[要約] RFC 5914は、信頼アンカーフォーマットの標準仕様であり、信頼アンカーの表現と交換を可能にします。目的は、信頼アンカーの一貫性と相互運用性を確保し、セキュリティインフラストラクチャの信頼性を向上させることです。
Internet Engineering Task Force (IETF) R. Housley Request for Comments: 5914 Vigil Security, LLC Category: Standards Track S. Ashmore ISSN: 2070-1721 National Security Agency C. Wallace Cygnacom Solutions June 2010
Trust Anchor Format
トラストアンカーの形式
Abstract
概要
This document describes a structure for representing trust anchor information. A trust anchor is an authoritative entity represented by a public key and associated data. The public key is used to verify digital signatures, and the associated data is used to constrain the types of information or actions for which the trust anchor is authoritative. The structures defined in this document are intended to satisfy the format-related requirements defined in Trust Anchor Management Requirements.
このドキュメントでは、トラストアンカー情報を表すための構造について説明します。トラストアンカーは、公開鍵と関連データによって表される信頼できるエンティティです。公開キーはデジタル署名を検証するために使用され、関連データは、トラストアンカーが信頼できる情報またはアクションの種類を制限するために使用されます。このドキュメントで定義されている構造は、トラストアンカー管理の要件で定義されているフォーマット関連の要件を満たすことを目的としています。
Status of This Memo
本文書の状態
This is an Internet Standards Track document.
これはInternet Standards Trackドキュメントです。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 5741.
このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。インターネット標準の詳細については、RFC 5741のセクション2をご覧ください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc5914.
このドキュメントの現在のステータス、エラッタ、およびフィードバックの提供方法に関する情報は、http://www.rfc-editor.org/info/rfc5914で入手できます。
Copyright Notice
著作権表示
Copyright (c) 2010 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2010 IETF Trustおよびドキュメントの作成者として識別された人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書は、BCP 78およびこの文書の発行日に有効なIETF文書に関するIETFトラストの法的規定(http://trustee.ietf.org/license-info)の対象となります。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseのテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。
This document may contain material from IETF Documents or IETF Contributions published or made publicly available before November 10, 2008. The person(s) controlling the copyright in some of this material may not have granted the IETF Trust the right to allow modifications of such material outside the IETF Standards Process. Without obtaining an adequate license from the person(s) controlling the copyright in such materials, this document may not be modified outside the IETF Standards Process, and derivative works of it may not be created outside the IETF Standards Process, except to format it for publication as an RFC or to translate it into languages other than English.
このドキュメントには、2008年11月10日より前に公開または公開されたIETFドキュメントまたはIETFコントリビューションの素材が含まれている場合があります。この素材の一部で著作権を管理している人が、IETFトラストにそのような素材の変更を許可する権利を付与していない可能性がありますIETF標準プロセス外。このような資料の著作権を管理する人から適切なライセンスを取得せずに、このドキュメントをIETF標準プロセス外で変更したり、その派生物をIETF標準プロセス外で作成したりすることはできません。 RFCとして、またはそれを英語以外の言語に翻訳するための出版物。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . 3 1.1. Terminology . . . . . . . . . . . . . . . . . . . . . . . 3 2. Trust Anchor Information Syntax . . . . . . . . . . . . . . . 3 2.1. Version . . . . . . . . . . . . . . . . . . . . . . . . . 3 2.2. Public Key . . . . . . . . . . . . . . . . . . . . . . . . 3 2.3. Key Identifier . . . . . . . . . . . . . . . . . . . . . . 4 2.4. Trust Anchor Title . . . . . . . . . . . . . . . . . . . . 4 2.5. Certification Path Controls . . . . . . . . . . . . . . . 4 2.6. Extensions . . . . . . . . . . . . . . . . . . . . . . . . 8 3. Trust Anchor List . . . . . . . . . . . . . . . . . . . . . . 8 4. Security Considerations . . . . . . . . . . . . . . . . . . . 9 5. References . . . . . . . . . . . . . . . . . . . . . . . . . . 9 5.1. Normative References . . . . . . . . . . . . . . . . . . . 9 5.2. Informative References . . . . . . . . . . . . . . . . . . 10 Appendix A. ASN.1 Modules . . . . . . . . . . . . . . . . . . . . 11 A.1. ASN.1 Module Using 2002 Syntax . . . . . . . . . . . . . . 11 A.2. ASN.1 Module Using 1988 Syntax . . . . . . . . . . . . . . 12 A.2.1. ASN.1 Module . . . . . . . . . . . . . . . . . . . . . 12
Trust anchors are widely used to verify digital signatures and validate certification paths [RFC5280][X.509]. They are required when validating certification paths. Though widely used, there is no standard format for representing trust anchor information. This document describes the TrustAnchorInfo structure. This structure is intended to satisfy the format-related requirements expressed in Trust Anchor Management Requirements [TA-MGMT-REQS] and is expressed using ASN.1 [X.680]. It can provide a more compact alternative to X.509 certificates for exchanging trust anchor information and provides a means of associating additional or alternative constraints with certificates without breaking the signature on the certificate.
