RFC 3852 [4]) and enhanced in the present document: the input to the signature verification process must be the signer's public key, which shall be verified as correct using the signing certificate reference attribute containing a reference to the signing certificate, i.e., when SigningCertificateV2 from RFC 5035 [16] or SigningCertificate from ESS [5] is used, the public key from the first certificate identified in the sequence of certificate identifiers from SigningCertificate must be the key used to verify the digital signature.
メッセージ署名検証の手順はCMS(RFC 3852 [4])で定義され、現在のドキュメントで強化されています。署名検証プロセスへの入力は、署名者の公開鍵でなければなりません。署名証明書への参照を含む、つまり、RFC 5035 [16]からの署名certificatev2またはess [5]からの署名certificate [5]を含む場合、signiblecertificateの証明書識別子のシーケンスで識別された最初の証明書の公開キーは、使用されるキーでなければなりませんデジタル署名を確認します。
The following attributes shall be present with the signed-data defined by the present document. The attributes are defined in CMS (RFC 3852 [4]).
以下の属性は、現在の文書で定義された署名されたデータとともに存在するものとします。属性はCMS(RFC 3852 [4])で定義されています。
The content-type attribute indicates the type of the signed content. The syntax of the content-type attribute type is as defined in CMS (RFC 3852 [4]) Section 11.1.
コンテンツタイプの属性は、署名されたコンテンツのタイプを示します。コンテンツタイプの属性タイプの構文は、CMS(RFC 3852 [4])セクション11.1で定義されています。
NOTE 1: As stated in RFC 3852 [4] , the content-type attribute must have its value (i.e., ContentType) equal to the eContentType of the EncapsulatedContentInfo value being signed.
注1:RFC 3852 [4]に記載されているように、コンテンツタイプの属性は、その値(つまり、コンテンツタイプ)が署名されているcapsulatedContentInfo値のecontentTypeに等しくなければなりません。
NOTE 2: For implementations supporting signature generation, if the content-type attribute is id-data, then it is recommended that the eContent be encoded using MIME. For implementations supporting signature verification, if the signed data (i.e., eContent) is MIME-encoded, then the OID of the content-type attribute must be id-data. In both cases, the MIME content-type(s) must be used to identify the presentation format of the data. See Annex F for further details about the use of MIME.
注2:署名生成をサポートする実装の場合、コンテンツタイプの属性がID-DATAの場合、EcontentをMIMEを使用してエンコードすることをお勧めします。署名検証をサポートする実装の場合、署名されたデータ(つまり、econtent)がMIMEエンコードされている場合、コンテンツタイプの属性のOIDはid-dataでなければなりません。どちらの場合も、MIMEコンテンツタイプを使用して、データのプレゼンテーション形式を識別する必要があります。MIMEの使用に関する詳細については、付録Fを参照してください。
The syntax of the message-digest attribute type of the ES is as defined in CMS (RFC 3852 [4]).
ESのメッセージダイジェスト属性タイプの構文は、CMSで定義されているとおりです(RFC 3852 [4])。
The Signing certificate reference attributes are supported by using either the ESS signing-certificate attribute or the ESS-signing-certificate-v2 attribute.
署名証明書リファレンス属性は、ESS署名の認証属性またはESS-SINGIBE-Certificate-V2属性のいずれかを使用してサポートされます。
These attributes shall contain a reference to the signer's certificate; they are designed to prevent simple substitution and reissue attacks and to allow for a restricted set of certificates to be used in verifying a signature. They have a compact form (much shorter than the full certificate) that allows for a certificate to be unambiguously identified.
これらの属性には、署名者の証明書への参照が含まれます。それらは、単純な置換および再発行攻撃を防ぎ、署名の検証に制限された証明書を使用できるように設計されています。それらは、証明書を明確に識別できるようにするコンパクトなフォーム(完全な証明書よりもはるかに短い)を持っています。
One, and only one, of the following alternative attributes shall be present with the signedData, defined by the present document:
次の代替属性のうち、1つ、および1つだけが、現在のドキュメントで定義されたSignedDataに存在するものとします。
- The ESS signing-certificate attribute, defined in ESS [5], must be used if the SHA-1 hashing algorithm is used.
- ESS [5]で定義されているESS署名証明の属性は、SHA-1ハッシュアルゴリズムを使用する場合は使用する必要があります。
- The ESS signing-certificate-v2 attribute, defined in "ESS Update: Adding CertID Algorithm Agility", RFC 5035 [15], which shall be used when other hashing algorithms are to be used.
- 「ESSアップデート:CertIDアルゴリズムのagilityの追加」、RFC 5035 [15]で定義されているESS署名の認証-V2属性。これは、他のハッシュアルゴリズムを使用する場合に使用されるものとします。
The certificate to be used to verify the signature shall be identified in the sequence (i.e., the certificate from the signer), and the sequence shall not be empty. The signature validation policy may mandate other certificates be present that may include all the certificates up to the trust anchor.
The syntax of the signing-certificate attribute type of the ES is as defined in Enhanced Security Services (ESS), RFC 2634 [5], and further qualified in the present document.
ESの署名認証属性タイプの構文は、強化されたセキュリティサービス(ESS)、RFC 2634 [5]で定義されており、現在のドキュメントでさらに資格があります。
The sequence of the policy information field is not used in the present document.
ポリシー情報フィールドのシーケンスは、現在のドキュメントでは使用されていません。
The ESS signing-certificate attribute shall be a signed attribute. The encoding of the ESSCertID for this certificate shall include the issuerSerial field.
ESS Signing-Certificate属性は、署名された属性でなければなりません。この証明書のEsscertidのエンコーディングには、発行担当フィールドが含まれます。
If present, the issuerAndSerialNumber in SignerIdentifier field of the SignerInfo shall match the issuerSerial field present in ESSCertID. In addition, the certHash from ESSCertID shall match the SHA-1 hash of the certificate. The certificate identified shall be used during the signature verification process. If the hash of the certificate does not match the certificate used to verify the signature, the signature shall be considered invalid.
存在する場合、SignerInfoのSigneridentifierフィールドにある発行者の登録担当者は、Esscertidに存在する発行担当フィールドと一致するものとします。さらに、EsscertidのCerthashは、証明書のSHA-1ハッシュと一致するものとします。特定された証明書は、署名検証プロセス中に使用されるものとします。証明書のハッシュが署名の検証に使用される証明書と一致しない場合、署名は無効と見なされます。
NOTE: Where an attribute certificate is used by the signer to associate a role, or other attributes of the signer, with the electronic signature; this is placed in the signer-attributes attribute as defined in Section 5.8.3.
The ESS signing-certificate-v2 attribute is similar to the ESS signing-certificate defined above, except that this attribute can be used with hashing algorithms other than SHA-1.
この属性は、SHA-1以外のハッシュアルゴリズムで使用できることを除いて、ESS署名の認証-V2属性は、上記で定義されたESS署名認証の属性と類似しています。
The syntax of the signing-certificate-v2 attribute type of the ES is as defined in "ESS Update: Adding CertID Algorithm Agility", RFC 5035 [15], and further qualified in the present document.
ESの署名認証-V2属性タイプの構文は、「ESSアップデート:CertIDアルゴリズムのagilityの追加」、RFC 5035 [15]で定義されており、現在のドキュメントでさらに資格があります。
The sequence of the policy information field is not used in the present document.
ポリシー情報フィールドのシーケンスは、現在のドキュメントでは使用されていません。
This attribute shall be used in the same manner as defined above for the ESS signing-certificate attribute.
この属性は、上記のESS署名承認属性の場合と同じ方法で使用するものとします。
The object identifier for this attribute is:
id-aa-signingCertificateV2 OBJECT IDENTIFIER ::=
{ iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs9(9)
smime(16) id-aa(2) 47 }
If present, the issuerAndSerialNumber in SignerIdentifier field of the SignerInfo shall match the issuerSerial field present in ESSCertIDv2. In addition, the certHash from ESSCertIDv2 shall match the hash of the certificate computed using the hash function specified in the hashAlgorithm field. The certificate identified shall be used during the signature verification process. If the hash of the certificate does not match the certificate used to verify the signature, the signature shall be considered invalid.
存在する場合、SignerInfoのSigneridentifierフィールドの発行者と登場者は、esscertidv2に存在する発行担当フィールドと一致するものとします。さらに、esscertidv2のcerthashは、ハッシュハルゴリズムフィールドで指定されたハッシュ関数を使用して計算された証明書のハッシュと一致するものとします。特定された証明書は、署名検証プロセス中に使用されるものとします。証明書のハッシュが署名の検証に使用される証明書と一致しない場合、署名は無効と見なされます。
NOTE 1: Where an attribute certificate is used by the signer to associate a role, or other attributes of the signer, with the electronic signature; this is placed in the signer-attributes attribute as defined in Section 5.8.3.
注1:署名者が属性証明書を使用して、署名者のその他の属性を電子署名に関連付けるために使用されます。これは、セクション5.8.3で定義されているように、署名者とアトリビュートの属性に配置されます。
NOTE 2: RFC 3126 was using the other signing-certificate attribute (see Section 5.7.3.3) for the same purpose. Its use is now deprecated, since this structure is simpler.
注2:RFC 3126は、同じ目的で他の署名承認属性(セクション5.7.3.3を参照)を使用していました。この構造はより単純であるため、その使用は現在廃止されています。
RFC 3126 was using the other signing-certificate attribute as an alternative to the ESS signing-certificate when hashing algorithms other than SHA-1 were being used. Its use is now deprecated, since the structure of the signing-certificate-v2 attribute is simpler. Its description is however still present in this version for backwards compatibility.
RFC 3126は、SHA-1以外のハッシュアルゴリズムが使用されている場合、ESSの署名証明書に代わるものとして、他の署名認証属性を使用していました。署名の認証-V2属性の構造がより単純であるため、その使用は現在廃止されています。ただし、このバージョンには、後方互換性のためにまだ説明が存在します。
id-aa-ets-otherSigCert OBJECT IDENTIFIER ::= { iso(1)
member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs9(9)
smime(16) id-aa(2) 19 }
The other-signing-certificate attribute value has the ASN.1 syntax OtherSigningCertificate:
他の署名承認属性値には、asn.1 syntax othersIngingCertificateがあります。
OtherSigningCertificate ::= SEQUENCE {
certs SEQUENCE OF OtherCertID,
policies SEQUENCE OF PolicyInformation OPTIONAL
-- NOT USED IN THE PRESENT DOCUMENT }
OtherCertID ::= SEQUENCE {
otherCertHash OtherHash,
issuerSerial IssuerSerial OPTIONAL }
OtherHash ::= CHOICE {
sha1Hash OtherHashValue, -- This contains a SHA-1 hash
otherHash OtherHashAlgAndValue}
OtherHashValue ::= OCTET STRING
OtherHashAlgAndValue ::= SEQUENCE {
hashAlgorithm AlgorithmIdentifier,
hashValue OtherHashValue }
The present document mandates that for CAdES-EPES, a reference to the signature policy is included in the signedData. This reference is explicitly identified. A signature policy defines the rules for creation and validation of an electronic signature, and is included as a signed attribute with every Explicit Policy-based Electronic Signature. The signature-policy-identifier shall be a signed attribute.
現在の文書は、Cades-EPEの場合、署名ポリシーへの参照がSignedDataに含まれていることを義務付けています。この参照は明示的に識別されます。署名ポリシーは、電子署名の作成と検証のルールを定義し、すべての明示的なポリシーベースの電子署名と署名された属性として含まれています。Signature-Policy-Identifierは、署名された属性でなければなりません。
The following object identifier identifies the signature-policy-identifier attribute:
次のオブジェクト識別子は、署名-Policy-Identifier属性を識別します。
id-aa-ets-sigPolicyId OBJECT IDENTIFIER ::= { iso(1)
member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs9(9)
smime(16) id-aa(2) 15 }
signature-policy-identifier attribute values have ASN.1 type SignaturePolicyIdentifier:
Signature-Policy-Identifierの属性値にはasn.1タイプSignaturePolicyIdentifier:
SignaturePolicyIdentifier ::= CHOICE {
signaturePolicyId SignaturePolicyId,
signaturePolicyImplied SignaturePolicyImplied
-- not used in this version
}
SignaturePolicyId ::= SEQUENCE {
sigPolicyId SigPolicyId,
sigPolicyHash SigPolicyHash,
sigPolicyQualifiers SEQUENCE SIZE (1..MAX) OF
SigPolicyQualifierInfo OPTIONAL}
SignaturePolicyImplied ::= NULL
The sigPolicyId field contains an object-identifier that uniquely identifies a specific version of the signature policy. The syntax of this field is as follows:
Sigpolicyidフィールドには、署名ポリシーの特定のバージョンを一意に識別するオブジェクト識別子が含まれています。このフィールドの構文は次のとおりです。
SigPolicyId ::= OBJECT IDENTIFIER
The sigPolicyHash field optionally contains the identifier of the hash algorithm and the hash of the value of the signature policy. The hashValue within the sigPolicyHash may be set to zero to indicate that the policy hash value is not known.
Sigpolicyhashフィールドには、オプションで、ハッシュアルゴリズムの識別子と署名ポリシーの値のハッシュが含まれています。Sigpolicyhash内のハッシュバルーは、ポリシーハッシュ値が不明であることを示すためにゼロに設定される場合があります。
NOTE: The use of a zero sigPolicyHash value is to ensure backwards compatibility with earlier versions of the current document. If sigPolicyHash is zero, then the hash value should not be checked against the calculated hash value of the signature policy.
注:ゼロSigpolicyhash値の使用は、現在のドキュメントの以前のバージョンとの逆方向の互換性を確保することです。Sigpolicyhashがゼロの場合、ハッシュ値を署名ポリシーの計算されたハッシュ値に対してチェックしないでください。
If the signature policy is defined using ASN.1, then the hash is calculated on the value without the outer type and length fields, and the hashing algorithm shall be as specified in the field sigPolicyHash.
署名ポリシーがASN.1を使用して定義されている場合、ハッシュは外部タイプと長さのフィールドなしで値で計算され、ハッシュアルゴリズムはフィールドSigpolicyhashで指定されているとおりです。
If the signature policy is defined using another structure, the type of structure and the hashing algorithm shall be either specified as part of the signature policy, or indicated using a signature policy qualifier.
署名ポリシーが別の構造を使用して定義されている場合、構造のタイプとハッシュアルゴリズムは、署名ポリシーの一部として指定されるか、署名ポリシー修飾子を使用して示されます。
SigPolicyHash ::= OtherHashAlgAndValue
OtherHashAlgAndValue ::= SEQUENCE {
hashAlgorithm AlgorithmIdentifier,
hashValue OtherHashValue }
OtherHashValue ::= OCTET STRING
A Signature Policy Identifier may be qualified with other information about the qualifier. The semantics and syntax of the qualifier is as associated with the object-identifier in the sigPolicyQualifierId field. The general syntax of this qualifier is as follows:
署名ポリシー識別子は、予選に関する他の情報とともに資格がある場合があります。予選のセマンティクスと構文は、Sigpolicyqualifieridフィールドのオブジェクト識別子に関連付けられています。この予選の一般的な構文は次のとおりです。
SigPolicyQualifierInfo ::= SEQUENCE {
sigPolicyQualifierId SigPolicyQualifierId,
sigQualifier ANY DEFINED BY sigPolicyQualifierId }
The present document specifies the following qualifiers:
現在のドキュメントでは、次の予選を指定します。
- spuri: this contains the web URI or URL reference to the signature policy, and
- Spuri:これには、署名ポリシーへのWeb URIまたはURL参照が含まれています。
- sp-user-notice: this contains a user notice that should be displayed whenever the signature is validated.
- SP-USER-NOTICE:これには、署名が検証されたときに表示されるユーザー通知が含まれています。
sigpolicyQualifierIds defined in the present document:
SigPolicyQualifierId ::= OBJECT IDENTIFIER
id-spq-ets-uri OBJECT IDENTIFIER ::= { iso(1)
member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs9(9)
smime(16) id-spq(5) 1 }
SPuri ::= IA5String
id-spq-ets-unotice OBJECT IDENTIFIER ::= { iso(1)
member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs9(9)
smime(16) id-spq(5) 2 }
SPUserNotice ::= SEQUENCE {
noticeRef NoticeReference OPTIONAL,
explicitText DisplayText OPTIONAL}
NoticeReference ::= SEQUENCE {
organization DisplayText, noticeNumbers SEQUENCE OF INTEGER }
組織DisplayText、Noticenumbersシーケンスの整数}
DisplayText ::= CHOICE {
visibleString VisibleString (SIZE (1..200)),
bmpString BMPString (SIZE (1..200)),
utf8String UTF8String (SIZE (1..200)) }
The following attributes may be present with the signed-data; the attributes are defined in CMS (RFC 3852 [4]) and are imported into the present document. Where appropriate, the attributes are qualified and profiled by the present document.
