[要約] RFC 6032は、Cryptographic Message Syntax (CMS) Encrypted Key Package Content Typeに関する技術文書で、暗号化された鍵のパッケージを安全に交換するためのフォーマットを定義しています。この文書の目的は、異なるシステム間で秘密鍵や証明書などの暗号鍵材料を安全に転送するための標準的な方法を提供することです。利用場面としては、セキュアなメール、文書署名、データ暗号化などがあります。関連するRFCには、RFC 5652 (CMSの基本仕様) や RFC 5280 (公開鍵基盤 (PKI) のためのX.509証明書とCRLプロファイル) などがあります。

Internet Engineering Task Force (IETF)                         S. Turner
Request for Comments: 6032                                          IECA
Category: Standards Track                                     R. Housley
ISSN: 2070-1721                                           Vigil Security
                                                           December 2010
        

Cryptographic Message Syntax (CMS) Encrypted Key Package Content Type

暗号化メッセージ構文(CMS)暗号化キーパッケージのコンテンツタイプ

Abstract

概要

This document defines the Cryptographic Message Syntax (CMS) encrypted key package content type, which can be used to encrypt a content that includes a key package, such as a symmetric key package or an asymmetric key package. It is transport independent. CMS can be used to digitally sign, digest, authenticate, or further encrypt this content type. It is designed to be used with the CMS Content Constraints (CCC) extension, which does not constrain the EncryptedData, EnvelopedData, and AuthEnvelopedData.

このドキュメントでは、暗号メッセージ構文(CMS)暗号化キーパッケージのコンテンツタイプを定義します。これは、対称キーパッケージや非対称キーパッケージなどのキーパッケージを含むコンテンツの暗号化に使用できます。トランスポートに依存しません。 CMSは、このコンテンツタイプのデジタル署名、ダイジェスト、認証、またはさらに暗号化に使用できます。 EncryptedData、EnvelopedData、AuthEnvelopedDataを制約しないCMS Content Constraints(CCC)拡張で使用するように設計されています。

Status of This Memo

本文書の状態

This is an Internet Standards Track document.

これはInternet Standards Trackドキュメントです。

This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 5741.

このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。インターネット標準の詳細については、RFC 5741のセクション2をご覧ください。

Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc6032.

このドキュメントの現在のステータス、正誤表、およびフィードバックの提供方法に関する情報は、http://www.rfc-editor.org/info/rfc6032で入手できます。

Copyright Notice

著作権表示

Copyright (c) 2010 IETF Trust and the persons identified as the document authors. All rights reserved.

Copyright(c)2010 IETF Trustおよびドキュメントの作成者として識別された人物。全著作権所有。

This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.

この文書は、BCP 78およびこの文書の発行日に有効なIETF文書に関するIETFトラストの法的規定(http://trustee.ietf.org/license-info)の対象となります。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseのテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。

1. Introduction
1. はじめに

The Cryptographic Message Syntax (CMS) specification [RFC5652] defines mechanisms to digitally sign, digest, authenticate, or encrypt arbitrary message content. Many specifications define content types intended for use with CMS. [RFC6031] and [RFC5958] define symmetric key package and asymmetric key package content types that can be signed or encrypted using CMS. CMS allows the composition of complex messages with an arbitrary number of layers. CMS has been augmented by several specifications ([RFC3274], [RFC4073], and [RFC5083]) that define additional mechanisms to enable creation of messages of arbitrary depth and breadth using a variety of authentication, encryption, and compression techniques.

暗号化メッセージ構文(CMS)仕様[RFC5652]は、任意のメッセージコンテンツにデジタル署名、ダイジェスト、認証、または暗号化するメカニズムを定義しています。多くの仕様では、CMSでの使用を目的としたコンテンツタイプが定義されています。 [RFC6031]および[RFC5958]は、CMSを使用して署名または暗号化できる対称鍵パッケージおよび非対称鍵パッケージのコンテンツタイプを定義します。 CMSでは、任意の数のレイヤーを持つ複雑なメッセージを作成できます。 CMSはいくつかの仕様([RFC3274]、[RFC4073]、および[RFC5083])によって拡張され、さまざまな認証、暗号化、および圧縮技術を使用して、任意の深さと幅のメッセージの作成を可能にする追加のメカニズムを定義しています。

The CMS Content Constraints (CCC) certificate extension [RFC6010] defines an authorization mechanism that allows recipients to determine whether the originator of an authenticated CMS content type is authorized to produce messages of that type. CCC is used to authorize CMS-protected content. CCC cannot be used to constrain the following structures that are used to provide layers of protection: SignedData, EnvelopedData, EncryptedData, DigestData, CompressedData, AuthenticatedData, ContentCollection, ContentWithAttributes, or AuthEnvelopedData.