トラストアンカーは、デジタル署名の検証と認証パスの検証に広く使用されています[RFC5280] [X.509]。証明書パスを検証するときに必要です。広く使用されていますが、トラストアンカー情報を表すための標準形式はありません。このドキュメントでは、TrustAnchorInfo構造について説明します。この構造は、トラストアンカー管理要件[TA-MGMT-REQS]で表されているフォーマット関連の要件を満たすことを目的としており、ASN.1 [X.680]を使用して表されます。これは、トラストアンカー情報を交換するためのX.509証明書のよりコンパクトな代替手段を提供し、証明書の署名を壊すことなく、追加または代替の制約を証明書に関連付ける手段を提供します。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in RFC 2119 [RFC2119].
このドキュメントのキーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「MAY」、および「OPTIONAL」は、 RFC 2119 [RFC2119]で説明されているように解釈されます。
This section describes the TrustAnchorInfo structure.
このセクションでは、TrustAnchorInfo構造について説明します。
TrustAnchorInfo ::= SEQUENCE { version TrustAnchorInfoVersion DEFAULT v1, pubKey SubjectPublicKeyInfo, keyId KeyIdentifier, taTitle TrustAnchorTitle OPTIONAL, certPath CertPathControls OPTIONAL, exts [1] EXPLICIT Extensions OPTIONAL, taTitleLangTag [2] UTF8String OPTIONAL }
TrustAnchorInfoVersion ::= INTEGER { v1(1) }
version identifies the version of TrustAnchorInfo. Future updates to this document may include changes to the TrustAnchorInfo structure, in which case the version number should be incremented. However, the default value, v1, cannot be changed.
versionは、TrustAnchorInfoのバージョンを識別します。このドキュメントの将来の更新には、TrustAnchorInfo構造への変更が含まれる可能性があります。その場合、バージョン番号を増やす必要があります。ただし、デフォルト値のv1は変更できません。
pubKey identifies the public key and algorithm associated with the trust anchor using the SubjectPublicKeyInfo structure [RFC5280]. The SubjectPublicKeyInfo structure contains the algorithm identifier followed by the public key itself. The algorithm field is an AlgorithmIdentifier, which contains an object identifier and OPTIONAL parameters. The object identifier names the public key algorithm and indicates the syntax of the parameters, if present, as well as the format of the public key. The public key is encoded as a BIT STRING.
pubKeyは、SubjectPublicKeyInfo構造[RFC5280]を使用して、トラストアンカーに関連付けられた公開鍵とアルゴリズムを識別します。 SubjectPublicKeyInfo構造には、アルゴリズム識別子とそれに続く公開鍵自体が含まれます。アルゴリズムフィールドは、AlgorithmIdentifierであり、オブジェクト識別子とOPTIONALパラメータが含まれています。オブジェクト識別子は、公開鍵アルゴリズムに名前を付け、存在する場合はパラメーターの構文と公開鍵の形式を示します。公開鍵はBIT STRINGとしてエンコードされます。
keyId contains the public key identifier of the trust anchor public key. See Section 4.2.1.2 of [RFC5280] for a description of common key identifier calculation methods.
keyIdには、トラストアンカー公開鍵の公開鍵識別子が含まれています。一般的なキー識別子の計算方法については、[RFC5280]のセクション4.2.1.2をご覧ください。
TrustAnchorTitle ::= UTF8String (SIZE (1..64))
taTitle is OPTIONAL. When it is present, it provides a human-readable name for the trust anchor. The text is encoded in UTF-8 [RFC3629], which accommodates most of the world's writing systems. The taTitleLangTag field identifies the language used to express the taTitle. When taTitleLangTag is absent, English ("en" language tag) is used. The value of the taTitleLangTag should be a language tag as described in [RFC5646].