次の属性は、署名されたデータに存在する場合があります。属性はCMS(RFC 3852 [4])で定義され、現在のドキュメントにインポートされます。必要に応じて、属性は現在のドキュメントによって資格があり、プロファイルされます。
The signing-time attribute specifies the time at which the signer claims to have performed the signing process.
署名時の属性は、署名者が署名プロセスを実行したと主張する時間を指定します。
Signing-time attribute values for ES have the ASN.1 type SigningTime as defined in CMS (RFC 3852 [4]).
ESの署名時間属性値には、CMS(RFC 3852 [4])で定義されているASN.1タイプの署名時間があります。
NOTE: RFC 3852 [4] states that dates between January 1, 1950 and December 31, 2049 (inclusive) must be encoded as UTCTime. Any dates with year values before 1950 or after 2049 must be encoded as GeneralizedTime.
注:RFC 3852 [4]は、1950年1月1日から2049年12月31日(包括的)の間にUTCTIMEとしてエンコードする必要があると述べています。1950年以前または2049年以降の年価値のある日付は、一般化された時間としてエンコードする必要があります。
The countersignature attribute values for ES have ASN.1 type CounterSignature, as defined in CMS (RFC 3852 [4]). A countersignature attribute shall be an unsigned attribute.
cmsで定義されているように、ESのcountersignature属性値には、asn.1型countersignatureがあります(RFC 3852 [4])。counterSignature属性は、署名されていない属性でなければなりません。
The following attributes may be present with the signed-data defined by the present document. The attributes are defined in ESS and are imported into the present document and are appropriately qualified and profiled by the present document.
以下の属性は、現在のドキュメントで定義された署名されたデータに存在する場合があります。属性はESSで定義されており、現在のドキュメントにインポートされており、現在のドキュメントで適切に資格があり、プロファイルされています。
The content-reference attribute is a link from one SignedData to another. It may be used to link a reply to the original message to which it refers, or to incorporate by reference one SignedData into another. The content-reference attribute shall be a signed attribute.
コンテンツリファレンス属性は、あるsignedDataから別の署名型へのリンクです。これは、それが言及する元のメッセージへの返信をリンクするために使用するか、参照1つのsignedDataに組み込むために使用される場合があります。コンテンツリファレンス属性は、署名された属性でなければなりません。
content-reference attribute values for ES have ASN.1 type ContentReference, as defined in ESS (RFC 2634 [5]).
ES(RFC 2634 [5])で定義されているように、ESのコンテンツリファレンス属性値には、asn.1タイプのコンテンツがあります。
The content-reference attribute shall be used as defined in ESS (RFC 2634 [5]).
コンテンツリファレンス属性は、ESS(RFC 2634 [5])で定義されているように使用するものとします。
The content-identifier attribute provides an identifier for the signed content, for use when a reference may be later required to that content; for example, in the content-reference attribute in other signed data sent later. The content-identifier shall be a signed attribute.
Content-Identifier属性は、そのコンテンツに後で参照が必要になる場合に使用するために、署名されたコンテンツの識別子を提供します。たとえば、後で送信された他の署名データのコンテンツリファレンス属性。Content-Identifierは、署名された属性でなければなりません。
content-identifier attribute type values for the ES have an ASN.1 type ContentIdentifier, as defined in ESS (RFC 2634 [5]).
ES(RFC 2634 [5])で定義されているように、ESのContent-Identifier属性タイプの値は、asn.1型Contentidentifierを持っています。
The minimal content-identifier attribute should contain a concatenation of user-specific identification information (such as a user name or public keying material identification information), a GeneralizedTime string, and a random number.
Minimal Content-Identifier属性には、ユーザー固有の識別情報(ユーザー名やパブリックキーイングマテリアル識別情報など)の連結、一般化された時間文字列、および乱数を含める必要があります。
The content-hints attribute provides information on the innermost signed content of a multi-layer message where one content is encapsulated in another.
コンテンツヒント属性は、あるコンテンツが別のコンテンツにカプセル化されているマルチレイヤーメッセージの最も内側の符号付きコンテンツに関する情報を提供します。
The syntax of the content-hints attribute type of the ES is as defined in ESS (RFC 2634 [5]).
ESのコンテンツヒント属性タイプの構文は、ESS(RFC 2634 [5])で定義されているとおりです。
When used to indicate the precise format of the data to be presented to the user, the following rules apply:
ユーザーに提示されるデータの正確な形式を示すために使用される場合、次のルールが適用されます。
- the contentType indicates the type of the associated content. It is an object identifier (i.e., a unique string of integers) assigned by an authority that defines the content type; and
- ContentTypeは、関連するコンテンツのタイプを示します。これは、コンテンツタイプを定義する当局によって割り当てられたオブジェクト識別子(つまり、一意の整数の文字列)です。と
- when the contentType is id-data, the contentDescription shall define the presentation format; the format may be defined by MIME types.
- ContentTypeがID-DATAの場合、ContentDescriptionはプレゼンテーション形式を定義します。この形式は、MIMEタイプで定義できます。
When the format of the content is defined by MIME types, the following rules apply:
コンテンツの形式がMIMEタイプで定義される場合、次のルールが適用されます。
- the contentType shall be id-data, as defined in CMS (RFC 3852 [4]);
- CMS(RFC 3852 [4])で定義されているように、contentTypeはid-dataでなければなりません。
- the contentDescription shall be used to indicate the encoding of the data, in accordance with the rules defined RFC 2045 [6]; see Annex F for an example of structured contents and MIME.
- コンテンツデスクリプリは、RFC 2045 [6]と定義されたルールに従って、データのエンコードを示すために使用するものとします。構造化された内容とmimeの例については、付録Fを参照してください。
NOTE 1: id-data OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840)
rsadsi(113549) pkcs(1) pkcs7(7) 1 }
NOTE 2: contentDescription is optional in ESS (RFC 2634 [5]). It may be used to complement contentTypes defined elsewhere; such definitions are outside the scope of the present document.
注2:ContentDescriptionはESS(RFC 2634 [5])でオプションです。他の場所で定義されているコンテンツタイプを補完するために使用できます。このような定義は、現在のドキュメントの範囲外です。
This section defines a number of attributes that may be used to indicate additional information to a verifier:
このセクションでは、検証者に追加情報を示すために使用できる多くの属性を定義します。
a) the type of commitment from the signer, and/or
a) 署名者からのコミットメントの種類、および/または
b) the claimed location where the signature is performed, and/or c) claimed attributes or certified attributes of the signer, and/or
b) 署名が実行される請求場所、および/またはc)署名者の属性または認定属性、および/または
d) a content time-stamp applied before the content was signed.
d) コンテンツが署名される前に適用されるコンテンツタイムスタンプ。
There may be situations where a signer wants to explicitly indicate to a verifier that by signing the data, it illustrates a type of commitment on behalf of the signer. The commitment-type-indication attribute conveys such information.
署名者が、データに署名することにより、署名者に代わって一種のコミットメントを示していることを検証者に明示的に示したい状況があるかもしれません。コミットメントタイプの指標属性は、そのような情報を伝えます。
The commitment-type-indication attribute shall be a signed attribute. The commitment type may be:
コミットメントタイプの指標属性は、署名された属性でなければなりません。コミットメントタイプは次のとおりです。
- defined as part of the signature policy, in which case, the commitment type has precise semantics that are defined as part of the signature policy; and
- 署名ポリシーの一部として定義されています。その場合、コミットメントタイプには、署名ポリシーの一部として定義される正確なセマンティクスがあります。と
- be a registered type, in which case, the commitment type has precise semantics defined by registration, under the rules of the registration authority. Such a registration authority may be a trading association or a legislative authority.
- 登録型タイプであるため、コミットメントタイプには、登録機関の規則に基づいて、登録によって定義された正確なセマンティクスがあります。このような登録機関は、貿易協会または立法当局である可能性があります。
The signature policy specifies a set of attributes that it "recognizes". This "recognized" set includes all those commitment types defined as part of the signature policy, as well as any externally defined commitment types that the policy may choose to recognize. Only recognized commitment types are allowed in this field.
署名ポリシーは、「認識」する一連の属性を指定します。この「認識された」セットには、署名ポリシーの一部として定義されたすべてのコミットメントタイプと、ポリシーが認識することを選択する可能性のある外部から定義されたコミットメントタイプが含まれます。この分野では、認識されているコミットメントタイプのみが許可されています。
The following object identifier identifies the commitment-type-indication attribute:
次のオブジェクト識別子は、コミットメントタイプ誘導属性を識別します。
id-aa-ets-commitmentType OBJECT IDENTIFIER ::= { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 16}
commitment-type-indication attribute values have ASN.1 type CommitmentTypeIndication.
コミットメントタイプの指標属性値には、asn.1型コミットメントタイプインジケーションがあります。
CommitmentTypeIndication ::= SEQUENCE {
commitmentTypeId CommitmentTypeIdentifier,
commitmentTypeQualifier SEQUENCE SIZE (1..MAX) OF
CommitmentTypeQualifier OPTIONAL}
CommitmentTypeIdentifier ::= OBJECT IDENTIFIER
CommitmentTypeQualifier ::= SEQUENCE {
commitmentTypeIdentifier CommitmentTypeIdentifier,
qualifier ANY DEFINED BY commitmentTypeIdentifier }
The use of any qualifiers to the commitment type is outside the scope of the present document.
コミットメントタイプへの予選者の使用は、現在のドキュメントの範囲外です。
The following generic commitment types are defined in the present document:
以下の一般的なコミットメントタイプは、現在のドキュメントで定義されています。
id-cti-ets-proofOfOrigin OBJECT IDENTIFIER ::= { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) cti(6) 1}
id-cti-ets-proofOfReceipt OBJECT IDENTIFIER ::= { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) cti(6) 2}
id-cti-ets-proofOfDelivery OBJECT IDENTIFIER ::= { iso(1)
member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16)
cti(6) 3}
id-cti-ets-proofOfSender OBJECT IDENTIFIER ::= { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) cti(6) 4}
id-cti-ets-proofOfApproval OBJECT IDENTIFIER ::= { iso(1)
member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16)
cti(6) 5}
id-cti-ets-proofOfCreation OBJECT IDENTIFIER ::= { iso(1)
member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16)
cti(6) 6}
These generic commitment types have the following meanings:
これらの一般的なコミットメントタイプには、次の意味があります。
Proof of origin indicates that the signer recognizes to have created, approved, and sent the message.
原産地の証明は、署名者がメッセージを作成、承認、および送信したことを認識していることを示しています。
Proof of receipt indicates that signer recognizes to have received the content of the message.
領収書の証明は、署名者がメッセージの内容を受け取ったことを認識していることを示しています。
Proof of delivery indicates that the TSP providing that indication has delivered a message in a local store accessible to the recipient of the message.
配信の証明は、TSPが、表示の受信者がアクセスできる地元の店でメッセージを送信したことを提供するTSPが示すことを示しています。
Proof of sender indicates that the entity providing that indication has sent the message (but not necessarily created it).
送信者の証明は、兆候がメッセージを送信したことを提供するエンティティが(必ずしも作成したわけではない)ことを示します。
Proof of approval indicates that the signer has approved the content of the message.
承認の証明は、署名者がメッセージの内容を承認したことを示しています。
Proof of creation indicates that the signer has created the message (but not necessarily approved, nor sent it).
作成の証明は、署名者がメッセージを作成したことを示しています(ただし、必ずしも承認されていないわけではなく、送信されません)。
The signer-location attribute specifies a mnemonic for an address associated with the signer at a particular geographical (e.g., city) location. The mnemonic is registered in the country in which the signer is located and is used in the provision of the Public Telegram Service (according to ITU-T Recommendation F.1 [11]).
署名者ロケーション属性は、特定の地理的(都市)の場所で署名者に関連付けられたアドレスのニーモニックを指定します。ニーモニックは、署名者が位置する国に登録されており、公共電報サービスの提供に使用されています(ITU-Tの推奨F.1 [11]に従って)。
The signer-location attribute shall be a signed attribute. The following object identifier identifies the signer-location attribute:
署名者のロケーション属性は、署名属性でなければなりません。次のオブジェクト識別子は、署名者ロケーション属性を識別します。
id-aa-ets-signerLocation OBJECT IDENTIFIER ::= { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 17}
Signer-location attribute values have ASN.1 type SignerLocation:
署名者のロケーション属性値にはasn.1タイプの署名者があります。
SignerLocation ::= SEQUENCE {
-- at least one of the following shall be present:
countryName [0] DirectoryString OPTIONAL,
-- As used to name a Country in X.500
localityName [1] DirectoryString OPTIONAL,
-- As used to name a locality in X.500
postalAdddress [2] PostalAddress OPTIONAL }
PostalAddress ::= SEQUENCE SIZE(1..6) OF DirectoryString
The signer-attributes attribute specifies additional attributes of the signer (e.g., role). It may be either:
Signer-Attributes属性は、署名者の追加属性(例:役割)を指定します。どちらかです:
- claimed attributes of the signer; or
- 署名者の主張された属性。また
- certified attributes of the signer.
- 署名者の認定属性。
The signer-attributes attribute shall be a signed attribute. The following object identifier identifies the signer-attribute attribute:
Signer-Attributes属性は、署名された属性でなければなりません。次のオブジェクト識別子は、署名者とアトリブの属性を識別します。
id-aa-ets-signerAttr OBJECT IDENTIFIER ::= { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 18}
signer-attributes values have ASN.1 type SignerAttribute:
Signer-Attributesの値にはasn.1タイプSignerAttribute:
SignerAttribute ::= SEQUENCE OF CHOICE {
claimedAttributes [0] ClaimedAttributes,
certifiedAttributes [1] CertifiedAttributes }
ClaimedAttributes ::= SEQUENCE OF Attribute
CertifiedAttributes ::= AttributeCertificate
-- as defined in RFC 3281: see Section 4.1.
NOTE 1: Only a single signer-attributes can be used.
注1:単一の署名者とアトリビュートのみを使用できます。
NOTE 2: Attribute and AttributeCertificate are as defined respectively in ITU-T Recommendations X.501 [9] and X.509 [1].
注2:属性と属性の属性は、ITU-Tの推奨X.501 [9]およびX.509 [1]でそれぞれ定義されています。
The content-time-stamp attribute is an attribute that is the time-stamp token of the signed data content before it is signed. The content-time-stamp attribute shall be a signed attribute.
コンテンツタイムスタンプ属性は、署名される前に署名されたデータコンテンツのタイムスタンプトークンである属性です。コンテンツタイムスタンプ属性は、署名された属性でなければなりません。
The following object identifier identifies the content-time-stamp attribute:
次のオブジェクト識別子は、コンテンツタイムスタンプ属性を識別します。
id-aa-ets-contentTimestamp OBJECT IDENTIFIER ::=
{ iso(1) member- body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9)
smime(16) id-aa(2) 20}
content-time-stamp attribute values have ASN.1 type ContentTimestamp:
ContentTimestamp ::= TimeStampToken
The value of messageImprint of TimeStampToken (as described in RFC 3161 [7]) shall be a hash of the value of the eContent field within encapContentInfo in the signedData.
(RFC 3161 [7]で説明されている)TimestamptokenのMessageImprintの値は、SignedDataのEncapContentinfo内のecontentフィールドの値のハッシュとなります。
For further information and definition of TimeStampToken, see Section 7.4.
Timestamptokenの詳細と定義については、セクション7.4を参照してください。
NOTE: content-time-stamp indicates that the signed information was formed before the date included in the content-time-stamp.
注:コンテンツタイムスタンプは、コンテンツタイムスタンプに含まれる日付の前に署名された情報が形成されたことを示します。
Multiple independent signatures (see Annex B.5) are supported by independent SignerInfo from each signer.
複数の独立した署名(付録B.5を参照)は、各署名者の独立した署名者によってサポートされています。
Each SignerInfo shall include all the attributes required under the present document and shall be processed independently by the verifier.
各Signerinfoは、本文書に必要なすべての属性を含めるものとし、検証剤によって独立して処理されるものとします。
NOTE: Independent signatures may be used to provide independent signatures from different parties with different signed attributes, or to provide multiple signatures from the same party using alternative signature algorithms, in which case the other attributes, excluding time values and signature policy information, will generally be the same.
注:独立した署名を使用して、さまざまな署名属性を持つさまざまな関係者から独立した署名を提供するか、代替署名アルゴリズムを使用して同じ当事者から複数の署名を提供することができます。同じである。
Multiple embedded signatures (see Annex C.5) are supported using the countersignature unsigned attribute (see Section 5.9.2). Each counter signature is carried in countersignature held as an unsigned attribute to the SignerInfo to which the counter-signature is applied.