CMS Content Constraints(CCC)証明書拡張[RFC6010]は、認証されたCMSコンテンツタイプの発信者がそのタイプのメッセージを生成することを許可されているかどうかを受信者が判断できるようにする許可メカニズムを定義します。 CCCは、CMSで保護されたコンテンツを承認するために使用されます。 CCCを使用して、SignedData、EnvelopedData、EncryptedData、DigestData、CompressedData、AuthenticatedData、ContentCollection、ContentWithAttributes、またはAuthEnvelopedDataの保護レイヤーを提供するために使用される構造を制約することはできません。

Using the existing CMS mechanisms, producers of authenticated plaintext key packages can be authorized by including a CCC extension containing the appropriate content type in the producer's certificate. However, these mechanisms cannot be used to authorize the producers of encrypted key material. In some key management systems, encrypted key packages are exchanged between entities that cannot decrypt the key package. The encrypted key package itself may be authenticated and passed to another entity. In these cases, checking the authorization of the producer of the encrypted key package may be desired at the intermediate points.

既存のCMSメカニズムを使用して、適切なコンテンツタイプを含むCCC拡張をプロデューサーの証明書に含めることにより、認証されたプレーンテキストキーパッケージのプロデューサーを承認できます。ただし、これらのメカニズムを使用して、暗号化されたキーマテリアルの作成者を承認することはできません。一部の鍵管理システムでは、暗号化された鍵パッケージは、鍵パッケージを復号化できないエンティティ間で交換されます。暗号化されたキーパッケージ自体が認証され、別のエンティティに渡される場合があります。これらの場合、暗号化されたキーパッケージのプロデューサーの承認を確認することが中間点で必要になる場合があります。

This document defines the encrypted key package content type, which can be used to encrypt a content that includes a key package, such as a symmetric key package [RFC6031] or an asymmetric key package [RFC5958]. It is transport independent. The Cryptographic Message Syntax (CMS) [RFC5652] can be used to digitally sign, digest, authenticate, or further encrypt this content type.

このドキュメントでは、対称キーパッケージ[RFC6031]や非対称キーパッケージ[RFC5958]などのキーパッケージを含むコンテンツを暗号化するために使用できる暗号化キーパッケージのコンテンツタイプを定義します。トランスポートに依存しません。暗号化メッセージ構文(CMS)[RFC5652]は、このコンテンツタイプのデジタル署名、ダイジェスト、認証、またはさらに暗号化に使用できます。

The encrypted key package content type is designed for use with [RFC6010]. To authorize an originator's public key to originate an encrypted key package, the object identifier associated with the encrypted key package content type is included in the originator's public key certificate CCC certificate extension. For CCC to function, originators encapsulate the encrypted key package in a SignedData, EnvelopedData, or AuthEnvelopedData; then, during certificate path validation, the recipient determines whether the originator is authorized to originate the encrypted key package.

暗号化されたキーパッケージのコンテンツタイプは、[RFC6010]で使用するように設計されています。発信者の公開鍵が暗号化された鍵パッケージを発信することを承認するために、暗号化された鍵パッケージのコンテンツタイプに関連付けられたオブジェクト識別子が発信者の公開鍵証明書のCCC証明書拡張に含まれています。 CCCが機能するために、発信者は暗号化されたキーパッケージをSignedData、EnvelopedData、またはAuthEnvelopedDataにカプセル化します。次に、証明書パスの検証中に、受信者は発信者に暗号化されたキーパッケージの発信を許可するかどうかを決定します。

In [RFC6010] terminology, the encrypted key package is a leaf node. Additional authorization checks may be required once the key package is decrypted. For example, the key package shown below consists of a SignedData layer that encapsulates an encrypted key package that encapsulates a SignedData layer containing a symmetric key package. A recipient capable of decrypting the key package would perform the following steps prior to accepting the encapsulated symmetric key material:

[RFC6010]の用語では、暗号化されたキーパッケージはリーフノードです。鍵パッケージが復号化されると、追加の承認チェックが必要になる場合があります。たとえば、以下に示すキーパッケージは、対称キーパッケージを含むSignedDataレイヤーをカプセル化する暗号化キーパッケージをカプセル化するSignedDataレイヤーで構成されています。キーパッケージを復号化できる受信者は、カプセル化された対称キーマテリアルを受け入れる前に、次の手順を実行します。

o Verify the signature on the outer SignedData layer per [RFC5652].

o [RFC5652]に従って、外側のSignedDataレイヤーの署名を確認します。

o Build and validate a certification path of the outer signer and confirm the outer signer is authorized to produce the encrypted key package per [RFC5280] and [RFC6010].

o [RFC5280]および[RFC6010]に従って、外部署名者の認証パスを構築および検証し、外部署名者が暗号化されたキーパッケージを生成する権限を持っていることを確認します。

o Decrypt the encrypted key package.

o 暗号化されたキーパッケージを復号化します。

o Verify the signature on the inner SignedData layer per [RFC5652].

o [RFC5652]に従って、内側のSignedDataレイヤーの署名を確認します。

o Build and validate a certification path to the signer of the inner SignedData and confirm the inner signer is authorized to produce the symmetric key package per [RFC5280] and [RFC6010]. As specified in [RFC6010], the validator may use the attributes and public keys returned from the second step as inputs for this CMS content constraints processing.

o 内部のSignedDataの署名者への証明書パスを作成および検証し、内部の署名者が[RFC5280]および[RFC6010]に従って対称鍵パッケージを生成することを承認されていることを確認します。 [RFC6010]で指定されているように、バリデーターは2番目のステップから返された属性と公開鍵をこのCMSコンテンツ制約処理の入力として使用できます。

o Use the symmetric key material.

o 対称鍵素材を使用します。

            +--------------------------------------+
            | ContentInfo                          |
            |                                      |
            | +----------------------------------+ |
            | | SignedData                       | |
            | |                                  | |
            | | +------------------------------+ | |
            | | | EncryptedKeyPackage          | | |
            | | |   (encrypted)                | | |
            | | |                              | | |
            | | | +-------------------------+  | | |
            | | | | SignedData              |  | | |
            | | | |                         |  | | |
            | | | | +---------------------+ |  | | |
            | | | | | SymmetricKeyPackage | |  | | |
            | | | | +---------------------+ |  | | |
            | | | +-------------------------+  | | |
            | | +------------------------------+ | |
            | +----------------------------------+ |
            +--------------------------------------+
        

In the example, authorization of the SymmetricKeyPackage originator need not require an intermediate SignedData layer. For example, if the AuthEnvelopedData option within an EncryptedKeyPackage were used, the second authorization check would be performed beginning with the authEnveloped field.

この例では、SymmetricKeyPackageオリジネーターの承認には、中間のSignedDataレイヤーは必要ありません。たとえば、EncryptedKeyPackage内のAuthEnvelopedDataオプションが使用された場合、2番目の承認チェックはauthEnvelopedフィールドから始めて実行されます。

This document also defines an unprotected attribute, Content Decryption Key Identifier, for use with EncryptedData.

このドキュメントでは、EncryptedDataで使用するための保護されていない属性であるContent Decryption Key Identifierも定義しています。

1.1. Terminology
1.1. 用語

The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].

このドキュメントのキーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「MAY」、および「OPTIONAL」は、 [RFC2119]で説明されているように解釈されます。

1.2. ASN.1 Syntax Notation
1.2. ASN.1構文表記

The key package is defined using the ASN.1 [X.680], [X.681], [X.682], and [X.683].

キーパッケージは、ASN.1 [X.680]、[X.681]、[X.682]、および[X.683]を使用して定義されます。

2. Encrypted Key Package
2. 暗号化されたキーパッケージ

The encrypted key package content type is used to encrypt a content that includes a key package. This content type is usually used to provide encryption of a key package or a signed key package. This content type makes use of the CMS EncryptedData content type [RFC5652], the CMS EnvelopedData content type [RFC5652], or the CMS AuthEnvelopedData content type [RFC5083] depending on the fields that are needed for key management. The difference between the encrypted key package content type and these three protecting content types is the object identifier and one tag; otherwise, the encrypted key package content type is the same as the selected protecting content type, which is either EncryptedData, EnvelopedData, or AuthEnvelopedData.