taTitleはオプションです。存在する場合、人間が読めるトラストアンカーの名前を提供します。テキストはUTF-8 [RFC3629]でエンコードされており、世界のほとんどの書記体系に対応しています。 taTitleLangTagフィールドは、taTitleの表現に使用される言語を識別します。 taTitleLangTagが存在しない場合、英語( "en"言語タグ)が使用されます。 taTitleLangTagの値は、[RFC5646]で説明されている言語タグである必要があります。
CertPathControls ::= SEQUENCE { taName Name, certificate [0] Certificate OPTIONAL, policySet [1] CertificatePolicies OPTIONAL, policyFlags [2] CertPolicyFlags OPTIONAL, nameConstr [3] NameConstraints OPTIONAL, pathLenConstraint[4] INTEGER (0..MAX) OPTIONAL}
certPath is OPTIONAL. When it is present, it provides the controls needed to initialize an X.509 certification path validation algorithm implementation (see Section 6 of [RFC5280]). When absent, the trust anchor cannot be used to validate the signature on an X.509 certificate.
certPathはオプションです。存在する場合、X.509証明書パス検証アルゴリズムの実装を初期化するために必要なコントロールを提供します([RFC5280]のセクション6を参照)。存在しない場合、トラストアンカーを使用してX.509証明書の署名を検証することはできません。
taName provides the X.500 distinguished name associated with the trust anchor, and this distinguished name is used to construct and validate an X.509 certification path. The name MUST NOT be an empty sequence.
taNameは、トラストアンカーに関連付けられたX.500識別名を提供します。この識別名は、X.509証明書パスの構築と検証に使用されます。名前は空のシーケンスであってはなりません。
certificate provides an OPTIONAL X.509 certificate, which can be used in some environments to represent the trust anchor in certification path development and validation. If the certificate is present, the subject name in the certificate MUST exactly match the X.500 distinguished name provided in the taName field, the public key MUST exactly match the public key in the pubKey field, and the subjectKeyIdentifier extension, if present, MUST exactly match the key identifier in the keyId field. The complete description of the syntax and semantics of the Certificate are provided in [RFC5280]. Constraints defined in the policySet, policyFlags, nameConstr, pathLenConstraint, and exts fields within TrustAnchorInfo replace values contained in a certificate or provide values for extensions not present in the certificate. Values defined in these TrustAnchorInfo fields are always enforced. Extensions included in a certificate are enforced only if there is no corresponding value in the TrustAnchorInfo. Correspondence between extensions within certificate and TrustAnchorInfo fields is defined as follows:
証明書は、オプションのX.509証明書を提供します。これは、一部の環境で使用して、証明書パスの開発と検証におけるトラストアンカーを表すことができます。証明書が存在する場合、証明書のサブジェクト名は、taNameフィールドで提供されるX.500識別名と正確に一致する必要があり、公開鍵は、pubKeyフィールドの公開鍵と正確に一致する必要があります。 keyIdフィールドのキー識別子と完全に一致します。証明書の構文とセマンティクスの完全な説明は、[RFC5280]で提供されています。 TrustAnchorInfo内のpolicySet、policyFlags、nameConstr、pathLenConstraint、およびextsフィールドで定義された制約は、証明書に含まれる値を置き換えるか、証明書に存在しない拡張の値を提供します。これらのTrustAnchorInfoフィールドで定義された値は常に適用されます。証明書に含まれる拡張機能は、TrustAnchorInfoに対応する値がない場合にのみ適用されます。証明書内の拡張とTrustAnchorInfoフィールドの間の対応は、次のように定義されます。
o an id-ce-certificatePolicies certificate extension corresponds to the CertPathControls.policySet field.
o id-ce-certificatePolicies証明書拡張は、CertPathControls.policySetフィールドに対応します。
o an id-ce-policyConstraints certificate extension corresponds to the CertPolicyFlags.inhibitPolicyMapping and CertPolicyFlags.requireExplicitPolicy fields.
o id-ce-policyConstraints証明書拡張は、CertPolicyFlags.inhibitPolicyMappingおよびCertPolicyFlags.requireExplicitPolicyフィールドに対応します。
o an id-ce-inhibitAnyPolicy certificate extension corresponds to the CertPolicyFlags.inhibitAnyPolicy field.
o id-ce-inhibitAnyPolicy証明書拡張は、CertPolicyFlags.inhibitAnyPolicyフィールドに対応します。
o an id-ce-nameConstraints certificate extension corresponds to the CertPathControls.nameConstr field.
o id-ce-nameConstraints証明書拡張は、CertPathControls.nameConstrフィールドに対応します。
o the pathLenConstraint field of an id-ce-basicConstraints certificate extension corresponds to the CertPathControls.pathLenConstraint field (the presence of a CertPathControls structure corresponds to a TRUE value in the cA field of a BasicConstraints extension).