複数の埋め込み署名(付録C.5を参照)は、counterignature unsigned属性(セクション5.9.2を参照)を使用してサポートされています。各カウンター署名は、カウンターシグネチャが適用されるSignerInfoへの符号なしの属性として保持されているcountersignatureで運ばれます。
NOTE: Counter signatures may be used to provide signatures from different parties with different signed attributes, or to provide multiple signatures from the same party using alternative signature algorithms, in which case the other attributes, excluding time values and signature policy information, will generally be the same.
注:カウンターシグネチャは、さまざまな署名属性を持つさまざまな関係者の署名を提供するために使用できます。また、代替署名アルゴリズムを使用して同じ当事者から複数の署名を提供します。同じ。
This section specifies attributes that contain different types of validation data. These attributes build on the electronic signature specified in Section 5. This includes:
このセクションでは、さまざまなタイプの検証データを含む属性を指定します。これらの属性は、セクション5で指定された電子署名に基づいて構築されます。これには以下が含まれます。
- Signature-time-stamp applied to the electronic signature value or a Time-Mark in an audit trail. This is defined as the Electronic Signature with Time (CAdES-T); and
- 電子署名値または監査証跡のタイムマークに適用される署名時間スタンプ。これは、時間のある電子署名(Cades-T)として定義されます。と
- Complete validation data references that comprise the time-stamp of the signature value, plus references to all the certificates (complete-certificate-references) and revocation (complete-revocation-references) information used for full validation of the electronic signature. This is defined as the Electronic Signature with Complete data references (CAdES-C).
- 署名値のタイムスタンプを構成する完全な検証データ参照に加えて、すべての証明書(完全な認証参照)および撤退(完全繰り返し参照)情報への参照は、電子署名の完全な検証に使用されます。これは、完全なデータ参照(Cades-C)を備えた電子署名として定義されます。
NOTE 1: Formats for CAdES-T are illustrated in Section 4.4, and the attributes are defined in Section 6.1.1.
注1:Cades-Tの形式はセクション4.4に示されており、属性はセクション6.1.1で定義されています。
NOTE 2: Formats for CAdES-C are illustrated in Section 4.4. The required attributes for the CAdES-C signature format are defined in Sections 6.2.1 to 6.2.2; optional attributes are defined in Sections 6.2.3 and 6.2.4.
注2:Cades-Cのフォーマットは、セクション4.4に示されています。Cades-C署名形式に必要な属性は、セクション6.2.1〜6.2.2で定義されています。オプションの属性は、セクション6.2.3および6.2.4で定義されています。
In addition, the following optional extended forms of validation data are also defined; see Annex B for an overview of the extended forms of validation data:
さらに、次のオプションの拡張フォームの検証データも定義されています。検証データの拡張形式の概要については、付録Bを参照してください。
- CAdES-X with time-stamp: there are two types of time-stamps used in extended validation data defined by the present document;
- タイムスタンプ付きのCades-X:現在のドキュメントで定義された拡張検証データに使用されるタイムスタンプには2つのタイプがあります。
- Type 1(CAdES-X Type 1): comprises a time-stamp over the ES with Complete validation data (CAdES-C); and
- タイプ1(Cades-X Type 1):完全な検証データ(Cades-C)を備えたES上のタイムスタンプを含む。と
- Type 2 (CAdES-X Type2): comprises a time-stamp over the certification path references and the revocation information references used to support the CAdES-C.
- タイプ2(Cades-X Type2):認定パス参照のタイムスタンプと、Cades-Cをサポートするために使用される取り消し情報リファレンスを含む。
NOTE 3: Formats for CAdES-X Type 1 and CAdES-X Type 2 are illustrated in Sections B.1.2 and B.1.3, respectively.
注3:Cades-X Type 1およびCades-X Type 2のフォーマットは、それぞれセクションB.1.2およびB.1.3に示されています。
- CAdES-X Long: comprises the Complete validation data references (CAdES-C), plus the actual values of all the certificates and revocation information used in the CAdES-C.
- Cades-X Long:完全な検証データ参照(Cades-C)に加えて、Cades-Cで使用されるすべての証明書と取り消し情報の実際の値を含む。
NOTE 4: Formats for CAdES-X Long are illustrated in Annex B.1.1.
注4:Cades-X Longのフォーマットは、付録B.1.1に示されています。
- CAdES-X Long Type 1 or CAdES-X Long Type 2: comprises an X-Time-Stamp (Type 1 or Type 2), plus the actual values of all the certificates and revocation information used in the CAdES-C as per CAdES-X Long.
- Cades-X Long Type 1またはCades-X Long Type 2:X-Time-Stamp(タイプ1またはタイプ2)に加えて、Cades-Cで使用されるすべての証明書と取り消し情報の実際の値を含む - x長い。
This section also specifies the data structures used in Archive validation data format (CAdES-A)of extended forms:
このセクションでは、拡張フォームのアーカイブ検証データ形式(Cades-A)で使用されるデータ構造も指定しています。
- Archive form of electronic signature (CAdES-A) comprises:
- 電子署名のアーカイブ形式(Cades-A)は次のとおりです。
- the Complete validation data references (CAdES-C),
- 完全な検証データ参照(Cades-C)、
- the certificate and revocation values (as in a CAdES-X Long ),
- 証明書と失効値(ケードXの長さのように)、
- any existing extended electronic signature time-stamps (CAdES-X Type 1 or CAdES-X Type 2), if present, and
- 既存の電子署名タイムスタンプ(Cades-Xタイプ1またはCades-Xタイプ2)、存在する場合、
- the signed user data and an additional archive time-stamp applied over all that data.
- 署名されたユーザーデータと追加のアーカイブタイムスタンプが、そのすべてのデータに適用されました。
An archive time-stamp may be repeatedly applied after long periods to maintain validity when electronic signature and time-stamping algorithms weaken.
アーカイブタイムスタンプは、電子署名およびタイムスタンプアルゴリズムが弱体化する場合に有効性を維持するために、長期にわたって繰り返し適用できます。
The additional data required to create the forms of electronic signature identified above is carried as unsigned attributes associated with an individual signature by being placed in the unsignedAttrs field of SignerInfo. Thus, all the attributes defined in Section 6 are unsigned attributes.
上記の電子署名の形式を作成するために必要な追加データは、SignerInfoのunsignedattrsフィールドに配置されることにより、個々の署名に関連付けられた署名のない属性として運ばれます。したがって、セクション6で定義されているすべての属性は、署名されていない属性です。
NOTE 5: Where multiple signatures are to be supported, as described in Section 5.12, each signature has a separate SignerInfo. Thus, each signature requires its own unsigned attribute values to create CAdES-T, CAdES-C, etc.
注5:セクション5.12で説明されているように、複数の署名がサポートされる場合、各署名には別のSignerinfoがあります。したがって、各署名には、Cades-T、Cades-Cなどを作成するために、独自の署名されていない属性値が必要です。
NOTE 6: The optional attributes of the extended validation data are defined in Sections 6.3 and 6.4.
注6:拡張検証データのオプションの属性は、セクション6.3および6.4で定義されています。
An electronic signature with time-stamp is an electronic signature for which part, but not all, of the additional data required for validation is available (i.e., some certificates and revocation information are available, but not all).
タイムスタンプを備えた電子署名は、検証に必要な追加データのすべてではなく、すべてではありませんが、すべてではありませんが、すべてではありませんが、すべてではありませんが、すべてではありません)。
The minimum structure time-stamp validation data is:
最小構造のタイムスタンプ検証データは次のとおりです。
- the signature time-stamp attribute, as defined in Section 6.1.1, over the ES signature value.
- セクション6.1.1で定義されているSignature Time-Stamp属性は、ES署名値を超えています。
The signature-time-stamp attribute is a TimeStampToken computed on the signature value for a specific signer; it is an unsigned attribute. Several instances of this attribute may occur with an electronic signature, from different TSAs.
署名時間スタンプ属性は、特定の署名者の署名値に計算されたタイムスタンプトンです。それは署名されていない属性です。この属性のいくつかのインスタンスは、異なるTSAから電子署名で発生する場合があります。
The following object identifier identifies the signature-time-stamp attribute:
次のオブジェクト識別子は、署名時間スタンプ属性を識別します。
id-aa-signatureTimeStampToken OBJECT IDENTIFIER ::=
{ iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9)
smime(16) id-aa(2) 14}
The signature-time-stamp attribute value has ASN.1 type SignatureTimeStampToken:
Signature-Time-Stamp属性値には、asn.1タイプSignAtureTimestAmptoken:
SignatureTimeStampToken ::= TimeStampToken
The value of the messageImprint field within TimeStampToken shall be
a hash of the value of the signature field within SignerInfo for the
signedData being time-stamped.
For further information and definition of TimeStampToken, see Section 7.4.
Timestamptokenの詳細と定義については、セクション7.4を参照してください。
NOTE 1: In the case of multiple signatures, it is possible to have a:
注1:複数の署名の場合、:
- TimeStampToken computed for each and all signers; or
- すべての署名者のために計算されたTimestamptoken;また
- TimeStampToken computed on one signer's signature; and no
- 1つの署名者の署名で計算されたTimestamptoken。といいえ
- TimeStampToken on another signer's signature.
- 別の署名者の署名でTimestamptoken。
NOTE 2: In the case of multiple signatures, several TSTs, issued by different TSAs, may be present within the same signerInfo (see RFC 3852 [4]).
注2:複数の署名の場合、異なるTSAによって発行されたいくつかのTSTが同じSignerinfo内に存在する場合があります(RFC 3852 [4]を参照)。
An electronic signature with Complete validation data references (CAdES-C) is an electronic signature for which all the additional data required for validation (i.e., all certificates and revocation information) is available. This form is built on the CAdES-T form defined above.
完全な検証データ参照(CADES-C)を備えた電子署名は、検証に必要なすべての追加データ(つまり、すべての証明書と取り消し情報)が利用可能な電子署名です。このフォームは、上記のCades-Tフォームの上に構築されています。
As a minimum, the Complete validation data shall include the following:
少なくとも、完全な検証データには以下が含まれます。
- a time, which shall either be a signature-timestamp attribute, as defined in Section 6.1.1, or a time-mark operated by a Time-Marking Authority;
- セクション6.1.1で定義されているように、これは署名のティメスタンプ属性であるか、タイムマーク当局によって操作されるタイムマークのいずれかです。
- complete-certificate-references, as defined in Section 6.2.1;
- セクション6.2.1で定義されているように、完全な認証参照。
- complete-revocation-references, as defined in Section 6.2.2.
- セクション6.2.2で定義されているように、完全な改訂版参照。
The complete-certificate-references attribute is an unsigned attribute. It references the full set of CA certificates that have been used to validate an ES with Complete validation data up to (but not including) the signer's certificate. Only a single instance of this attribute shall occur with an electronic signature.
完全な認証再参照属性は、署名されていない属性です。これは、署名者の証明書まで完全な検証データを使用してESを検証するために使用されたCA証明書の完全なセットを参照します。この属性の単一のインスタンスのみが、電子署名で発生するものとします。
NOTE 1: The signer's certificate is referenced in the signing certificate attribute (see Section 5.7.3).
注1:署名者の証明書は、署名証明書属性に参照されます(セクション5.7.3を参照)。
id-aa-ets-certificateRefs OBJECT IDENTIFIER ::= { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 21}
The complete-certificate-references attribute value has the ASN.1 syntax CompleteCertificateRefs.
完全な資格 - 参照属性値には、ASN.1構文CompleteCertificAterefがあります。
CompleteCertificateRefs ::= SEQUENCE OF OtherCertID
OtherCertID is defined in Section 5.7.3.3.
othercertidは、セクション5.7.3.3で定義されています。
The IssuerSerial that shall be present in OtherCertID. The certHash shall match the hash of the certificate referenced.
他のcertidに存在する発行担当者。Certhashは、参照されている証明書のハッシュと一致するものとします。
NOTE 2: Copies of the certificate values may be held using the certificate-values attribute, defined in Section 6.3.3.
This attribute may include references to the certification chain for any TSUs that provides time-stamp tokens. In this case, the unsigned attribute shall be added to the signedData of the relevant time-stamp token as an unsignedAttrs in the signerInfos field.
この属性には、タイムスタンプトークンを提供するTSUの認証チェーンへの参照が含まれます。この場合、署名されたタイムスタンプトークンのSignerinfosフィールドの符号なしの属性に署名されていない属性を追加するものとします。
The complete-revocation-references attribute is an unsigned attribute. Only a single instance of this attribute shall occur with an electronic signature. It references the full set of the CRL, ACRL, or OCSP responses that have been used in the validation of the signer, and CA certificates used in ES with Complete validation data.
完全な反省再参照属性は、署名されていない属性です。この属性の単一のインスタンスのみが、電子署名で発生するものとします。署名者の検証で使用されているCRL、ACRL、またはOCSP応答の完全なセットと、完全な検証データを持つESで使用されるCA証明書を参照します。
This attribute indicates that the verifier has taken due diligence to gather the available revocation information. The references stored in this attribute can be used to retrieve the referenced information, if not stored in the CMS structure, but somewhere else.
この属性は、検証者が利用可能な取り消し情報を収集するためにデューデリジェンスを取ったことを示しています。この属性に保存されている参照は、CMS構造に保存されていない場合、他のどこかに参照される情報を取得するために使用できます。
The following object identifier identifies the complete-revocation-references attribute:
次のオブジェクト識別子は、完全な反映再参照属性を識別します。
id-aa-ets-revocationRefs OBJECT IDENTIFIER ::= { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 22}
The complete-revocation-references attribute value has the ASN.1 syntax CompleteRevocationRefs:
完全な再参照属性の値には、ASN.1構文CompleerEvocationRefsがあります。
CompleteRevocationRefs ::= SEQUENCE OF CrlOcspRef
CrlOcspRef ::= SEQUENCE {
crlids [0] CRLListID OPTIONAL,
ocspids [1] OcspListID OPTIONAL,
otherRev [2] OtherRevRefs OPTIONAL
}
CompleteRevocationRefs shall contain one CrlOcspRef for the signing-certificate, followed by one for each OtherCertID in the CompleteCertificateRefs attribute. The second and subsequent CrlOcspRef fields shall be in the same order as the OtherCertID to which they relate. At least one of CRLListID or OcspListID or OtherRevRefs should be present for all but the "trusted" CA of the certificate path.
CompleteRevocationRefsには、署名承認のために1つのcrlocsprefを含める必要があり、その後、CompleteCertificaterefs属性のbothercertidに続きます。2番目と後続のCrlocsprefフィールドは、それらが関係する他のCertidと同じ順序でなければなりません。証明書パスの「信頼できる」CAを除くすべてに、CrllistIDまたはOCSPLISTIDまたはその他のREVREFSの少なくとも1つが存在する必要があります。
CRLListID ::= SEQUENCE {
crls SEQUENCE OF CrlValidatedID }
CrlValidatedID ::= SEQUENCE {
crlHash OtherHash,
crlIdentifier CrlIdentifier OPTIONAL }
CrlIdentifier ::= SEQUENCE {
crlissuer Name,
crlIssuedTime UTCTime,
crlNumber INTEGER OPTIONAL }
OcspListID ::= SEQUENCE {
ocspResponses SEQUENCE OF OcspResponsesID }
OcspResponsesID ::= SEQUENCE {
ocspIdentifier OcspIdentifier,
ocspRepHash OtherHash OPTIONAL
}
OcspIdentifier ::= SEQUENCE {
ocspResponderID ResponderID,
-- As in OCSP response data
producedAt GeneralizedTime
-- As in OCSP response data
}
When creating a crlValidatedID, the crlHash is computed over the entire DER encoded CRL including the signature. The crlIdentifier would normally be present unless the CRL can be inferred from other information.
crlvalidatedIDを作成するとき、crlhashは署名を含むDERエンコードされたCRL全体で計算されます。CRLが他の情報から推測できない限り、CRLIDENTIFIERは通常存在します。
The crlIdentifier is to identify the CRL using the issuer name and the CRL issued time, which shall correspond to the time thisUpdate contained in the issued CRL, and if present, the crlNumber. The crlListID attribute is an unsigned attribute. In the case that the identified CRL is a Delta CRL, then references to the set of CRLs to provide a complete revocation list shall be included.
CRLIDENTIFIERは、発行者名と発行された時間を使用してCRLを識別することであり、これは発行されたCRLに含まれる時間に対応し、存在する場合はCRLNumberに対応するものとします。crllistid属性は、署名されていない属性です。特定されたCRLがDelta CRLである場合、完全な取り消しリストを提供するためにCRLのセットへの参照を含めます。
The OcspIdentifier is to identify the OCSP response using the issuer name and the time of issue of the OCSP response, which shall correspond to the time produced as contained in the issued OCSP response. Since it may be needed to make the difference between two OCSP responses received within the same second, the hash of the response contained in the OcspResponsesID may be needed to solve the ambiguity.