暗号化されたキーパッケージのコンテンツタイプは、キーパッケージを含むコンテンツを暗号化するために使用されます。このコンテンツタイプは通常、キーパッケージまたは署名済みキーパッケージの暗号化に使用されます。このコンテンツタイプは、キー管理に必要なフィールドに応じて、CMS EncryptedDataコンテンツタイプ[RFC5652]、CMS EnvelopedDataコンテンツタイプ[RFC5652]、またはCMS AuthEnvelopedDataコンテンツタイプ[RFC5083]を使用します。暗号化されたキーパッケージのコンテンツタイプとこれら3つの保護コンテンツタイプの違いは、オブジェクト識別子と1つのタグです。それ以外の場合、暗号化されたキーパッケージのコンテンツタイプは、選択された保護コンテンツタイプと同じで、EncryptedData、EnvelopedData、またはAuthEnvelopedDataのいずれかです。

The encrypted key package content type has the following syntax:

暗号化されたキーパッケージのコンテンツタイプの構文は次のとおりです。

      ct-encrypted-key-package CONTENT-TYPE ::=
        { TYPE EncryptedKeyPackage
          IDENTIFIED BY id-ct-KP-encryptedKeyPkg }
        
      id-ct-KP-encryptedKeyPkg OBJECT IDENTIFIER ::=
        { joint-iso-itu-t(2) country(16) us(840) organization(1)
          gov(101) dod(2) infosec(1) formats(2)
          key-package-content-types(78) 2 }
        
      EncryptedKeyPackage ::= CHOICE {
        encrypted        EncryptedData,
        enveloped        [0] EnvelopedData,
        authEnveloped    [1] AuthEnvelopedData }
        

The EncryptedData structure is used for simple symmetric encryption, where the sender and the receiver already share the necessary encryption key. The EncryptedData structure carries an encryption algorithm identifier, and an unprotected attribute can be used to carry an encryption key identifier if one is needed (see Section 3). See [RFC5652] for further discussion of the EncryptedData fields.

EncryptedData構造は、送信者と受信者が必要な暗号化キーを既に共有している単純な対称暗号化に使用されます。 EncryptedData構造には暗号化アルゴリズム識別子が含まれており、保護されていない属性を使用して、必要な場合は暗号化キー識別子を保持できます(セクション3を参照)。 EncryptedDataフィールドの詳細については、[RFC5652]を参照してください。

The EnvelopedData structure is used for encryption, where transferred key management information enables decryption by the receiver. Encryption details depend on the key management algorithm used. In addition to the key management information, the EnvelopedData structure carries an encryption algorithm identifier. See [RFC5652] for further discussion of the EnvelopedData fields.

EnvelopedData構造は暗号化に使用されます。暗号化では、転送された鍵管理情報によって受信者による復号化が可能になります。暗号化の詳細は、使用される鍵管理アルゴリズムによって異なります。鍵管理情報に加えて、EnvelopedData構造には暗号化アルゴリズム識別子が含まれています。 EnvelopedDataフィールドの詳細については、[RFC5652]を参照してください。

The AuthEnvelopedData structure is used for authenticated encryption, and it includes key management information in a manner similar to EnvelopedData. Encryption details depend on the key management algorithm used. In addition to the key management information, the AuthEnvelopedData structure carries a message authentication code that covers the content as well as authenticated attributes. See [RFC5083] for further discussion of the AuthEnvelopedData fields.

AuthEnvelopedData構造は認証された暗号化に使用され、EnvelopedDataと同様の方法でキー管理情報を含みます。暗号化の詳細は、使用される鍵管理アルゴリズムによって異なります。鍵管理情報に加えて、AuthEnvelopedData構造は、コンテンツと認証された属性をカバーするメッセージ認証コードを保持します。 AuthEnvelopedDataフィールドの詳細については、[RFC5083]を参照してください。

Implementations of this document MUST support the EnvelopedData choice, SHOULD support the EncryptedData choice, and MAY support the AuthEnvelopedData.