o id-ce-basicConstraints証明書拡張のpathLenConstraintフィールドは、CertPathControls.pathLenConstraintフィールドに対応します(CertPathControls構造の存在は、BasicConstraints拡張のcAフィールドのTRUE値に対応します)。
o any other certificate extension corresponds to the same type of extension in the TrustAnchorInfo.exts field.
o 他の証明書拡張は、TrustAnchorInfo.extsフィールドの同じタイプの拡張に対応します。
CertificatePolicies ::= SEQUENCE SIZE (1..MAX) OF PolicyInformation
PolicyInformation ::= SEQUENCE { policyIdentifier CertPolicyId, policyQualifiers SEQUENCE SIZE (1..MAX) OF PolicyQualifierInfo OPTIONAL }
CertPolicyId ::= OBJECT IDENTIFIER
policySet is OPTIONAL. When present, it contains a sequence of certificate policy identifiers to be provided as inputs to the certification path validation algorithm. When absent, the special value any-policy is provided as the input to the certification path validation algorithm. The complete description of the syntax and semantics of the CertificatePolicies are provided in [RFC5280], including the syntax for PolicyInformation. In this context, the OPTIONAL policyQualifiers structure MUST NOT be included.
policySetはオプションです。存在する場合、証明書パス検証アルゴリズムへの入力として提供される一連の証明書ポリシー識別子が含まれます。存在しない場合は、証明書パス検証アルゴリズムへの入力として特別な値any-policyが提供されます。 CertificatePoliciesの構文とセマンティクスの完全な説明は、PolicyInformationの構文を含め、[RFC5280]で提供されています。このコンテキストでは、OPTIONAL policyQualifiers構造を含めることはできません。
CertPolicyFlags ::= BIT STRING { inhibitPolicyMapping (0), requireExplicitPolicy (1), inhibitAnyPolicy (2) }
policyFlags is OPTIONAL. When present, three Boolean values for input to the certification path validation algorithm are provided in a BIT STRING. When absent, the input to the certification path validation algorithm is { FALSE, FALSE, FALSE }, which represents the most liberal setting for these flags. The three bits are used as follows:
policyFlagsはオプションです。存在する場合、認証パス検証アルゴリズムへの入力用の3つのブール値がビットストリングで提供されます。存在しない場合、証明書パス検証アルゴリズムへの入力は{FALSE、FALSE、FALSE}であり、これらのフラグの最も自由な設定を表します。 3ビットは次のように使用されます。
inhibitPolicyMapping indicates if policy mapping is allowed in the certification path. When set to TRUE, policy mapping is not permitted. This value represents the initial-policy-mapping-inhibit input value to the certification path validation algorithm described in Section 6.1.1 of [RFC5280].
preventPolicyMappingは、証明書マッピングでポリシーマッピングが許可されているかどうかを示します。 TRUEに設定すると、ポリシーマッピングは許可されません。この値は、[RFC5280]のセクション6.1.1で説明されている証明書パス検証アルゴリズムへの初期ポリシーマッピング禁止入力値を表します。
requireExplicitPolicy indicates if the certification path MUST be valid for at least one of the certificate policies in the policySet. When set to TRUE, all certificates in the certification path MUST contain an acceptable policy identifier in the certificate policies extension. This value represents the initial-explicit-policy input value to the certification path validation algorithm described in Section 6.1.1 of [RFC5280]. An acceptable policy identifier is a member of the policySet or the identifier of a policy that is declared to be equivalent through policy mapping. This bit MUST be set to FALSE if policySet is absent.
requireExplicitPolicyは、証明書パスがpolicySet内の少なくとも1つの証明書ポリシーに対して有効でなければならないかどうかを示します。 TRUEに設定すると、証明書パス内のすべての証明書には、証明書ポリシー拡張に受け入れ可能なポリシー識別子が含まれている必要があります。この値は、[RFC5280]のセクション6.1.1で説明されている証明書パス検証アルゴリズムへの初期明示ポリシー入力値を表します。受け入れ可能なポリシー識別子は、policySetのメンバー、またはポリシーマッピングを通じて同等であると宣言されたポリシーの識別子です。 policySetがない場合は、このビットをFALSEに設定する必要があります。
inhibitAnyPolicy indicates whether the special anyPolicy policy identifier, with the value { 2 5 29 32 0 }, is considered an explicit match for other certificate policies. This value represents the initial-any-policy-inhibit input value to the certification path validation algorithm described in Section 6.1.1 of [RFC5280].