OCSpidentifierは、発行者名とOCSP応答の発行時間を使用してOCSP応答を識別することです。これは、発行されたOCSP応答に含まれる時間に対応するものとします。同じ秒以内に受信された2つのOCSP応答の違いを作成する必要がある可能性があるため、曖昧さを解決するためにOCSPRESPONSESIDに含まれる応答のハッシュが必要になる場合があります。
NOTE 1: Copies of the CRL and OCSP responses values may be held using the revocation-values attribute defined in Section 6.3.4.
注1:CRLおよびOCSP応答値のコピーは、セクション6.3.4で定義されている取り消し値属性を使用して保持できます。
NOTE 2: It is recommended that this attribute be used in preference to the OtherRevocationInfoFormat specified in RFC 3852 to maintain backwards compatibility with the earlier version of this specification.
注2:この仕様の以前のバージョンとの逆方向の互換性を維持するために、RFC 3852で指定された他のrevocationInfoformatを優先してこの属性を使用することをお勧めします。
The syntax and semantics of other revocation references are outside the scope of the present document. The definition of the syntax of the other form of revocation information is as identified by OtherRevRefType.
他の取り消し参照の構文とセマンティクスは、現在のドキュメントの範囲外です。取り消し情報の他の形式の構文の定義は、otherRevreftypeによって識別されているとおりです。
This attribute may include the references to the full set of the CRL, ACRL, or OCSP responses that have been used to verify the certification chain for any TSUs that provide time-stamp tokens. In this case, the unsigned attribute shall be added to the signedData of the relevant time-stamp token as an unsignedAttrs in the signerInfos field.
この属性には、タイムスタンプトークンを提供するTSUの認証チェーンを検証するために使用されたCRL、ACRL、またはOCSP応答の完全なセットへの参照を含めることができます。この場合、署名されたタイムスタンプトークンのSignerinfosフィールドの符号なしの属性に署名されていない属性を追加するものとします。
This attribute is only used when a user attribute certificate is present in the electronic signature.
この属性は、ユーザー属性証明書が電子署名に存在する場合にのみ使用されます。
The attribute-certificate-references attribute is an unsigned attribute. It references the full set of AA certificates that have been used to validate the attribute certificate. Only a single instance of this attribute shall occur with an electronic signature.
属性 - 認証 - 参照属性は、署名されていない属性です。属性証明書の検証に使用されたAA証明書の完全なセットを参照します。この属性の単一のインスタンスのみが、電子署名で発生するものとします。
id-aa-ets-attrCertificateRefs OBJECT IDENTIFIER ::=
{ iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9)
smime(16) id-aa(2) 44}
The attribute-certificate-references attribute value has the ASN.1 syntax AttributeCertificateRefs:
Attribute-Certificate-References属性値には、asn.1構文属性certificaterefsがあります。
AttributeCertificateRefs ::= SEQUENCE OF OtherCertID
OtherCertID is defined in Section 5.7.3.3.
othercertidは、セクション5.7.3.3で定義されています。
NOTE: Copies of the certificate values may be held using the certificate-values attribute defined in Section 6.3.3.
注:証明書のコピーは、セクション6.3.3で定義されている証明書値属性を使用して保持できます。
This attribute is only used when a user attribute certificate is present in the electronic signature and when that attribute certificate can be revoked.
この属性は、ユーザー属性証明書が電子署名に存在する場合、およびその属性証明書を取り消すことができる場合にのみ使用されます。
The attribute-revocation-references attribute is an unsigned attribute. Only a single instance of this attribute shall occur with an electronic signature. It references the full set of the ACRL or OCSP responses that have been used in the validation of the attribute certificate. This attribute can be used to illustrate that the verifier has taken due diligence of the available revocation information.
属性 - 反復再参照属性は、署名されていない属性です。この属性の単一のインスタンスのみが、電子署名で発生するものとします。属性証明書の検証で使用されているACRLまたはOCSP応答の完全なセットを参照します。この属性を使用して、検証者が利用可能な取り消し情報のデューデリジェンスを取得したことを説明できます。
The following object identifier identifies the attribute-revocation-references attribute:
次のオブジェクト識別子は、属性 - 再参照属性を識別します。
id-aa-ets-attrRevocationRefs OBJECT IDENTIFIER ::= { iso(1)
member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16)
id-aa(2) 45}
The attribute-revocation-references attribute value has the ASN.1 syntax AttributeRevocationRefs:
属性 - 再参照属性値には、asn.1構文属性revocationRefsがあります。
AttributeRevocationRefs ::= SEQUENCE OF CrlOcspRef
This section specifies a number of optional attributes that are used by extended forms of electronic signatures (see Annex B for an overview of these forms of validation data).
このセクションでは、電子署名の拡張フォームで使用される多くのオプションの属性を指定します(これらの形式の検証データの概要については、付録Bを参照)。
The extended validation data may include one of the following additional attributes, forming a CAdES-X Time-Stamp validation data (CAdES-X Type 1 or CAdES-X Type 2), to provide additional protection against later CA compromise and provide integrity of the validation data used:
拡張検証データには、以下の追加属性のいずれかが含まれる場合があります。Cades-Xタイムスタンプ検証データ(Cades-X Type 1またはCades-X Type 2)を形成し、後のCA妥協に対する追加の保護を提供し、使用される検証データ:
- CAdES-C Time-stamp, as defined in Section 6.3.5 (CAdES-X Type 1); or
- セクション6.3.5で定義されているCades-Cタイムスタンプ(Cades-X Type 1);また
- Time-Stamped Certificates and CRLs references, as defined in Section 6.3.6 (CAdES-X Type 2).
- セクション6.3.6(Cades-Xタイプ2)で定義されているタイムスタンプの証明書とCRLS参照。
The extended validation data may also include the following additional information, forming a CAdES-X Long, for use if later validation processes may not have access to this information:
拡張された検証データには、以下の追加情報が含まれる場合があります。これは、後の検証プロセスがこの情報にアクセスできない場合に使用するために、Cades-X Longを形成します。
- certificate-values, as defined in Section 6.3.3; and
- セクション6.3.3で定義されている証明書の価値。と
- revocation-values, as defined in Section 6.3.4.
- セクション6.3.4で定義されているように、取り消し値。
The extended validation data may, in addition to certificate-values and revocation-values as defined in Sections 6.3.3 and 6.3.4, include one of the following additional attributes, forming a CAdES-X Long Type 1 or CAdES-X Long Type 2.
拡張検証データは、セクション6.3.3および6.3.4で定義されている証明書の価値と取り消し値に加えて、以下の追加属性のいずれかを含めて、Cades-X Long Type 1またはCades-X Longタイプを形成することができます。2。
- CAdES-C Time-stamp, as defined in Section 6.3.3 (CAdES-X long Type 1); or
- セクション6.3.3で定義されているCades-Cタイムスタンプ(Cades-X Long Type 1);また
- Time-Stamped Certificates and CRLs references, as defined in Section 6.3.4 (CAdES-X Long Type 2).
- セクション6.3.4(Cades-X Long Type 2)で定義されているタイムスタンプの証明書とCRLS参照。
The CAdES-X Long Type 1 or CAdES-X Long Type 2 provides additional protection against later CA compromise and provides integrity of the validation data used.
Cades-X Long Type 1またはCades-X Long Type 2は、後のCA妥協に対する追加の保護を提供し、使用される検証データの整合性を提供します。
NOTE 1: The CAdES-X-Long signature provides long-term proof of the validity of the signature for as long as the CA keys, CRL Issuers keys, and OCSP responder keys are not compromised and are resistant to cryptographic attacks.
注1:CADES-X-LONGの署名は、CAキー、CRL発行者キー、およびOCSPレスポンダーキーが侵害されず、暗号攻撃に耐性がある限り、署名の有効性の長期的な証拠を提供します。
NOTE 2: As long as the time-stamp data remains valid, the CAdES-X Long Type 1 and the CAdES-X Long Type 2 provide the following important property for long-standing signatures; that having been found once to be valid, it shall continue to be so months or years later, long after the validity period of the certificates has expired, or after the user key has been compromised.
注2:タイムスタンプデータが有効である限り、Cades-X Long Type 1とCades-X Long Type 2は、長年の署名に次の重要な特性を提供します。それは一度有効であることが判明したため、証明書の有効期間が失効した後、またはユーザーキーが侵害された後、それは数か月または数年後も続きます。
This attribute may be used to contain the certificate information required for the following forms of extended electronic signature: CAdES-X Long, ES X-Long Type 1, and CAdES-X Long Type 2; see Annex B.1.1 for an illustration of this form of electronic signature.
この属性は、拡張された電子署名の次の形式に必要な証明書情報を含めることができます。この形式の電子署名のイラストについては、付録B.1.1を参照してください。
The certificate-values attribute is an unsigned attribute. Only a single instance of this attribute shall occur with an electronic signature. It holds the values of certificates referenced in the complete-certificate-references attribute.
証明書価値属性は、署名されていない属性です。この属性の単一のインスタンスのみが、電子署名で発生するものとします。完全な資格再参照属性で参照される証明書の値を保持します。
NOTE: If an attribute certificate is used, it is not provided in this structure but shall be provided by the signer as a signer-attributes attribute (see Section 5.11.3).
注:属性証明書が使用されている場合、この構造では提供されませんが、署名者から署名者とアトリビュートの属性として提供されるものとします(セクション5.11.3を参照)。
The following object identifier identifies the certificate-values attribute:
次のオブジェクト識別子は、証明書値属性を識別します。
id-aa-ets-certValues OBJECT IDENTIFIER ::= { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 23}
The certificate-values attribute value has the ASN.1 syntax CertificateValues.
証明書値属性値には、asn.1構文証明書があります。
CertificateValues ::= SEQUENCE OF Certificate
Certificate is defined in Section 7.1. (which is as defined in ITU-T Recommendation X.509 [1]).
証明書はセクション7.1で定義されています。(これは、ITU-T推奨x.509 [1]で定義されています)。
This attribute may include the certification information for any TSUs that have provided the time-stamp tokens, if these certificates are not already included in the TSTs as part of the TSUs signatures. In this case, the unsigned attribute shall be added to the signedData of the relevant time-stamp token.
この属性には、TSUS署名の一部としてこれらの証明書がまだTSTに含まれていない場合、タイムスタンプトークンを提供したTSUの認証情報を含めることができます。この場合、署名されていない属性を、関連するタイムスタンプトークンのSignedDataに追加するものとします。
This attribute is used to contain the revocation information required for the following forms of extended electronic signature: CAdES-X Long, ES X-Long Type 1, and CAdES-X Long Type 2; see Annex B.1.1 for an illustration of this form of electronic signature.
この属性は、拡張された電子署名の次の形式に必要な取り消し情報を含むために使用されます。Cades-X Long、ES X-Long Type 1、およびCades-X Long Type 2。この形式の電子署名のイラストについては、付録B.1.1を参照してください。
The revocation-values attribute is an unsigned attribute. Only a single instance of this attribute shall occur with an electronic signature. It holds the values of CRLs and OCSP referenced in the complete-revocation-references attribute.
ragocation-values属性は、署名されていない属性です。この属性の単一のインスタンスのみが、電子署名で発生するものとします。CRLSとOCSPの値を完全な再展開再参照属性で参照しています。
NOTE: It is recommended that this attribute be used in preference to the OtherRevocationInfoFormat specified in RFC 3852 to maintain backwards compatibility with the earlier version of this specification.
The following object identifier identifies the revocation-values attribute:
次のオブジェクト識別子は、regocation-values属性を識別します。
id-aa-ets-revocationValues OBJECT IDENTIFIER ::= { iso(1)
member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9)
smime(16) id-aa(2) 24}
The revocation-values attribute value has the ASN.1 syntax RevocationValues
raucocation-values属性値には、asn.1構文gococationvaluesがあります
RevocationValues ::= SEQUENCE {
crlVals [0] SEQUENCE OF CertificateList OPTIONAL,
ocspVals [1] SEQUENCE OF BasicOCSPResponse OPTIONAL,
otherRevVals [2] OtherRevVals OPTIONAL }
OtherRevVals ::= SEQUENCE {
OtherRevValType OtherRevValType,
OtherRevVals ANY DEFINED BY OtherRevValType }
OtherRevValType ::= OBJECT IDENTIFIER
The syntax and semantics of the other revocation values (OtherRevVals) are outside the scope of the present document.
他の取り消し値(その他のREVVALS)の構文とセマンティクスは、現在のドキュメントの範囲外です。
The definition of the syntax of the other form of revocation information is as identified by OtherRevRefType.
取り消し情報の他の形式の構文の定義は、otherRevreftypeによって識別されているとおりです。
CertificateList is defined in Section 7.2. (which is as defined in ITU-T Recommendation X.509 [1]).
証明書リストは、セクション7.2で定義されています。(これは、ITU-T推奨x.509 [1]で定義されています)。
BasicOCSPResponse is defined in Section 7.3. (which is as defined in RFC 2560 [3]).
Basicocspresponseはセクション7.3で定義されています。(これはRFC 2560 [3]で定義されています)。
This attribute may include the values of revocation data including CRLs and OCSPs for any TSUs that have provided the time-stamp tokens, if these certificates are not already included in the TSTs as part of the TSUs signatures. In this case, the unsigned attribute shall be added to the signedData of the relevant time-stamp token.
この属性には、TSUS署名の一部としてこれらの証明書がTSTにまだ含まれていない場合、タイムスタンプトークンを提供したTSUのCRLとOCSPを含む取消データの値が含まれます。この場合、署名されていない属性を、関連するタイムスタンプトークンのSignedDataに追加するものとします。
This attribute is used to protect against CA key compromise.
この属性は、CAの重要な妥協から保護するために使用されます。
This attribute is used for the time-stamping of the complete electronic signature (CAdES-C). It is used in the following forms of extended electronic signature; CAdES-X Type 1 and CAdES-X Long Type 1; see Annex B.1.2 for an illustration of this form of electronic signature.
この属性は、完全な電子署名(Cades-C)のタイムスタンプに使用されます。拡張された電子署名の次の形式で使用されます。Cades-X Type 1およびCades-X Long Type 1;この形式の電子署名のイラストについては、付録B.1.2を参照してください。
The CAdES-C-time-stamp attribute is an unsigned attribute. It is a time-stamp token of the hash of the electronic signature and the complete validation data (CAdES-C). It is a special-purpose TimeStampToken Attribute that time-stamps the CAdES-C. Several instances of this attribute may occur with an electronic signature from different TSAs.
Cades-C-Time-Stamp属性は、署名されていない属性です。これは、電子署名のハッシュのタイムスタンプトークンと完全な検証データ(Cades-C)です。これは、Cades-Cをタイムスタンプする特別な目的のTimestamptoken属性です。この属性のいくつかのインスタンスは、異なるTSAからの電子署名で発生する場合があります。
NOTE 1: It is recommended that the attributes being time-stamped be encoded in DER. If DER is not employed, then the binary encoding of the ASN.1 structures being time-stamped should be preserved to ensure that the recalculation of the data hash is consistent.
注1:タイムスタンプされている属性をDERでエンコードすることをお勧めします。derが使用されていない場合、データハッシュの再計算が一貫していることを確認するために、asn.1構造のバイナリエンコードを保存する必要があります。
NOTE 2: Each attribute is included in the hash with the attrType and attrValues (including type and length) but without the type and length of the outer SEQUENCE.
注2:各属性は、attrypeと属性(タイプと長さを含む)を備えたハッシュに含まれますが、外側シーケンスのタイプと長さはありません。
The following object identifier identifies the CAdES-C-Timestamp attribute:
次のオブジェクト識別子は、Cades-C-Timestamp属性を識別します。
id-aa-ets-escTimeStamp OBJECT IDENTIFIER ::= { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 25}
The CAdES-C-timestamp attribute value has the ASN.1 syntax ESCTimeStampToken :
Cades-C-Timestamp属性値には、ASN.1構文ESCTIMESTAMPTOKEN:
ESCTimeStampToken ::= TimeStampToken
The value of the messageImprint field within TimeStampToken shall be a hash of the concatenated values (without the type or length encoding for that value) of the following data objects:
TimeStamptoken内のmessageImprintフィールドの値は、次のデータオブジェクトの連結値(その値のタイプまたは長さのエンコードなし)のハッシュでなければなりません。
- OCTETSTRING of the SignatureValue field within SignerInfo;
- SignerInfo内の署名バリューフィールドのオクテットストリング。
- signature-time-stamp, or a time-mark operated by a Time-Marking Authority;
- シグネチャータイムスタンプ、またはタイムマーク当局が運営するタイムマーク。
- complete-certificate-references attribute; and
- 完全総参照属性。と
- complete-revocation-references attribute.
- 完全な反省再参照属性。
For further information and definition of the TimeStampToken, see Section 7.4.