このドキュメントの実装はEnvelopedData選択をサポートする必要があり、SHOULDはEncryptedData選択をサポートする必要があり、AuthEnvelopedDataをサポートする可能性があります(MAY)。

Implementations that support EnvelopedData and EncryptedData to encapsulate with this content type MUST support an EncryptedKeyPackage that encapsulates either a SignedData [RFC5652] that further encapsulates a SymmetricKeyPackage [RFC6031] or a SignedData that further encapsulates an AsymmetricKeyPackage [RFC5958]. Implementations that support AuthEnvelopedData to encapsulate with this content type MUST support an EncryptedKeyPackage that encapsulates either a SymmetricKeyPackage [RFC6031] or an AsymmetricKeyPackage [RFC5958]. It is OPTIONAL for implementations that support AuthEnvelopedData to encapsulate with this content type to support an EncryptedKeyPackage that encapsulates either a SignedData [RFC5652] that further encapsulates a SymmetricKeyPackage [RFC6031] or a SignedData that further encapsulates an AsymmetricKeyPackage [RFC5958]. Likewise, implementations that process this content type to decrypt the encapsulated data MUST support an EncryptedKeyPackage that encapsulates either a SignedData that further encapsulates a SymmetricKeyPackage or a SignedData that further encapsulates an AsymmetricKeyPackage. An EncryptedKeyPackage content type MUST contain at least one SymmetricKeyPackage or AsymmetricKeyPackage. Implementations MAY support additional encapsulating layers.

このコンテンツタイプでカプセル化するEnvelopedDataおよびEncryptedDataをサポートする実装は、SymmetricKeyPackage [RFC6031]をさらにカプセル化するSignedData [RFC5652]またはAsymmetricKeyPackage [RFC5958]をさらにカプセル化するSignedDataをカプセル化するEncryptedKeyPackageをサポートする必要があります。このコンテンツタイプでカプセル化するAuthEnvelopedDataをサポートする実装は、SymmetricKeyPackage [RFC6031]またはAsymmetricKeyPackage [RFC5958]のいずれかをカプセル化するEncryptedKeyPackageをサポートする必要があります。このコンテンツタイプでカプセル化するAuthEnvelopedDataをサポートする実装では、SymmetricKeyPackage [RFC6031]をさらにカプセル化するSignedData [RFC5652]またはAsymmetricKeyPackage [RFC5958]をさらにカプセル化するSignedDataをカプセル化するEncryptedKeyPackageをサポートする実装はオプションです。同様に、カプセル化されたデータを復号化するためにこのコンテンツタイプを処理する実装は、SymmetricKeyPackageをさらにカプセル化するSignedDataまたはAsymmetricKeyPackageをさらにカプセル化するSignedDataをカプセル化するEncryptedKeyPackageをサポートする必要があります。 EncryptedKeyPackageコンテンツタイプには、少なくとも1つのSymmetricKeyPackageまたはAsymmetricKeyPackageが含まれている必要があります。実装は、追加のカプセル化レイヤーをサポートしてもよい(MAY)。

Note that interoperability between an originator and a recipient that do not support the same innermost content (e.g., originator supports AsymmetricKeyPackage while recipient supports SymmetricKeyPackage) is not a concern as originators should be aware of the recipient's capabilities; however, the mechanism for the exchange of the recipient's capabilities is beyond the scope of this document.

同じ最も内側のコンテンツをサポートしない発信者と受信者の間の相互運用性(たとえば、発信者はAsymmetricKeyPackageをサポートし、受信者はSymmetricKeyPackageをサポートする)は、発信者が受信者の機能を認識している必要があるため、問題ではありません。ただし、受信者の機能を交換するためのメカニズムは、このドキュメントの範囲を超えています。

3. Content Decryption Key Identifier
3. コンテンツ復号化キー識別子

The content-decryption-key-identifier attribute can be used to identify the symmetric keying material that is needed for decryption of the EncryptedData content if there is any ambiguity. The ATTRIBUTE definition is taken from [RFC5912]. There MUST be only one instance of the content-decryption-key-identifier attribute and there MUST be only one value for the content-decryption-key-identifier attribute.

content-decryption-key-identifier属性を使用すると、あいまいな場合に、EncryptedDataコンテンツの復号化に必要な対称キーイングマテリアルを識別できます。属性定義は[RFC5912]から取られます。 content-decryption-key-identifier属性のインスタンスは1つだけ存在する必要があり、content-decryption-key-identifier属性の値は1つだけ存在する必要があります。