preventAnyPolicyは、値{2 5 29 32 0}を持つ特別なanyPolicyポリシー識別子が、他の証明書ポリシーの明示的な一致と見なされるかどうかを示します。この値は、[RFC5280]のセクション6.1.1で説明されている認証パス検証アルゴリズムへの初期ポリシー禁止入力値を表します。
NameConstraints ::= SEQUENCE { permittedSubtrees [0] GeneralSubtrees OPTIONAL, excludedSubtrees [1] GeneralSubtrees OPTIONAL }
GeneralSubtrees ::= SEQUENCE SIZE (1..MAX) OF GeneralSubtree GeneralSubtree ::= SEQUENCE { base GeneralName, minimum [0] BaseDistance DEFAULT 0, maximum [1] BaseDistance OPTIONAL }
BaseDistance ::= INTEGER (0..MAX)
nameConstr is OPTIONAL. It has the same syntax and semantics as the Name Constraints certificate extension [RFC5280], which includes a list of permitted names and a list of excluded names. The definition of GeneralName can be found in [RFC5280]. When it is present, constraints are provided on names (including alternative names) that might appear in subsequent X.509 certificates in a certification path. This field is used to set the initial-permitted-subtrees and initial-excluded-subtrees input values to the certification path validation algorithm described in Section 6.1.1 of [RFC5280]. When this field is absent, the initial-permitted-subtrees variable is unbounded and the initial-excluded-subtrees variable is empty.
nameConstrはオプションです。名前の制約の証明書拡張[RFC5280]と同じ構文とセマンティクスを持ち、許可された名前のリストと除外された名前のリストが含まれています。 GeneralNameの定義は[RFC5280]にあります。存在する場合、証明書パスの後続のX.509証明書に表示される可能性がある名前(代替名を含む)に制約が提供されます。このフィールドは、initial-permitted-subtreesおよびinitial-excluded-subtreesの入力値を、[RFC5280]のセクション6.1.1で説明されている証明書パス検証アルゴリズムに設定するために使用されます。このフィールドが存在しない場合、initial-permitted-subtrees変数は制限されず、initial-excluded-subtrees変数は空です。
The pathLenConstraint field gives the maximum number of non-self-issued intermediate certificates that may follow this certificate in a valid certification path. (Note: The last certificate in the certification path is not an intermediate certificate and is not included in this limit. Usually, the last certificate is an end entity certificate, but it can be a CA certificate.) A pathLenConstraint of zero indicates that no non-self-issued intermediate certification authority (CA) certificates may follow in a valid certification path. Where it appears, the pathLenConstraint field MUST be greater than or equal to zero. Where pathLenConstraint does not appear, no limit is imposed.
pathLenConstraintフィールドは、有効な証明書パスでこの証明書に続く可能性がある自己発行でない中間証明書の最大数を示します。 (注:証明書パスの最後の証明書は中間証明書ではなく、この制限に含まれていません。通常、最後の証明書はエンドエンティティ証明書ですが、CA証明書でもかまいません。)pathLenConstraintがゼロの場合、非自己発行の中間認証局(CA)証明書は、有効な認証パスをたどることがあります。表示される場合、pathLenConstraintフィールドはゼロ以上でなければなりません。 pathLenConstraintが表示されない場合、制限はありません。
When the trust anchor is used to validate a certification path, CertPathControls provides limitations on certification paths that will successfully validate. An application that is validating a certification path SHOULD NOT ignore these limitations, but the application can impose additional limitations to ensure that the validated certification path is appropriate for the intended application context. As input to the certification path validation algorithm, an application MAY:
トラストアンカーを使用して証明書パスを検証する場合、CertPathControlsは正常に検証される証明書パスに制限を提供します。証明書パスを検証しているアプリケーションはこれらの制限を無視してはなりません(SHOULD NOT)。ただし、アプリケーションは検証された証明書パスが目的のアプリケーションコンテキストに適切であることを保証するために追加の制限を課すことができます。証明書パス検証アルゴリズムへの入力として、アプリケーションは次のことを行うことができます。
o Provide a subset of the certification policies provided in the policySet;
o policySetで提供される認証ポリシーのサブセットを提供します。
o Provide a TRUE value, if appropriate, for any of the flags in the policyFlags;
o 必要に応じて、policyFlagsのいずれかのフラグにTRUE値を指定します。
o Provide a subset of the permitted names provided in the nameConstr;
o nameConstrで提供される許可された名前のサブセットを提供します。
o Provide additional excluded names to the ones that are provided in the nameConstr;
o nameConstrで提供される名前に追加の除外名を提供します。
o Provide a smaller value for pathLenConstraint.