Timestamptokenの詳細と定義については、セクション7.4を参照してください。
This attribute is used to protect against CA key compromise. This attribute is used for the time-stamping certificate and revocation references. It is used in the following forms of extended electronic signature: CAdES-X Type 2 and CAdES-X Long Type 2; see Annex B.1.3 for an illustration of this form of electronic signature.
この属性は、CAの重要な妥協から保護するために使用されます。この属性は、タイムスタンプ証明書および取り消し参照に使用されます。拡張された電子署名の次の形式で使用されています。Cades-X Type 2およびCades-X Long Type 2。この形式の電子署名のイラストについては、付録B.1.3を参照してください。
A time-stamped-certs-crls-references attribute is an unsigned attribute. It is a time-stamp token issued for a list of referenced certificates and OCSP responses and/or CRLs to protect against certain CA compromises. Its syntax is as follows:
タイムスタンプ付きcerts-crls-references属性は、署名されていない属性です。これは、特定のCAの妥協から保護するために、参照されている証明書とOCSP応答および/またはCRLのリストに対して発行されたタイムスタンプトークンです。その構文は次のとおりです。
NOTE 1: It is recommended that the attributes being time-stamped be encoded in DER. If DER is not employed, then the binary encoding of the ASN.1 structures being time-stamped should be preserved to ensure that the recalculation of the data hash is consistent.
注1:タイムスタンプされている属性をDERでエンコードすることをお勧めします。derが使用されていない場合、データハッシュの再計算が一貫していることを確認するために、asn.1構造のバイナリエンコードを保存する必要があります。
NOTE 2: Each attribute is included in the hash with the attrType and attrValues (including type and length) but without the type and length of the outer SEQUENCE.
注2:各属性は、attrypeと属性(タイプと長さを含む)を備えたハッシュに含まれますが、外側シーケンスのタイプと長さはありません。
The following object identifier identifies the time-stamped-certs-crls-references attribute:
次のオブジェクト識別子は、タイムスタンプされたCERTS-CRLS-REFERENCES属性を識別します。
id-aa-ets-certCRLTimestamp OBJECT IDENTIFIER ::=
{ iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9)
smime(16) id-aa(2) 26}
The attribute value has the ASN.1 syntax TimestampedCertsCRLs:
属性値には、asn.1の構文タイムスタンプ型certscrlsがあります。
TimestampedCertsCRLs ::= TimeStampToken
The value of the messageImprint field within the TimeStampToken shall be a hash of the concatenated values (without the type or length encoding for that value) of the following data objects, as present in the ES with Complete validation data (CAdES-C):
TimeStamptoken内のmessageImprintフィールドの値は、完全な検証データ(Cades-C)のESに存在するように、次のデータオブジェクトの連結値(その値のタイプまたは長さのエンコードなし)のハッシュでなければなりません。
- complete-certificate-references attribute; and
- 完全総参照属性。と
- complete-revocation-references attribute.
- 完全な反省再参照属性。
Where an electronic signature is required to last for a very long time, and the time-stamp token on an electronic signature is in danger of being invalidated due to algorithm weakness or limits in the validity period of the TSA certificate, it may be required to time-stamp the electronic signature several times. When this is required, an archive time-stamp attribute may be required for the archive form of the electronic signature (CAdES-A). This archive time-stamp attribute may be repeatedly applied over a period of time.
非常に長い間持続するために電子署名が必要であり、電子署名のタイムスタンプトークンがアルゴリズムの弱点またはTSA証明書の有効期間の制限により無効になる危険にさらされている場合、それは必要になる場合があります電子署名を数回タイムスタンプします。これが必要な場合、電子署名のアーカイブフォーム(Cades-A)にはアーカイブタイムスタンプ属性が必要になる場合があります。このアーカイブタイムスタンプ属性は、一定期間にわたって繰り返し適用される場合があります。
The archive-time-stamp attribute is a time-stamp token of many of the elements of the signedData in the electronic signature. If the certificate-values and revocation-values attributes are not present in the CAdES-BES or CAdES-EPES, then they shall be added to the electronic signature prior to computing the archive time-stamp token.
アーカイブタイムスタンプ属性は、電子署名の署名されたdataの多くの要素のタイムスタンプトークンです。Cades-BesまたはCades-Epesに証明書の値と取消値の属性が存在しない場合、アーカイブタイムスタンプトークンを計算する前に、電子署名に追加されます。
The archive-time-stamp attribute is an unsigned attribute. Several instances of this attribute may occur with an electronic signature both over time and from different TSUs.
The following object identifier identifies the nested archive-time-stamp attribute:
次のオブジェクト識別子は、ネストされたアーカイブ時間スタンプ属性を識別します。
id-aa-ets-archiveTimestampV2 OBJECT IDENTIFIER ::=
{ iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9)
smime(16) id-aa(2) 48}
Archive-time-stamp attribute values have the ASN.1 syntax ArchiveTimeStampToken
Archive-Time-Stamp属性の値には、ASN.1構文ArchiveTimestamptokenがあります
ArchiveTimeStampToken ::= TimeStampToken
The value of the messageImprint field within TimeStampToken shall be a hash of the concatenation of:
TimeStamptoken内のmessageImprintフィールドの値は、次のように連結するハッシュでなければなりません。
- the encapContentInfo element of the SignedData sequence;
- SignedDataシーケンスのcapContentInfo要素。
- any external content being protected by the signature, if the eContent element of the encapContentInfo is omitted;
- EncapContentInfoのecontent要素が省略されている場合、署名によって保護されている外部コンテンツはいずれかです。
- the Certificates and crls elements of the SignedData sequence, when present, and;
- SignedDataシーケンスの証明書とCRLS要素、存在する場合、
- all data elements in the SignerInfo sequence including all signed and unsigned attributes.
- SignerINFOシーケンスのすべてのデータ要素は、すべての署名属性と符号なし属性を含む。
NOTE 1: An alternative archiveTimestamp attribute, identified by an object identifier { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 27, is defined in prior versions of TS 101 733 [TS101733] and in RFC 3126.
注1:オブジェクト識別子によって識別される代替Archivetimestamp属性{ISO(1)メンバーボディ(2)US(840)Rsadsi(113549)PKCS(1)PKCS-9(16)ID-AA(2)27は、TS 101 733 [TS101733]の以前のバージョンとRFC 3126で定義されています。
The archiveTimestamp attribute, defined in versions of TS 101 733 prior to 1.5.1 and in RFC 3126, is not compatible with the attribute defined in the current document. The archiveTimestamp attribute, defined in versions 1.5.1 to 1.6.3 of TS 101 733, is compatible with the current document if the content is internal to encapContentInfo. Unless the version of TS 101 733 employed by the signing party is known by all recipients, use of the archiveTimestamp attribute defined in prior versions of TS 101 733 is deprecated.
1.5.1より前のTS 101 733およびRFC 3126のバージョンで定義されているArchivetimestamp属性は、現在のドキュメントで定義されている属性と互換性がありません。TS 101 733のバージョン1.5.1〜1.6.3で定義されているArchiveTimestamp属性は、コンテンツが内部である場合、現在のドキュメントと互換性があります。署名当事者が採用しているTS 101 733のバージョンがすべての受信者に知られている場合を除き、TS 101 733の以前のバージョンで定義されたArchivetimestamp属性の使用は非推奨です。
NOTE 2: Counter signatures held as countersignature attributes do not require independent archive time-stamps, as they are protected by the archive time-stamp against the containing SignedData structure.
注2:countersignature属性として保持されているカウンターシグネチャは、署名data構造を含むアーカイブタイムスタンプによって保護されているため、独立したアーカイブタイムスタンプを必要としません。
NOTE 3: Unless DER is used throughout, it is recommended that the binary encoding of the ASN.1 structures being time-stamped be preserved when being archived to ensure that the recalculation of the data hash is consistent.
注3:derが全体を通して使用されない限り、データハッシュの再計算が一貫していることを確認するためにアーカイブされるときに、asn.1構造のバイナリエンコードをアーカイブする場合、保存することをお勧めします。
NOTE 4: The hash is calculated over the concatenated data elements as received/stored, including the Type and Length encoding.
注4:ハッシュは、タイプと長さのエンコーディングを含む、受信/保存された連結データ要素に対して計算されます。
NOTE 5: Whilst it is recommended that unsigned attributes be DER encoded, it cannot generally be so guaranteed except by prior arrangement. For further information and definition of TimeStampToken, see Section 7.4. The timestamp should be created using stronger algorithms (or longer key lengths) than in the original electronic signatures and weak algorithm (key length) timestamps.
注5:符号なしの属性をderエンコードすることをお勧めしますが、通常、事前の取り決めを除いてそれほど保証することはできません。Timestamptokenの詳細と定義については、セクション7.4を参照してください。タイムスタンプは、元の電子署名と弱いアルゴリズム(キー長)タイムスタンプよりも強力なアルゴリズム(または長いキーの長さ)を使用して作成する必要があります。
NOTE 6: This form of ES also provides protection against a TSP key compromise.
注6:この形式のESは、TSPキーの妥協に対する保護も提供します。
The ArchiveTimeStamp will be added as an unsigned attribute in the SignerInfo sequence. For the validation of one ArchiveTimeStamp, the data elements of the SignerInfo must be concatenated, excluding all later ArchivTimeStampToken attributes.
Archivetimestampは、SignerInfoシーケンスの符号なし属性として追加されます。1つのArchiveTimestampの検証のために、SignerInfoのデータ要素を連結する必要があり、すべてのArchivtimestamptoken属性を除外します。
Certificates and revocation information required to validate the ArchiveTimeStamp shall be provided by one of the following methods:
Archivetimestampを検証するために必要な証明書と取り消し情報は、次の方法のいずれかによって提供されるものとします。
- The TSU provides the information in the SignedData of the timestamp token;
- TSUは、タイムスタンプトークンのSignedDataに情報を提供します。
- Adding the complete-certificate-references attribute and the complete-revocation-references attribute of the TSP as an unsigned attribute within TimeStampToken, when the required information is stored elsewhere; or
- 必要な情報が他の場所に保存されている場合、TSPの完全な参照属性とTSPの完全な再展開属性属性を追加しない属性として追加します。また
- Adding the certificate-values attribute and the revocation-values attribute of the TSP as an unsigned attribute within TimeStampToken, when the required information is stored elsewhere.
- 必要な情報が他の場所に保存されている場合、TSPのTSPのRogocation-Values属性を、Timestamptoken内の符号なし属性として追加します。
The X.509 v3 certificate basis syntax is defined in ITU-T Recommendation X.509 [1]. A profile of the X.509 v3 certificate is defined in RFC 3280 [2].
X.509 V3証明書ベースの構文は、ITU-T推奨X.509 [1]で定義されています。X.509 V3証明書のプロファイルは、RFC 3280 [2]で定義されています。
The X.509 v2 CRL syntax is defined in ITU-T Recommendation X.509 [1]. A profile of the X.509 v2 CRL is defined in RFC 3280 [2].
X.509 V2 CRL構文は、ITU-T推奨X.509 [1]で定義されています。X.509 V2 CRLのプロファイルは、RFC 3280で定義されています[2]。
The format of an OCSP token is defined in RFC 2560 [3].
OCSPトークンの形式は、RFC 2560 [3]で定義されています。
The format of a TimeStampToken type is defined in RFC 3161 [7] and profiled in ETSI TS 101 861 [TS101861].
Timestamptokenタイプの形式は、RFC 3161 [7]で定義され、ETSI TS 101 861 [TS101861]でプロファイルされます。
The syntax of the naming and other attributes is defined in ITU-T Recommendation X.509 [1].
命名およびその他の属性の構文は、ITU-T推奨x.509 [1]で定義されています。
NOTE: The name used by the signer, held as the subject in the signer's certificate, is allocated and verified on registration with the Certification Authority, either directly or indirectly through a Registration Authority, before being issued with a Certificate.
注:署名者の証明書の主題として保持されている署名者が使用する名前は、証明書が発行される前に、登録機関を通じて直接的または間接的に認定当局への登録時に割り当てられ、検証されます。
The present document places no restrictions on the form of the name. The subject's name may be a distinguished name, as defined in ITU-T Recommendation X.500 [12], held in the subject field of the certificate, or any other name form held in the subjectAltName certificate extension field, as defined in ITU-T Recommendation X.509 [1]. In the case that the subject has no distinguished name, the subject name can be an empty sequence and the subjectAltName extension shall be critical.
現在のドキュメントは、名前の形式に制限を設けません。被験者の名前は、ITU-Tの推奨x.500 [12]で定義されているように、証明書の件名フィールド、またはITU-で定義されているsubjectName証明書拡張フィールドに保持されているその他の名前フォームに保持されている著名な名前である場合があります。T勧告X.509 [1]。被験者が著名な名前を持っていない場合、サブジェクト名は空のシーケンスであり、subjectaltname拡張機能が重要でなければなりません。
All Certification Authorities, Attribute Authorities, and Time-Stamping Authorities shall use distinguished names in the subject field of their certificate.
すべての認証当局、属性当局、およびタイムスタンプ当局は、証明書の主題分野で著名な名前を使用するものとします。
The distinguished name shall include identifiers for the organization providing the service and the legal jurisdiction (e.g., country) under which it operates.
著名な名前には、サービスを提供する組織の識別子と、それが運営されている法的管轄(例:国)を含めるものとします。
Where a signer signs as an individual, but wishes to also identify him/herself as acting on behalf of an organization, it may be necessary to provide two independent forms of identification. The first identity, which is directly associated with the signing key, identifies him/her as an individual. The second, which is managed independently, identifies that person acting as part of the organization, possibly with a given role. In this case, one of the two identities is carried in the subject/subjectAltName field of the signer's certificate as described above.
署名者が個人として署名しているが、組織に代わって行動していると自分自身を特定したい場合、2つの独立した形式の識別を提供する必要があるかもしれません。署名キーに直接関連付けられている最初のアイデンティティは、彼/彼女を個人として識別します。独立して管理されている2番目は、おそらく特定の役割を持つ組織の一部として行動する人を特定します。この場合、2つのIDのうちの1つが、上記のように署名者の証明書の件名/subjectaltnameフィールドに掲載されます。
The present document does not specify the format of the signer's attribute that may be included in public key certificates.
現在のドキュメントでは、公開キー証明書に含まれる可能性のある署名者の属性の形式を指定していません。
NOTE: The signer's attribute may be supported by using a claimed role in the CMS signed attributes field or by placing an attribute certificate containing a certified role in the CMS signed attributes field; see Section 7.6.
注:署名者の属性は、CMS署名属性フィールドで請求された役割を使用するか、CMS署名属性フィールドに認定された役割を含む属性証明書を配置することにより、サポートされる場合があります。セクション7.6を参照してください。
The syntax of the AttributeCertificate type is defined in RFC 3281 [13].
属性セクチファートタイプの構文は、RFC 3281 [13]で定義されています。
For implementations supporting signature generation, the present document defines conformance requirements for the generation of two forms of basic electronic signature, one of the two forms must be implemented.
署名生成をサポートする実装のために、現在のドキュメントでは、2つの形式の基本的な電子署名の生成の適合要件を定義します。2つのフォームの1つを実装する必要があります。
For implementations supporting signature verification, the present document defines conformance requirements for the verification of two forms of basic electronic signature, one of the two forms must be implemented.
署名検証をサポートする実装のために、本文書は、2つの形式の基本的な電子署名の検証の適合要件を定義しています。2つのフォームの1つを実装する必要があります。
The present document only defines conformance requirements up to an ES with Complete validation data (CAdES-C). This means that none of the extended and archive forms of the electronic signature (CAdES-X, CAdES-A) need to be implemented to get conformance to the present document.
現在のドキュメントは、完全な検証データ(Cades-C)を持つESまでの適合要件のみを定義しています。これは、現在のドキュメントに順応するために、電子署名の拡張フォームとアーカイブフォーム(Cades-X、Cades-A)を実装する必要がないことを意味します。
On verification the inclusion of optional signed and unsigned attributes must be supported only to the extent that the signature is verifiable. The semantics of optional attributes may be unsupported, unless specified otherwise by a signature policy.
検証では、署名が検証可能である範囲でのみ、オプションの署名付き属性と符号なしの属性を含める必要があります。オプションの属性のセマンティクスは、署名ポリシーによって特に指定されていない限り、サポートされていない場合があります。
A system supporting CAdES-BES signers, according to the present document, shall, at a minimum, support generation of an electronic signature consisting of the following components:
現在の文書によると、Cades-Besの署名者をサポートするシステムは、少なくとも、次のコンポーネントで構成される電子署名の生成をサポートするものとします。
- The general CMS syntax and content type, as defined in RFC 3852 [4] (see Sections 5.1 and 5.2);
- RFC 3852 [4]で定義されている一般的なCMS構文とコンテンツタイプ(セクション5.1および5.2を参照)。
- CMS SignedData, as defined in RFC 3852 [4], with the version set to 3 and at least one SignerInfo present (see Sections 5.3 to 5.6);
- RFC 3852 [4]で定義されているCMS SignedData、バージョンは3に設定され、少なくとも1つのSignerinfoの存在(セクション5.3〜5.6を参照)。
- The following CMS attributes, as defined in RFC 3852 [4]:
- RFC 3852 [4]で定義されている次のCMS属性:
- content-type; this shall always be present (see Section 5.7.1); and
- コンテンツタイプ;これは常に存在するものとします(セクション5.7.1を参照)。と
- message-digest; this shall always be present (see Section 5.7.2).
- メッセージダイジェスト;これは常に存在するものとします(セクション5.7.2を参照)。
- One of the following attributes, as defined in the present document:
- 現在のドキュメントで定義されているように、次の属性のいずれかが次のとおりです。
- signing-certificate: as defined in Section 5.7.3.1; or - signing-certificate v2 : as defined in Section 5.7.3.2.
- 署名証明書:セクション5.7.3.1で定義されています。または - 署名承認V2:セクション5.7.3.2で定義されています。
NOTE: RFC 3126 was using the other signing-certificate attribute (see Section 5.7.3.3). Its use is now deprecated, since the structure of the signing-certificate v2 attribute is simpler than the other signing-certificate attribute.
注:RFC 3126は、他の署名認証属性を使用していました(セクション5.7.3.3を参照)。署名証明のV2属性の構造は、他の署名認証属性よりも単純であるため、その使用は現在廃止されています。
A system supporting Policy-based signers, according to the present document, shall, at a minimum, support the generation of an electronic signature consisting of the previous components defined for the basic signer, plus:
現在の文書によると、政策ベースの署名者をサポートするシステムは、少なくとも、基本的な署名者向けに定義された以前のコンポーネントで構成される電子署名の生成をサポートするものとします。
- The following attributes, as defined in Section 5.9:
- セクション5.9で定義されているように、次の属性:
- signature-policy-identifier; this shall always be present (see Section 5.8.1).
- Signature-Policy-Identifier;これは常に存在するものとします(セクション5.8.1を参照)。
A system supporting verifiers, according to the present document, with time-stamping facilities shall, at a minimum, support:
現在の文書によると、タイムスタンピング施設を備えた検証剤をサポートするシステムは、少なくともサポートするものとします。
- verification of the mandated components of an electronic signature, as defined in Section 8.1;
- セクション8.1で定義されているように、電子署名の義務付けられたコンポーネントの検証。
- signature-time-stamp attribute, as defined in Section 6.1.1;
- セクション6.1.1で定義されている署名時刻スタンプ属性。
- complete-certificate-references attribute, as defined in Section 6.2.1;
- セクション6.2.1で定義されているように、完全総参照属性。
- complete-revocation-references attribute, as defined in Section 6.2.2;
- セクション6.2.2で定義されているように、完全な再展開再参照属性。
- Public Key Certificates, as defined in ITU-T Recommendation X.509 [1] (see Section 8.1); and
- ITU-Tの推奨X.509 [1]で定義されている公開鍵証明書(セクション8.1を参照);と
- either of:
- のどちらか:
- Certificate Revocation Lists, as defined in ITU-T Recommendation X.509 [1] (see Section 8.2); or
- ITU-Tの推奨X.509 [1]で定義されている証明書の取り消しリスト(セクション8.2を参照)。また
- Online Certificate Status Protocol, as defined in RFC 2560 [3] (see Section 8.3).
- RFC 2560 [3]で定義されているオンライン証明書ステータスプロトコル(セクション8.3を参照)。
A system supporting verifiers, according to the present document, shall, at a minimum, support:
現在の文書によると、検証剤をサポートするシステムは、少なくともサポートするものとします。
- verification of the mandated components of an electronic signature, as defined in Section 8.1;
- セクション8.1で定義されているように、電子署名の義務付けられたコンポーネントの検証。
- complete-certificate-references attribute, as defined in Section 6.2.1;
- セクション6.2.1で定義されているように、完全総参照属性。
- complete-revocation-references attribute, as defined in Section 6.2.2;
- セクション6.2.2で定義されているように、完全な再展開再参照属性。
- a record of the electronic signature and the time when the signature was first validated, using the referenced certificates and revocation information, must be maintained, such that records cannot be undetectably modified;
- 電子署名の記録と、参照されている証明書と取り消し情報を使用して、署名が最初に検証された時間を維持する必要があります。
- Public Key Certificates, as defined in ITU-T Recommendation X.509 [1] (see Section 8.1); and
- ITU-Tの推奨X.509 [1]で定義されている公開鍵証明書(セクション8.1を参照);と
- either of:
- のどちらか:
- Certificate Revocation Lists, as defined in ITU-T Recommendation X.509 [1] (see Section 8.2); or
- ITU-Tの推奨X.509 [1]で定義されている証明書の取り消しリスト(セクション8.2を参照)。また
- online Certificate Status Protocol, as defined in RFC 2560 [3] (see Section 8.3).
- RFC 2560 [3]で定義されているオンライン証明書ステータスプロトコル(セクション8.3を参照)。
[1] ITU-T Recommendation X.509 (2000)/ISO/IEC 9594-8 (2001): "Information technology - Open Systems Interconnection - The Directory: Public key and Attribute Certificate framework".
[1] ITU -Tの推奨X.509(2000)/ISO/IEC 9594-8(2001):「情報技術 - オープンシステムの相互接続 - ディレクトリ:公開キーと属性証明書フレームワーク」。
[2] Housley, R., Polk, W., Ford, W., and D. Solo, "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile", RFC 3280, April 2002.
[2] Housley、R.、Polk、W.、Ford、W。、およびD. Solo、「インターネットX.509公開キーインフラストラクチャ証明書および証明書取消リスト(CRL)プロファイル」、RFC 3280、2002年4月。
[3] Myers, M., Ankney, R., Malpani, A., Galperin, S., and C. Adams, "X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP", RFC 2560, June 1999.
[3] Myers、M.、Ankney、R.、Malpani、A.、Galperin、S。、およびC. Adams、「X.509インターネット公開キーインフラオンライン証明書ステータスプロトコル」、RFC 2560、1999年6月。
[4] Housley, R., "Cryptographic Message Syntax (CMS)", RFC 3852, July 2004.
[4] Housley、R。、「暗号化メッセージ構文(CMS)」、RFC 3852、2004年7月。
[5] Hoffman, P., Ed., "Enhanced Security Services for S/MIME", RFC 2634, June 1999.
[5] Hoffman、P.、ed。、「S/MIMEの強化されたセキュリティサービス」、RFC 2634、1999年6月。
[6] Freed, N. and N. Borenstein, "Multipurpose Internet Mail Extensions (MIME) Part One: Format of Internet Message Bodies", RFC 2045, November 1996.
[6] Freed、N。およびN. Borenstein、「多目的インターネットメールエクステンション(MIME)パート1:インターネットメッセージボディの形式」、RFC 2045、1996年11月。
[7] Adams, C., Cain, P., Pinkas, D., and R. Zuccherato, "Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP)", RFC 3161, August 2001.
[7] Adams、C.、Cain、P.、Pinkas、D。、およびR. Zuccherato、「Internet X.509公開キーインフラストラクチャタイムスタンププロトコル(TSP)」、RFC 3161、2001年8月。
[8] ITU-T Recommendation X.680 (1997): "Information technology - Abstract Syntax Notation One (ASN.1): Specification of basic notation".
[8] ITU -Tの推奨X.680(1997):「情報技術 - 要約構文表記1(ASN.1):基本表記の仕様」。
[9] ITU-T Recommendation X.501 (2000)/ISO/IEC 9594-1 (2001): "Information technology - Open Systems Interconnection - Directory models".
[9] ITU -Tの推奨X.501(2000)/ISO/IEC 9594-1(2001):「情報技術 - オープンシステムの相互接続 - ディレクトリモデル」。
[10] Housley, R., "Cryptographic Message Syntax (CMS) Algorithms", RFC 3370, August 2002.
[10] Housley、R。、「暗号化メッセージ構文(CMS)アルゴリズム」、RFC 3370、2002年8月。
[11] ITU-T Recommendation F.1: "Operational provisions for the international public telegram service".
[11] ITU-Tの推奨F.1:「国際公共電報サービスの運用規定」。
[12] ITU-T Recommendation X.500: "Information technology - Open Systems Interconnection - The Directory: Overview of concepts, models and services".
[12] ITU -Tの推奨X.500:「情報技術 - オープンシステムの相互接続 - ディレクトリ:概念、モデル、サービスの概要」。
[13] Farrell, S. and R. Housley, "An Internet Attribute Certificate Profile for Authorization", RFC 3281, April 2002.
[13] Farrell、S。およびR. Housley、「認証のためのインターネット属性証明書プロファイル」、RFC 3281、2002年4月。
[14] ITU-T Recommendation X.208 (1988): "Specification of Abstract Syntax Notation One (ASN.1)".
[14] ITU-T推奨X.208(1988):「抽象的構文表記の仕様(ASN.1)」。
[15] Schaad, J., "Enhanced Security Services (ESS) Update: Adding CertID Algorithm Agility", RFC 5035, August 2007.
[15] Schaad、J。、「強化されたセキュリティサービス(ESS)アップデート:CertIDアルゴリズムのagilityの追加」、RFC 5035、2007年8月。
[16] ITU-T Recommendation X.690 (2002): "Information technology ASN.1 encoding rules: Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER) and Distinguished Encoding Rules (DER)".
[16] ITU-Tの推奨X.690(2002):「情報技術ASN.1エンコーディングルール:基本エンコードルール(BER)、標準エンコードルール(CER)、および区別されたエンコードルール(DER)の仕様」。
[EUDirective] Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a community framework for Electronic Signatures.
[eudirective]指令1999/93/EC欧州議会および1999年12月13日の評議会の電子署名に関するコミュニティフレームワークに関する評議会。
[TS101733] ETSI Standard TS 101 733 V.1.7.3 (2005-06) Electronic Signature Formats.
[TS101733] ETSI標準TS 101 733 V.1.7.3(2005-06)電子署名形式。
[TS101861] ETSI TS 101 861: "Time stamping profile".
[TS101861] ETSI TS 101 861:「タイムスタンピングプロファイル」。
[TS101903] ETSI TS 101 903: "XML Advanced Electronic Signatures (XAdES)".
[TS101903] ETSI TS 101 903:「XML Advanced Electronic Signatures(Xades)」。
[TR102038] ETSI TR 102 038: "Electronic Signatures and Infrastructures (ESI); XML format for signature policies".
[TR102038] ETSI TR 102 038:「電子署名とインフラストラクチャ(ESI);署名ポリシーのXML形式」。
[TR102272] ETSI TR 102 272 V1.1.1 (2003-12). "Electronic Signatures and Infrastructures (ESI); ASN.1 format for signature policies".
[TR102272] ETSI TR 102 272 V1.1.1(2003-12)。「電子署名とインフラストラクチャ(ESI); ASN.1署名ポリシーの形式」。
[RFC2479] Adams, C., "Independent Data Unit Protection Generic Security Service Application Program Interface (IDUP-GSS-API)", RFC 2479, December 1998.
[RFC2479] Adams、C。、「独立データユニット保護ジェネリックセキュリティサービスアプリケーションプログラムインターフェイス(IDUP-GSS-API)」、RFC 2479、1998年12月。
[RFC2743] Linn, J., "Generic Security Service Application Program Interface Version 2, Update 1", RFC 2743, January 2000.
[RFC2743] Linn、J。、「Generic Security Service Application Program Interfaceバージョン2、Update 1」、RFC 2743、2000年1月。
[RFC3125] Ross, J., Pinkas, D., and N. Pope, "Electronic Signature Policies", RFC 3125, September 2001.
[RFC3125] Ross、J.、Pinkas、D。、およびN. Pope、「電子署名ポリシー」、RFC 3125、2001年9月。
[RFC3447] Jonsson, J. and B. Kaliski, "Public-Key Cryptography Standards (PKCS) #1: RSA Cryptography Specifications Version 2.1", RFC 3447, February 2003.
[RFC3447] Jonsson、J。およびB. Kaliski、「Public-Key Cryptography Standards(PKCS)#1:RSA暗号仕様バージョン2.1」、RFC 3447、2003年2月。
[RFC3494] Zeilenga, K., "Lightweight Directory Access Protocol version 2 (LDAPv2) to Historic Status", RFC 3494, March 2003.
[RFC3494] Zeilenga、K。、「Lightweight Directory Access Protocolバージョン2(LDAPV2)への歴史的ステータス」、RFC 3494、2003年3月。
[RFC3851] Ramsdell, B., Ed., "Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 3.1 Message Specification", RFC 3851, July 2004.
[RFC3851] Ramsdell、B.、ed。、「Secure/Multipurpose Internet Mail Extensions(S/MIME)バージョン3.1メッセージ仕様」、RFC 3851、2004年7月。
[RFC4210] Adams, C., Farrell, S., Kause, T., and T. Mononen, "Internet X.509 Public Key Infrastructure Certificate Management Protocol (CMP)", RFC 4210, September 2005.
[RFC4210] Adams、C.、Farrell、S.、Kause、T。、およびT. Mononen、「Internet X.509公開キーインフラストラクチャ証明書管理プロトコル(CMP)」、RFC 4210、2005年9月。
[RFC4346] Dierks, T. and E. Rescorla, "The Transport Layer Security (TLS) Protocol Version 1.1", RFC 4346, April 2006.
[RFC4346] Dierks、T。およびE. Rescorla、「The Transport Layer Security(TLS)プロトコルバージョン1.1」、RFC 4346、2006年4月。
[RFC4523] Zeilenga, K., "Lightweight Directory Access Protocol (LDAP) Schema Definitions for X.509 Certificates", RFC 4523, June 2006.
[RFC4523] Zeilenga、K。、「X.509証明書のLightweight Directory Access Protocol(LDAP)スキーマ定義」、RFC 4523、2006年6月。
[ISO7498-2] ISO 7498-2 (1989): "Information processing systems - Open Systems Interconnection - Basic Reference Model - Part 2: Security Architecture".
[ISO7498-2] ISO 7498-2(1989):「情報処理システム - オープンシステムの相互接続 - 基本的な参照モデル - パート2:セキュリティアーキテクチャ」。
[ISO9796-2] ISO/IEC 9796-2 (2002): "Information technology - Security techniques - Digital signature schemes giving message recovery - Part 2: Integer factorization based mechanisms".
[ISO9796-2] ISO/IEC 9796-2(2002):「情報技術 - セキュリティテクニック - メッセージ回復を与えるデジタル署名スキーム - パート2:整数因数分解ベースのメカニズム」。
[ISO9796-4] ISO/IEC 9796-4 (1998): "Digital signature schemes giving message recovery - Part 4: Discrete logarithm based mechanisms".
[ISO9796-4] ISO/IEC 9796-4(1998):「メッセージの回復を与えるデジタル署名スキーム - パート4:離散対数ベースのメカニズム」。
[ISO10118-1] ISO/IEC 10118-1 (2000): "Information technology - Security techniques - Hash-functions - Part 1: General".
[ISO10118-1] ISO/IEC 10118-1(2000):「情報技術 - セキュリティ技術 - ハッシュファンクション - パート1:一般」。
[ISO10118-2] ISO/IEC 10118-2 (2000): "Information technology - Security techniques - Hash-functions - Part 2: Hash-functions using an n-bit block cipher algorithm".
[ISO118-2] ISO/IEC 10118-2(2000):「情報技術 - セキュリティ技術 - ハッシュファンクション - パート2:Nビットブロック暗号アルゴリズムを使用したハッシュファンクション」。
[ISO10118-3] ISO/IEC 10118-3 (2004): "Information technology - Security techniques - Hash-functions - Part 3: Dedicated hash-functions".
[ISO10118-3] ISO/IEC 10118-3(2004):「情報技術 - セキュリティテクニック - ハッシュファンクション - パート3:専用ハッシュファンクション」。
[ISO10118-4] ISO/IEC 10118-4 (1998): "Information technology - Security techniques - Hash-functions - Part 4: Hash-functions using modular arithmetic".
[ISO10118-4] ISO/IEC 10118-4(1998):「情報技術 - セキュリティテクニック - ハッシュファンクション - パート4:モジュラー算術を使用したハッシュファクション」。
[ISO10181-5] ISO/IEC 10181-5: Security Frameworks in Open Systems. Non-Repudiation Framework. April 1997.
[ISO10181-5] ISO/IEC 10181-5:オープンシステムのセキュリティフレームワーク。非繰り返しフレームワーク。1997年4月。
[ISO13888-1] ISO/IEC 13888-1 (2004): "IT security techniques - Non-repudiation - Part 1: General".