o pathLenConstraintの値を小さくしてください。
exts is OPTIONAL. When it is present, it can be used to associate additional information with the trust anchor using the standard Extensions structure. Extensions that are anticipated to be widely used have been included in the CertPathControls structure to avoid overhead associated with use of the Extensions structure. To avoid duplication with the CertPathControls field, the following types of extensions MUST NOT appear in the exts field and are ignored if they do appear: id-ce-certificatePolicies, id-ce-policyConstraints, id-ce-inhibitAnyPolicy, or id-ce-nameConstraints.
extsはオプションです。存在する場合は、標準の拡張構造を使用してトラストアンカーに追加情報を関連付けるために使用できます。広く使用されると予想される拡張機能は、CertPathControls構造体に含まれており、拡張構造体の使用に関連するオーバーヘッドを回避しています。 CertPathControlsフィールドとの重複を避けるために、次のタイプの拡張はextsフィールドに表示してはならず、表示されても無視されます:id-ce-certificatePolicies、id-ce-policyConstraints、id-ce-inhibitAnyPolicy、またはid-ce -nameConstraints。
TrustAnchorInfo allows for the representation of a single trust anchor. In many cases, it is convenient to represent a collection of trust anchors. The TrustAnchorList structure is defined for this purpose. TrustAnchorList is defined as a sequence of one or more TrustAnchorChoice objects. TrustAnchorChoice provides three options for representing a trust anchor. The certificate option allows for the use of a certificate with no additional associated constraints. The tbsCert option allows for associating constraints by removing a signature on a certificate and changing the extensions field. The taInfo option allows for use of the TrustAnchorInfo structure defined in this document.
TrustAnchorInfoは、単一のトラストアンカーの表現を可能にします。多くの場合、トラストアンカーのコレクションを表すと便利です。 TrustAnchorList構造は、この目的のために定義されています。 TrustAnchorListは、1つ以上のTrustAnchorChoiceオブジェクトのシーケンスとして定義されます。 TrustAnchorChoiceは、トラストアンカーを表すための3つのオプションを提供します。証明書オプションでは、追加の関連制約なしで証明書を使用できます。 tbsCertオプションを使用すると、証明書の署名を削除して拡張フィールドを変更することにより、制約を関連付けることができます。 taInfoオプションを使用すると、このドキュメントで定義されているTrustAnchorInfo構造を使用できます。
TrustAnchorList ::= SEQUENCE SIZE (1..MAX) OF TrustAnchorChoice
TrustAnchorChoice ::= CHOICE { certificate Certificate, tbsCert [1] EXPLICIT TBSCertificate, taInfo [2] EXPLICIT TrustAnchorInfo }
trust-anchor-list PKCS7-CONTENT-TYPE ::= { TrustAnchorList IDENTIFIED BY id-ct-trustAnchorList }
The TrustAnchorList structure can be protected using the SignedData structure defined in the Cryptographic Message Syntax (CMS) [RFC5652]. The id-ct-trustAnchorList object identifier has been defined to represent TrustAnchorList payloads with CMS structures.
TrustAnchorList構造は、暗号化メッセージ構文(CMS)[RFC5652]で定義されているSignedData構造を使用して保護できます。 id-ct-trustAnchorListオブジェクト識別子は、CMS構造を持つTrustAnchorListペイロードを表すように定義されています。
Compromise of a trust anchor private key permits unauthorized parties to masquerade as the trust anchor, with potentially severe consequences. Where TA-based constraints are enforced, the unauthorized holder of the trust anchor private key will be limited by the certification path controls associated with the trust anchor, as expressed in the certPath and exts fields. For example, name constraints in the trust anchor will determine the name space that will be accepted in certificates that are validated using the compromised trust anchor. Reliance on an inappropriate or incorrect trust anchor public key has similar potentially severe consequences.
トラストアンカーの秘密鍵の侵害により、権限のない当事者がトラストアンカーになりすますことができ、深刻な結果を招く可能性があります。 TAベースの制約が適用される場合、トラストアンカーの秘密キーの無許可の所有者は、certPathおよびextsフィールドで表されるように、トラストアンカーに関連付けられた証明書パスコントロールによって制限されます。たとえば、トラストアンカーの名前の制約は、侵害されたトラストアンカーを使用して検証される証明書で受け入れられる名前空間を決定します。不適切または不正確なトラストアンカー公開鍵への依存は、同様の潜在的に深刻な結果をもたらします。
The compromise of a CA's private key leads to the same type of problems as the compromise of a trust anchor private key. The unauthorized holder of the CA private key will be limited by the certification path controls associated with the trust anchor, as expressed in the certPath field or as an extension.