[ISO13888-1] ISO/IEC 13888-1(2004):「ITセキュリティテクニック - 非和解 - パート1:一般」。
[ISO14888-1] ISO/IEC 14888-1 (1998): "Information technology - Security techniques - Digital signatures with appendix - Part 1: General".
[ISO14888-1] ISO/IEC 14888-1(1998):「情報技術 - セキュリティテクニック - 付録付きデジタル署名 - パート1:一般」。
[ISO14888-2] ISO/IEC 14888-2 (1999): "Information technology - Security techniques - Digital signatures with appendix - Part 2: Identity-based mechanisms".
[ISO14888-2] ISO/IEC 14888-2(1999):「情報技術 - セキュリティ技術 - 付録付きデジタル署名 - パート2:アイデンティティベースのメカニズム」。
[ISO14888-3] ISO/IEC 14888-3 (1998): "Information technology - Security techniques - Digital signatures with appendix - Part 3: Certificate-based mechanisms".
[ISO14888-3] ISO/IEC 14888-3(1998):「情報技術 - セキュリティ技術 - 付録付きデジタル署名 - パート3:証明書ベースのメカニズム」。
[ISO15946-2] ISO/IEC 15946-2 (2002): "Information technology - Security techniques - Cryptographic techniques based on elliptic curves - Part 2: Digital signatures".
[ISO15946-2] ISO/IEC 15946-2(2002):「情報技術 - セキュリティ技術 - 楕円曲線に基づく暗号化技術 - パート2:デジタル署名」。
[CWA14171] CWA 14171 CEN Workshop Agreement: "General Guidelines for Electronic Signature Verification".
[CWA14171] CWA 14171 CENワークショップ契約:「電子署名の一般的なガイドライン」。
[XMLDSIG] XMLDSIG: W3C/IETF Recommendation (February 2002): "XML-Signature Syntax and Processing".
[xmldsig] xmldsig:w3c/ietf推奨(2002年2月):「xml-signature構文と処理」。
[X9.30-1] ANSI X9.30-1 (1997): "Public Key Cryptography for the Financial Services Industry - Part 1: The Digital Signature Algorithm (DSA)".
[X9.30-1] ANSI X9.30-1(1997):「金融サービス業界向けの公開キー暗号化 - パート1:デジタル署名アルゴリズム(DSA)」。
[X9.30-2] ANSI X9.30-2 (1997): "Public Key Cryptography for the Financial Services Industry - Part 2: The Secure Hash Algorithm (SHA-1)".
[X9.30-2] ANSI X9.30-2(1997):「金融サービス業界向けの公開鍵暗号 - パート2:安全なハッシュアルゴリズム(SHA-1)」。
[X9.31-1] ANSI X9.31-1 (1997): "Public Key Cryptography Using Reversible Algorithms for the Financial Services Industry - Part 1: The RSA Signature Algorithm".
[X9.31-1] ANSI X9.31-1(1997):「金融サービス業界に可逆アルゴリズムを使用した公開キー暗号化 - パート1:RSA署名アルゴリズム」。
[X9.31-2] ANSI X9.31-2 (1996): "Public Key Cryptography Using Reversible Algorithms for the Financial Services Industry - Part 2: Hash Algorithms".
[X9.31-2] ANSI X9.31-2(1996):「金融サービス業界に可逆アルゴリズムを使用した公開キー暗号 - パート2:ハッシュアルゴリズム」。
[X9.62] ANSI X9.62 (1998): "Public Key Cryptography for the Financial Services Industry - The Elliptic Curve Digital Signature Algorithm (ECDSA)".
[X9.62] ANSI X9.62(1998):「金融サービス業界向けの公開キー暗号化 - 楕円曲線デジタル署名アルゴリズム(ECDSA)」。
[P1363] IEEE P1363 (2000): "Standard Specifications for Public-Key Cryptography".
[P1363] IEEE P1363(2000):「パブリックキー暗号化の標準仕様」。
ETSI technical specifications can be downloaded free of charge via the Services and Products Download Area at: http://www.etsi.org/WebSite/Standards/StandardsDownload.aspx
ETSI技術仕様は、サービスおよび製品を介して無料でダウンロードできます。
Annex A (Normative): ASN.1 Definitions
付録A(規範):ASN.1定義
This annex provides a summary of all the ASN.1 syntax definitions for new syntax defined in the present document.
この付録は、本文書で定義されている新しい構文のすべてのASN.1構文定義の要約を提供します。
NOTE: The ASN.1 module defined in Annex A.1 using syntax defined in ITU-T Recommendation X.208 [14] has precedence over that defined in Annex A.2 in the case of any conflict.
注:Annex A.1で定義されているASN.1モジュールは、ITU-T推奨X.208 [14]で定義された構文を使用して、競合の場合にAnnex A.2で定義されていることよりも優先されます。
ETS-ElectronicSignatureFormats-ExplicitSyntax88 { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-mod(0)
eSignature-explicit88(28)}
DEFINITIONS EXPLICIT TAGS ::=
BEGIN
始める
-- EXPORTS All
- すべてエクスポートします
IMPORTS
-- Cryptographic Message Syntax (CMS): RFC 3852
- 暗号化メッセージ構文(CMS):RFC 3852
ContentInfo, ContentType, id-data, id-signedData, SignedData,
EncapsulatedContentInfo, SignerInfo, id-contentType,
id-messageDigest, MessageDigest, id-signingTime, SigningTime,
id-countersignature, Countersignature
FROM CryptographicMessageSyntax2004
{ iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9)
smime(16) modules(0) cms-2004(24) }
-- ESS Defined attributes: ESS Update
-- RFC 5035 (Adding CertID Algorithm Agility)
id-aa-signingCertificate, SigningCertificate, IssuerSerial,
id-aa-contentReference, ContentReference, id-aa-contentIdentifier,
ContentIdentifier, id-aa-signingCertificateV2
FROM ExtendedSecurityServices-2006
{ iso(1) member-body(2) us(840) rsadsi(113549)
pkcs(1) pkcs-9(9) smime(16) modules(0) id-mod-ess-2006(30) }
-- Internet X.509 Public Key Infrastructure - Certificate and CRL
-- Profile: RFC 3280
Certificate, AlgorithmIdentifier, CertificateList, Name, DirectoryString, Attribute, BMPString, UTF8String
証明書、AlgorithMidentifier、証明書リスト、名前、directoryString、属性、bmpstring、utf8string
FROM PKIX1Explicit88
{iso(1) identified-organization(3) dod(6) internet(1)
security(5) mechanisms(5) pkix(7) id-mod(0) id-pkix1-explicit(18)}
GeneralNames, GeneralName, PolicyInformation
FROM PKIX1Implicit88
{iso(1) identified-organization(3) dod(6) internet(1) security(5)
mechanisms(5) pkix(7) id-mod(0) id-pkix1-implicit (19)}
-- Internet Attribute Certificate Profile for Authorization - RFC 3281
- 承認のためのインターネット属性証明書プロファイル-RFC3281
AttributeCertificate
FROM PKIXAttributeCertificate {iso(1) identified-organization(3)
dod(6) internet(1) security(5) mechanisms(5) pkix(7)
id-mod(0) id-mod-attribute-cert(12)}
-- OCSP - RFC 2560
-OCSP -RFC 2560
BasicOCSPResponse, ResponderID
FROM OCSP {iso(1) identified-organization(3) dod(6) internet(1)
security(5) mechanisms(5) pkix(7) id-mod(0) id-mod-ocsp(14)}
-- Time Stamp Protocol RFC 3161
- タイムスタンププロトコルRFC 3161
TimeStampToken
FROM PKIXTSP
{iso(1) identified-organization(3) dod(6) internet(1) security(5)
mechanisms(5) pkix(7) id-mod(0) id-mod-tsp(13)}
;
;
-- Definitions of Object Identifier arcs used in the present document
-- ==================================================================
-- OID used referencing electronic signature mechanisms based on
-- the present document for use with the Independent Data Unit
-- Protection (IDUP) API (see Annex D)
id-etsi-es-IDUP-Mechanism-v1 OBJECT IDENTIFIER ::=
{ itu-t(0) identified-organization(4) etsi(0)
electronic-signature-standard (1733) part1 (1) idupMechanism (4)
etsiESv1(1) }
-- Basic ES CMS Attributes Defined in the present document
-- =======================================================
-- OtherSigningCertificate - deprecated
-othineingcertificate-非推奨
id-aa-ets-otherSigCert OBJECT IDENTIFIER ::=
{ iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs9(9)
smime(16) id-aa(2) 19 }
OtherSigningCertificate ::= SEQUENCE {
certs SEQUENCE OF OtherCertID,
policies SEQUENCE OF PolicyInformation OPTIONAL
-- NOT USED IN THE PRESENT DOCUMENT
}
OtherCertID ::= SEQUENCE {
otherCertHash OtherHash,
issuerSerial IssuerSerial OPTIONAL }
OtherHash ::= CHOICE {
sha1Hash OtherHashValue,
-- This contains a SHA-1 hash
otherHash OtherHashAlgAndValue}
-- Policy ES Attributes Defined in the present document
-- ====================================================
-- Mandatory Basic Electronic Signature Attributes as above,
-- plus in addition.
-- Signature-policy-identifier attribute
-Signature-Policy-Identifier属性
id-aa-ets-sigPolicyId OBJECT IDENTIFIER ::=
{ iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs9(9)
smime(16) id-aa(2) 15 }
SignaturePolicy ::= CHOICE {
signaturePolicyId SignaturePolicyId,
signaturePolicyImplied SignaturePolicyImplied
-- not used in this version
}
SignaturePolicyId ::= SEQUENCE {
sigPolicyId SigPolicyId,
sigPolicyHash SigPolicyHash,
sigPolicyQualifiers SEQUENCE SIZE (1..MAX) OF
SigPolicyQualifierInfo OPTIONAL
}
SignaturePolicyImplied ::= NULL
SigPolicyId ::= OBJECT IDENTIFIER
SigPolicyHash ::= OtherHashAlgAndValue
OtherHashAlgAndValue ::= SEQUENCE {
hashAlgorithm AlgorithmIdentifier,
hashValue OtherHashValue }
OtherHashValue ::= OCTET STRING
SigPolicyQualifierInfo ::= SEQUENCE {
sigPolicyQualifierId SigPolicyQualifierId,
sigQualifier ANY DEFINED BY sigPolicyQualifierId }
SigPolicyQualifierId ::= OBJECT IDENTIFIER
id-spq-ets-uri OBJECT IDENTIFIER ::=
{ iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs9(9)
smime(16) id-spq(5) 1 }
SPuri ::= IA5String
id-spq-ets-unotice OBJECT IDENTIFIER ::=
{ iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs9(9)
smime(16) id-spq(5) 2 }
SPUserNotice ::= SEQUENCE {
noticeRef NoticeReference OPTIONAL,
explicitText DisplayText OPTIONAL}
NoticeReference ::= SEQUENCE {
organization DisplayText,
noticeNumbers SEQUENCE OF INTEGER }
DisplayText ::= CHOICE {
visibleString VisibleString (SIZE (1..200)),
bmpString BMPString (SIZE (1..200)),
utf8String UTF8String (SIZE (1..200)) }
UTF8STRING UTF8STRING(サイズ(1..200))}
-- Optional Electronic Signature Attributes
- オプションの電子署名属性
-- Commitment-type attribute
- コミットメントタイプの属性
id-aa-ets-commitmentType OBJECT IDENTIFIER ::= { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 16}
CommitmentTypeIndication ::= SEQUENCE {
commitmentTypeId CommitmentTypeIdentifier, commitmentTypeQualifier SEQUENCE SIZE (1..MAX) OF CommitmentTypeQualifier OPTIONAL}
CombutmentTypeid CombutmentTypeIdentifier、CommitmentTypequalifierオプションのCommitmentTypequalifierシーケンスサイズ(1..max)}}
CommitmentTypeIdentifier ::= OBJECT IDENTIFIER
CommitmentTypeQualifier ::= SEQUENCE {
commitmentTypeIdentifier CommitmentTypeIdentifier,
qualifier ANY DEFINED BY commitmentTypeIdentifier }
id-cti-ets-proofOfOrigin OBJECT IDENTIFIER ::= { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) cti(6) 1}
id-cti-ets-proofOfReceipt OBJECT IDENTIFIER ::= { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) cti(6) 2}
id-cti-ets-proofOfDelivery OBJECT IDENTIFIER ::=
{ iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9)
smime(16) cti(6) 3}
id-cti-ets-proofOfSender OBJECT IDENTIFIER ::= { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) cti(6) 4}
id-cti-ets-proofOfApproval OBJECT IDENTIFIER ::=
{ iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9)
smime(16) cti(6) 5}
id-cti-ets-proofOfCreation OBJECT IDENTIFIER ::=
{ iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9)
smime(16) cti(6) 6}
-- Signer-location attribute
- 署名者ロケーション属性
id-aa-ets-signerLocation OBJECT IDENTIFIER ::= { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 17}
SignerLocation ::= SEQUENCE {
-- at least one of the following shall be present
countryName [0] DirectoryString OPTIONAL,
-- As used to name a Country in X.500
localityName [1] DirectoryString OPTIONAL,
-- As used to name a locality in X.500
postalAdddress [2] PostalAddress OPTIONAL }
PostalAddress ::= SEQUENCE SIZE(1..6) OF DirectoryString
-- Signer-attributes attribute
id-aa-ets-signerAttr OBJECT IDENTIFIER ::= { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 18}
SignerAttribute ::= SEQUENCE OF CHOICE {
claimedAttributes [0] ClaimedAttributes,
certifiedAttributes [1] CertifiedAttributes }
ClaimedAttributes ::= SEQUENCE OF Attribute
CertifiedAttributes ::= AttributeCertificate
-- as defined in RFC 3281: see Section 4.1
-- Content-time-stamp attribute
- コンテンツタイムスタンプ属性
id-aa-ets-contentTimestamp OBJECT IDENTIFIER ::=
{ iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9)
smime(16) id-aa(2) 20}
ContentTimestamp ::= TimeStampToken
-- Signature-time-stamp attribute
- シグネチャータイムスタンプ属性
id-aa-signatureTimeStampToken OBJECT IDENTIFIER ::=
{ iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9)
smime(16) id-aa(2) 14}
SignatureTimeStampToken ::= TimeStampToken
-- Complete-certificate-references attribute
-Complete-Certificate-References属性
id-aa-ets-certificateRefs OBJECT IDENTIFIER ::= { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 21}
CompleteCertificateRefs ::= SEQUENCE OF OtherCertID
-- Complete-revocation-references attribute
- 完全な反省再参照属性
id-aa-ets-revocationRefs OBJECT IDENTIFIER ::= { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 22}
CompleteRevocationRefs ::= SEQUENCE OF CrlOcspRef
CrlOcspRef ::= SEQUENCE {
crlids [0] CRLListID OPTIONAL,
ocspids [1] OcspListID OPTIONAL,
otherRev [2] OtherRevRefs OPTIONAL
}
CRLListID ::= SEQUENCE {
crls SEQUENCE OF CrlValidatedID}
CrlValidatedID ::= SEQUENCE {
crlHash OtherHash,
crlIdentifier CrlIdentifier OPTIONAL}
CrlIdentifier ::= SEQUENCE {
crlissuer Name,
crlIssuedTime UTCTime,
crlNumber INTEGER OPTIONAL }
OcspListID ::= SEQUENCE {
ocspResponses SEQUENCE OF OcspResponsesID}
OcspResponsesID ::= SEQUENCE {
ocspIdentifier OcspIdentifier,
ocspRepHash OtherHash OPTIONAL
}
OcspIdentifier ::= SEQUENCE {
ocspResponderID ResponderID,
-- As in OCSP response data
producedAt GeneralizedTime
-- As in OCSP response data
}
OtherRevRefs ::= SEQUENCE {
otherRevRefType OtherRevRefType,
otherRevRefs ANY DEFINED BY otherRevRefType
}
OtherRevRefType ::= OBJECT IDENTIFIER
-- Certificate-values attribute
- 証明書価値属性
id-aa-ets-certValues OBJECT IDENTIFIER ::= { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 23}
CertificateValues ::= SEQUENCE OF Certificate
-- Certificate-revocation-values attribute
- 証明書 - 反抗値属性
id-aa-ets-revocationValues OBJECT IDENTIFIER ::= { iso(1)
member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9)
smime(16) id-aa(2) 24}
RevocationValues ::= SEQUENCE {
crlVals [0] SEQUENCE OF CertificateList OPTIONAL, ocspVals [1] SEQUENCE OF BasicOCSPResponse OPTIONAL, otherRevVals [2] OtherRevVals OPTIONAL}
CRLVALS [0] SERTATICATELISTオプションのシーケンス、OCSPVALS [1] BASICOCSPRESPONSEオプションのシーケンス、otherRevVals [2] Opental}
OtherRevVals ::= SEQUENCE {
otherRevValType OtherRevValType,
otherRevVals ANY DEFINED BY otherRevValType
}
OtherRevValType ::= OBJECT IDENTIFIER
-- CAdES-C time-stamp attribute
-Cades-Cタイムスタンプ属性
id-aa-ets-escTimeStamp OBJECT IDENTIFIER ::= { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 25}
ESCTimeStampToken ::= TimeStampToken
-- Time-Stamped Certificates and CRLs
- タイムスタンプ証明書とCRL
id-aa-ets-certCRLTimestamp OBJECT IDENTIFIER ::= { iso(1)
member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9)
smime(16) id-aa(2) 26}
TimestampedCertsCRLs ::= TimeStampToken
-- Archive time-stamp attribute
id-aa-ets-archiveTimestampV2 OBJECT IDENTIFIER ::= { iso(1)
member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9)
smime(16) id-aa(2) 48}
ArchiveTimeStampToken ::= TimeStampToken
-- Attribute-certificate-references attribute
- 属性認証 - 参照属性
id-aa-ets-attrCertificateRefs OBJECT IDENTIFIER ::= { iso(1)
member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9)
smime(16) id-aa(2) 44}
AttributeCertificateRefs ::= SEQUENCE OF OtherCertID
-- Attribute-revocation-references attribute
- 属性 - 反論再参照属性
id-aa-ets-attrRevocationRefs OBJECT IDENTIFIER ::= { iso(1)
member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9)
smime(16) id-aa(2) 45}
AttributeRevocationRefs ::= SEQUENCE OF CrlOcspRef
END
NOTE: The ASN.1 module defined in Annex A.1 has precedence over that defined in Annex A.2 using syntax defined in ITU-T Recommendation X.680 (1997) [8] in the case of any conflict.