CAの秘密鍵の侵害は、トラストアンカー秘密鍵の侵害と同じ種類の問題を引き起こします。 CA秘密鍵の無許可の所有者は、certPathフィールドまたは拡張として表現されるように、トラストアンカーに関連付けられた証明書パスコントロールによって制限されます。
Usage of a certificate independent of the TrustAnchorInfo structure that envelopes it must be carefully managed to avoid violating constraints expressed in the TrustAnchorInfo. When enveloping a certificate in a TrustAnchorInfo structure, values included in the certificate should be evaluated to ensure there is no confusion or conflict with values in the TrustAnchorInfo structure.
TrustAnchorInfoで表現された制約に違反しないように、証明書をエンベロープするTrustAnchorInfo構造に依存しない証明書の使用法は、慎重に管理する必要があります。 TrustAnchorInfo構造で証明書をエンベロープする場合、証明書に含まれる値を評価して、TrustAnchorInfo構造の値との混乱や競合がないことを確認する必要があります。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するキーワード」、BCP 14、RFC 2119、1997年3月。
[RFC3629] Yergeau, F., "UTF-8, a transformation format of ISO 10646", STD 63, RFC 3629, November 2003.
[RFC3629] Yergeau、F。、「UTF-8、ISO 10646の変換フォーマット」、STD 63、RFC 3629、2003年11月。
[RFC5652] Housley, R., "Cryptographic Message Syntax (CMS)", RFC 5652, September 2009.
[RFC5652] Housley、R。、「Cryptographic Message Syntax(CMS)」、RFC 5652、2009年9月。
[RFC5280] Cooper, D., Santesson, S., Farrell, S., Boeyen, S., Housley, R., and W. Polk, "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile", RFC 5280, May 2008.
[RFC5280] Cooper、D.、Santesson、S.、Farrell、S.、Boeyen、S.、Housley、R。、およびW. Polk、「Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List(CRL)Profile "、RFC 5280、2008年5月。
[RFC5646] Phillips, A. and M. Davis, "Tags for Identifying Languages", BCP 47, RFC 5646, September 2009.
[RFC5646] Phillips、A。およびM. Davis、「Tags for Identificationing Languages」、BCP 47、RFC 5646、2009年9月。
[RFC5912] Hoffman, P. and J. Schaad, "New ASN.1 Modules for the Public Key Infrastructure Using X.509 (PKIX)", RFC 5912, June 2010.
[RFC5912] Hoffman、P.およびJ. Schaad、「X.509(PKIX)を使用した公開鍵インフラストラクチャ用の新しいASN.1モジュール」、RFC 5912、2010年6月。
[X.680] "ITU-T Recommendation X.680: Information Technology - Abstract Syntax Notation One", 2002.
[X.680]「ITU-T勧告X.680:情報技術-抽象構文記法1」、2002年。
[TA-MGMT-REQS] Reddy, R. and C. Wallace, "Trust Anchor Management Requirements", Work in Progress, March 2010.
[TA-MGMT-REQS] Reddy、R。およびC. Wallace、「Trust Anchor Management Requirements」、Work in Progress、2010年3月。
[X.509] "ITU-T Recommendation X.509 - The Directory - Authentication Framework", 2000.
[X.509]「ITU-T Recommendation X.509-The Directory-Authentication Framework」、2000。
Appendix A.1 provides the normative ASN.1 definitions for the structures described in this specification using ASN.1 as defined in [X.680]. It includes definitions imported from [RFC5280] and [RFC5912].
付録A.1は、[X.680]で定義されているASN.1を使用して、この仕様で説明されている構造の規範的なASN.1定義を提供します。 [RFC5280]と[RFC5912]からインポートされた定義が含まれています。
TrustAnchorInfoModule { joint-iso-ccitt(2) country(16) us(840) organization(1) gov(101) dod(2) infosec(1) modules(0) 33 }
DEFINITIONS IMPLICIT TAGS ::= BEGIN
IMPORTS Certificate, Name, SubjectPublicKeyInfo, TBSCertificate FROM PKIX1Explicit-2009 -- from [RFC5912] {iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) id-mod-pkix1-explicit-02(51)} CertificatePolicies, KeyIdentifier, NameConstraints FROM PKIX1Implicit-2009 -- from [RFC5912] {iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) id-mod-pkix1-implicit-02(59)} Extensions{} FROM PKIX-CommonTypes-2009 -- from [RFC5912] { iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) id-mod-pkixCommon-02(57) } ;
TrustAnchorInfo ::= SEQUENCE { version TrustAnchorInfoVersion DEFAULT v1, pubKey SubjectPublicKeyInfo, keyId KeyIdentifier, taTitle TrustAnchorTitle OPTIONAL, certPath CertPathControls OPTIONAL, exts [1] EXPLICIT Extensions {{...}} OPTIONAL, taTitleLangTag [2] UTF8String OPTIONAL }
TrustAnchorInfoVersion ::= INTEGER { v1(1) }
TrustAnchorTitle ::= UTF8String (SIZE (1..64))
CertPathControls ::= SEQUENCE { taName Name, certificate [0] Certificate OPTIONAL, policySet [1] CertificatePolicies OPTIONAL, policyFlags [2] CertPolicyFlags OPTIONAL, nameConstr [3] NameConstraints OPTIONAL, pathLenConstraint[4] INTEGER (0..MAX) OPTIONAL}
CertPolicyFlags ::= BIT STRING { inhibitPolicyMapping (0), requireExplicitPolicy (1), inhibitAnyPolicy (2) }
TrustAnchorList ::= SEQUENCE SIZE (1..MAX) OF TrustAnchorChoice
TrustAnchorChoice ::= CHOICE { certificate Certificate, tbsCert [1] EXPLICIT TBSCertificate, taInfo [2] EXPLICIT TrustAnchorInfo }
id-ct-trustAnchorList OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs9(9) id-smime(16) id-ct(1) 34 }
PKCS7-CONTENT-TYPE ::= TYPE-IDENTIFIER
trust-anchor-list PKCS7-CONTENT-TYPE ::= { TrustAnchorList IDENTIFIED BY id-ct-trustAnchorList }
END
終わり
Appendix A.2 provides the normative ASN.1 definitions for the structures described in this specification using ASN.1 as defined in [X.680].
付録A.2は、[X.680]で定義されているASN.1を使用して、この仕様で説明されている構造の規範的なASN.1定義を提供します。
TrustAnchorInfoModule-88 { joint-iso-ccitt(2) country(16) us(840) organization(1) gov(101) dod(2) infosec(1) modules(0) 37 }
DEFINITIONS IMPLICIT TAGS ::= BEGIN
IMPORTS Certificate, Name, Extensions, SubjectPublicKeyInfo, TBSCertificate FROM PKIX1Explicit88 -- from [RFC5280] { iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) id-pkix1-explicit(18) } CertificatePolicies, KeyIdentifier, NameConstraints FROM PKIX1Implicit88 -- [RFC5280] { iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) id-pkix1-implicit(19) } ;
TrustAnchorInfo ::= SEQUENCE { version TrustAnchorInfoVersion DEFAULT v1, pubKey SubjectPublicKeyInfo, keyId KeyIdentifier, taTitle TrustAnchorTitle OPTIONAL, certPath CertPathControls OPTIONAL, exts [1] EXPLICIT Extensions OPTIONAL, taTitleLangTag [2] UTF8String OPTIONAL }
TrustAnchorInfoVersion ::= INTEGER { v1(1) }
TrustAnchorTitle ::= UTF8String (SIZE (1..64))
CertPathControls ::= SEQUENCE { taName Name, certificate [0] Certificate OPTIONAL, policySet [1] CertificatePolicies OPTIONAL, policyFlags [2] CertPolicyFlags OPTIONAL, nameConstr [3] NameConstraints OPTIONAL, pathLenConstraint[4] INTEGER (0..MAX) OPTIONAL}
CertPolicyFlags ::= BIT STRING { inhibitPolicyMapping (0), requireExplicitPolicy (1), inhibitAnyPolicy (2) }
TrustAnchorList ::= SEQUENCE SIZE (1..MAX) OF TrustAnchorChoice
TrustAnchorChoice ::= CHOICE { certificate Certificate, tbsCert [1] EXPLICIT TBSCertificate, taInfo [2] EXPLICIT TrustAnchorInfo }
id-ct-trustAnchorList OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs9(9) id-smime(16) id-ct(1) 34 }
END
終わり
Authors' Addresses
著者のアドレス
Russ Housley Vigil Security, LLC 918 Spring Knoll Drive Herndon, VA 20170
Russ Housley Vigil Security、LLC 918 Spring Knoll Drive Herndon、VA 20170
EMail: housley@vigilsec.com
Sam Ashmore National Security Agency Suite 6751 9800 Savage Road Fort Meade, MD 20755
Sam Ashmore National Security Agency Suite 6751 9800 Savage Road Fort Meade、MD 20755
EMail: srashmo@radium.ncsc.mil
Carl Wallace Cygnacom Solutions Suite 5400 7925 Jones Branch Drive McLean, VA 22102
Carl Wallace Cygnacom Solutions Suite 5400 7925 Jones Branch Drive McLean、VA 22102
EMail: cwallace@cygnacom.com