注:付録A.1で定義されているASN.1モジュールは、競合の場合にITU-T推奨X.680(1997)[8]で定義された構文を使用して、付録A.2で定義されているものよりも優先されます。
ETS-ElectronicSignatureFormats-ExplicitSyntax97 { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-mod(0)
eSignature-explicit97(29)}
DEFINITIONS EXPLICIT TAGS ::=
BEGIN
始める
-- EXPORTS All -
- すべてエクスポート -
IMPORTS
輸入
-- Cryptographic Message Syntax (CMS): RFC 3852
- 暗号化メッセージ構文(CMS):RFC 3852
ContentInfo, ContentType, id-data, id-signedData, SignedData,
EncapsulatedContentInfo, SignerInfo,
id-contentType, id-messageDigest, MessageDigest, id-signingTime,
SigningTime, id-countersignature, Countersignature
FROM CryptographicMessageSyntax2004
{ iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9)
smime(16) modules(0) cms-2004(24) }
-- ESS Defined attributes: ESS Update
-- RFC 5035 (Adding CertID Algorithm Agility)
id-aa-signingCertificate, SigningCertificate, IssuerSerial,
id-aa-contentReference, ContentReference, id-aa-contentIdentifier,
ContentIdentifier, id-aa-signingCertificateV2
FROM ExtendedSecurityServices-2006
{ iso(1) member-body(2) us(840) rsadsi(113549)
pkcs(1) pkcs-9(9) smime(16) modules(0) id-mod-ess-2006(30) }
-- Internet X.509 Public Key Infrastructure
-- Certificate and CRL Profile: RFC 3280
Certificate, AlgorithmIdentifier, CertificateList, Name, Attribute
証明書、AlgorithMidentifier、証明書作成者、名前、属性
FROM PKIX1Explicit88
{iso(1) identified-organization(3) dod(6) internet(1)
security(5) mechanisms(5) pkix(7) id-mod(0)
id-pkix1-explicit(18)}
GeneralNames, GeneralName, PolicyInformation
FROM PKIX1Implicit88 {iso(1) identified-organization(3) dod(6)
internet(1) security(5) mechanisms(5) pkix(7) id-mod(0)
id-pkix1-implicit(19)}
-- Internet Attribute Certificate Profile for Authorization - RFC 3281
- 承認のためのインターネット属性証明書プロファイル-RFC3281
AttributeCertificate
FROM PKIXAttributeCertificate {iso(1) identified-organization(3)
dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0)
id-mod-attribute-cert(12)}
-- OCSP RFC 2560
-OCSP RFC 2560
BasicOCSPResponse, ResponderID
FROM OCSP {iso(1) identified-organization(3) dod(6) internet(1)
security(5) mechanisms(5) pkix(7) id-mod(0) id-mod-ocsp(14)}
-- RFC 3161 Internet X.509 Public Key Infrastructure
-- Time-Stamp Protocol
TimeStampToken
FROM PKIXTSP {iso(1) identified-organization(3) dod(6) internet(1)
security(5) mechanisms(5) pkix(7) id-mod(0) id-mod-tsp(13)}
-- X.520
-X.520
DirectoryString {}
FROM SelectedAttributeTypes
{joint-iso-itu-t ds(5) module(1) selectedAttributeTypes(5) 4}
;
;
-- Definitions of Object Identifier arcs used in the present document
-- ==================================================================
-- OID used referencing electronic signature mechanisms based
-- on the present document for use with the IDUP API (see Annex D)
id-etsi-es-IDUP-Mechanism-v1 OBJECT IDENTIFIER ::=
{ itu-t(0) identified-organization(4) etsi(0)
electronic-signature-standard (1733) part1 (1) idupMechanism (4)
etsiESv1(1) }
-- Basic ES Attributes Defined in the present document
-- ===================================================
-- CMS Attributes defined in the present document
- 現在のドキュメントで定義されているCMS属性
-- OtherSigningCertificate - deprecated
-othineingcertificate-非推奨
id-aa-ets-otherSigCert OBJECT IDENTIFIER ::= { iso(1)
member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs9(9)
smime(16) id-aa(2) 19 }
OtherSigningCertificate ::= SEQUENCE {
certs SEQUENCE OF OtherCertID,
policies SEQUENCE OF PolicyInformation OPTIONAL
-- NOT USED IN THE PRESENT DOCUMENT
}
OtherCertID ::= SEQUENCE {
otherCertHash OtherHash,
issuerSerial IssuerSerial OPTIONAL }
OtherHash ::= CHOICE {
sha1Hash OtherHashValue,
-- This contains a SHA-1 hash
otherHash OtherHashAlgAndValue}
-- Policy ES Attributes Defined in the present document
-- ====================================================
-- Mandatory Basic Electronic Signature Attributes, plus in addition.
-- Signature Policy Identifier
id-aa-ets-sigPolicyId OBJECT IDENTIFIER ::= { iso(1)
member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs9(9)
smime(16) id-aa(2) 15 }
SignaturePolicy ::= CHOICE {
signaturePolicyId SignaturePolicyId,
signaturePolicyImplied SignaturePolicyImplied
-- not used in this version
}
SignaturePolicyId ::= SEQUENCE {
sigPolicyId SigPolicyId,
sigPolicyHash SigPolicyHash,
sigPolicyQualifiers SEQUENCE SIZE (1..MAX) OF
SigPolicyQualifierInfo OPTIONAL
}
}
SignaturePolicyImplied ::= NULL
SigPolicyId ::= OBJECT IDENTIFIER
SigPolicyHash ::= OtherHashAlgAndValue
OtherHashAlgAndValue ::= SEQUENCE {
hashAlgorithm AlgorithmIdentifier,
hashValue OtherHashValue
}
OtherHashValue ::= OCTET STRING
SigPolicyQualifierInfo ::= SEQUENCE {
sigPolicyQualifierId SIG-POLICY-QUALIFIER.&id
({SupportedSigPolicyQualifiers}),
qualifier SIG-POLICY-QUALIFIER.&Qualifier
({SupportedSigPolicyQualifiers}
{@sigPolicyQualifierId})OPTIONAL }
SupportedSigPolicyQualifiers SIG-POLICY-QUALIFIER ::=
{ noticeToUser | pointerToSigPolSpec }
SIG-POLICY-QUALIFIER ::= CLASS {
&id OBJECT IDENTIFIER UNIQUE,
&Qualifier OPTIONAL }
WITH SYNTAX {
SIG-POLICY-QUALIFIER-ID &id
[SIG-QUALIFIER-TYPE &Qualifier] }
noticeToUser SIG-POLICY-QUALIFIER ::= {
SIG-POLICY-QUALIFIER-ID id-spq-ets-unotice SIG-QUALIFIER-TYPE
SPUserNotice }
pointerToSigPolSpec SIG-POLICY-QUALIFIER ::= {
SIG-POLICY-QUALIFIER-ID id-spq-ets-uri SIG-QUALIFIER-TYPE SPuri }
id-spq-ets-uri OBJECT IDENTIFIER ::= { iso(1)
member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs9(9)
smime(16) id-spq(5) 1 }
SPuri ::= IA5String
id-spq-ets-unotice OBJECT IDENTIFIER ::= { iso(1)
member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs9(9)
smime(16) id-spq(5) 2 }
SPUserNotice ::= SEQUENCE {
noticeRef NoticeReference OPTIONAL,
explicitText DisplayText OPTIONAL}
NoticeReference ::= SEQUENCE {
organization DisplayText,
noticeNumbers SEQUENCE OF INTEGER }
DisplayText ::= CHOICE {
visibleString VisibleString (SIZE (1..200)),
bmpString BMPString (SIZE (1..200)),
utf8String UTF8String (SIZE (1..200)) }
-- Optional Electronic Signature Attributes
- オプションの電子署名属性
-- Commitment Type
- コミットメントタイプ
id-aa-ets-commitmentType OBJECT IDENTIFIER ::= { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 16}
CommitmentTypeIndication ::= SEQUENCE {
commitmentTypeId CommitmentTypeIdentifier,
commitmentTypeQualifier SEQUENCE SIZE (1..MAX) OF
CommitmentTypeQualifier OPTIONAL}
CommitmentTypeIdentifier ::= OBJECT IDENTIFIER
CommitmentTypeQualifier ::= SEQUENCE {
commitmentQualifierId COMMITMENT-QUALIFIER.&id,
qualifier COMMITMENT-QUALIFIER.&Qualifier OPTIONAL }
COMMITMENT-QUALIFIER ::= CLASS {
&id OBJECT IDENTIFIER UNIQUE,
&Qualifier OPTIONAL }
WITH SYNTAX {
COMMITMENT-QUALIFIER-ID &id
[COMMITMENT-TYPE &Qualifier] }
id-cti-ets-proofOfOrigin OBJECT IDENTIFIER ::= { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) cti(6) 1}
id-cti-ets-proofOfReceipt OBJECT IDENTIFIER ::= { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) cti(6) 2}
id-cti-ets-proofOfDelivery OBJECT IDENTIFIER ::= { iso(1)
member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16)
cti(6) 3}
id-cti-ets-proofOfSender OBJECT IDENTIFIER ::= { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) cti(6) 4}
id-cti-ets-proofOfApproval OBJECT IDENTIFIER ::=
{ iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9)
smime(16) cti(6) 5}
id-cti-ets-proofOfCreation OBJECT IDENTIFIER ::=
{ iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9)
smime(16) cti(6) 6}
-- Signer Location
- 署名者の場所
id-aa-ets-signerLocation OBJECT IDENTIFIER ::= { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 17}
SignerLocation ::= SEQUENCE {
-- at least one of the following shall be present
countryName [0] DirectoryString{maxSize} OPTIONAL,
-- as used to name a Country in X.520
localityName [1] DirectoryString{maxSize} OPTIONAL,
-- as used to name a locality in X.520
postalAdddress [2] PostalAddress OPTIONAL }
PostalAddress ::= SEQUENCE SIZE(1..6) OF DirectoryString{maxSize}
-- maxSize parametrization as specified in X.683
-- Signer Attributes
- 署名者の属性
id-aa-ets-signerAttr OBJECT IDENTIFIER ::= { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 18}
SignerAttribute ::= SEQUENCE OF CHOICE {
claimedAttributes [0] ClaimedAttributes,
certifiedAttributes [1] CertifiedAttributes }
ClaimedAttributes ::= SEQUENCE OF Attribute
CertifiedAttributes ::= AttributeCertificate
-- as defined in RFC 3281: see Section 4.1
-- Content Timestamp
- コンテンツタイムスタンプ
id-aa-ets-contentTimestamp OBJECT IDENTIFIER ::=
{ iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9)
smime(16) id-aa(2) 20}
ContentTimestamp ::= TimeStampToken
-- Signature Timestamp
- 署名タイムスタンプ
id-aa-signatureTimeStampToken OBJECT IDENTIFIER ::=
{ iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9)
smime(16) id-aa(2) 14}
SignatureTimeStampToken ::= TimeStampToken
-- Complete Certificate Refs.
- 完全な証明書refs。
id-aa-ets-certificateRefs OBJECT IDENTIFIER ::= { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 21}
CompleteCertificateRefs ::= SEQUENCE OF OtherCertID
-- Complete Revocation Refs
- 完全な取り消しRefs
id-aa-ets-revocationRefs OBJECT IDENTIFIER ::= { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 22}
CompleteRevocationRefs ::= SEQUENCE OF CrlOcspRef
CrlOcspRef ::= SEQUENCE {
crlids [0] CRLListID OPTIONAL,
ocspids [1] OcspListID OPTIONAL,
otherRev [2] OtherRevRefs OPTIONAL
}
CRLListID ::= SEQUENCE {
crls SEQUENCE OF CrlValidatedID
}
CrlValidatedID ::= SEQUENCE {
crlHash OtherHash,
crlIdentifier CrlIdentifier OPTIONAL }
CrlIdentifier ::= SEQUENCE {
crlissuer Name,
crlIssuedTime UTCTime,
crlNumber INTEGER OPTIONAL
}
OcspListID ::= SEQUENCE {
ocspResponses SEQUENCE OF OcspResponsesID
}
OcspResponsesID ::= SEQUENCE {
ocspIdentifier OcspIdentifier,
ocspRepHash OtherHash OPTIONAL
}
OcspIdentifier ::= SEQUENCE {
ocspResponderID ResponderID,
-- As in OCSP response data
producedAt GeneralizedTime
-- As in OCSP response data
}
OtherRevRefs ::= SEQUENCE {
otherRevRefType OTHER-REVOCATION-REF.&id,
otherRevRefs SEQUENCE OF OTHER-REVOCATION-REF.&Type
}
OTHER-REVOCATION-REF ::= CLASS {
&Type,
&id OBJECT IDENTIFIER UNIQUE }
WITH SYNTAX {
WITH SYNTAX &Type ID &id }
-- Certificate Values
- 証明書の値
id-aa-ets-certValues OBJECT IDENTIFIER ::= { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 23}
CertificateValues ::= SEQUENCE OF Certificate
-- Certificate Revocation Values
- 証明書の取り消し値
id-aa-ets-revocationValues OBJECT IDENTIFIER ::=
{ iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9)
smime(16) id-aa(2) 24}
RevocationValues ::= SEQUENCE {
crlVals [0] SEQUENCE OF CertificateList OPTIONAL,
ocspVals [1] SEQUENCE OF BasicOCSPResponse OPTIONAL,
otherRevVals [2] OtherRevVals OPTIONAL }
otherRevvals [2] otherRevvalsオプション}
OtherRevVals ::= SEQUENCE {
otherRevValType OTHER-REVOCATION-VAL.&id,
otherRevVals SEQUENCE OF OTHER-REVOCATION-REF.&Type
}
OTHER-REVOCATION-VAL ::= CLASS {
&Type,
&id OBJECT IDENTIFIER UNIQUE }
WITH SYNTAX {
WITH SYNTAX &Type ID &id }
-- CAdES-C Timestamp
id-aa-ets-escTimeStamp OBJECT IDENTIFIER ::= { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 25}
ESCTimeStampToken ::= TimeStampToken
-- Time-Stamped Certificates and CRLs
- タイムスタンプ証明書とCRL
id-aa-ets-certCRLTimestamp OBJECT IDENTIFIER ::=
{ iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9)
smime(16) id-aa(2) 26}
TimestampedCertsCRLs ::= TimeStampToken
-- Archive Timestamp
- アーカイブタイムスタンプ
id-aa-ets-archiveTimestampV2 OBJECT IDENTIFIER ::=
{ iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9)
smime(16) id-aa(2) 48}
ArchiveTimeStampToken ::= TimeStampToken
-- Attribute certificate references
- 属性証明書の参照
id-aa-ets-attrCertificateRefs OBJECT IDENTIFIER ::=
{ iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9)
smime(16) id-aa(2) 44}
AttributeCertificateRefs ::= SEQUENCE OF OtherCertID
-- Attribute revocation references
- 属性「取り消し」参照
id-aa-ets-attrRevocationRefs OBJECT IDENTIFIER ::=
{ iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9)
smime(16) id-aa(2) 45}
AttributeRevocationRefs ::= SEQUENCE OF CrlOcspRef