The content-decryption-key-identifier attribute has the following syntax:

content-decryption-key-identifier属性の構文は次のとおりです。

      aa-content-decrypt-key-identifier ATTRIBUTE ::= {
        TYPE          ContentDecryptKeyID
        IDENTIFIED BY id-aa-KP-contentDecryptKeyID }
        
      id-aa-KP-contentDecryptKeyID OBJECT IDENTIFIER ::= {
        joint-iso-itu-t(2) country(16) us(840) organization(1) gov(101)
        dod(2) infosec(1) attributes(5) 66 }
        
      ContentDecryptKeyID ::= OCTET STRING
        

The content decryption key identifier contains an OCTET STRING, and this syntax does not impose any particular structure on the identifier value.

コンテンツ復号化キー識別子にはOCTET STRINGが含まれており、この構文は識別子値に特定の構造を課しません。

Due to multiple layers of encryption, the content-decryption-key-identifier attribute can appear in more than one location in the overall key package. When there are multiple occurrences of the content-decryption-key-identifier attribute, each occurrence is evaluated independently. Each one is used to identify the needed keying material for that layer of encryption.

暗号化には複数のレイヤーがあるため、content-decryption-key-identifier属性は、キーパッケージ全体の複数の場所に出現する可能性があります。 content-decryption-key-identifier属性の複数の出現がある場合、各出現は個別に評価されます。それぞれを使用して、暗号化のそのレイヤーに必要なキー情報を識別します。

4. Security Considerations
4. セキュリティに関する考慮事項

Implementers of this protocol are strongly encouraged to consider generally accepted principles of secure key management when integrating this capability within an overall security architecture.

このプロトコルの実装者は、この機能をセキュリティアーキテクチャ全体に統合する際に、一般に認められている安全な鍵管理の原則を検討することを強くお勧めします。

The security considerations from [RFC5083], [RFC5652], [RFC5911], [RFC5912], [RFC5958], and [RFC6031] apply. If the CCC extension is used as an authorization mechanism, then the security considerations from [RFC6010] also apply.

[RFC5083]、[RFC5652]、[RFC5911]、[RFC5912]、[RFC5958]、および[RFC6031]のセキュリティに関する考慮事項が適用されます。 CCC拡張が認証メカニズムとして使用される場合、[RFC6010]のセキュリティに関する考慮事項も適用されます。

The encrypted key package content type might not provide proof of origin if the content encryption algorithm does not support authenticated key exchange. To provide proof of origin for this content, another security protocol needs to be used. This is the reason that support for encapsulating the SymmetricKeyPackage and AsymmetricKeyPackage with a SignedData content type from [RFC5652] is required for the EnvelopedData and EncryptedData choices.

暗号化されたキーパッケージのコンテンツタイプは、コンテンツ暗号化アルゴリズムが認証済みのキー交換をサポートしていない場合、出所証明を提供しない場合があります。このコンテンツの出所証明を提供するには、別のセキュリティプロトコルを使用する必要があります。これが、[RFC5652]のSignedDataコンテンツタイプでSymmetricKeyPackageおよびAsymmetricKeyPackageをカプセル化するためのサポートが、EnvelopedDataおよびEncryptedDataの選択に必要な理由です。

When this content type is used the CMS SignedData [RFC5652] validation rules MUST be used. The PKCS #7 [RFC2315] validation rules MUST NOT be used.

このコンテンツタイプを使用する場合は、CMS SignedData [RFC5652]検証ルールを使用する必要があります。 PKCS#7 [RFC2315]検証ルールを使用してはなりません(MUST NOT)。

5. IANA Considerations
5. IANAに関する考慮事項

This document makes use of object identifiers to identify a CMS content type, a CMS attribute, and the ASN.1 module; all found in Appendix A. All OIDs are registered in an arc delegated by RSADSI to the SMIME Working Group.

このドキュメントでは、オブジェクト識別子を使用して、CMSコンテンツタイプ、CMS属性、およびASN.1モジュールを識別します。付録Aにすべてあります。すべてのOIDは、RSADSIによってSMIMEワーキンググループに委任された弧に登録されます。

6. References
6. 参考文献
6.1. Normative References
6.1. 引用文献

[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.

[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するキーワード」、BCP 14、RFC 2119、1997年3月。

[RFC5083] Housley, R., "Cryptographic Message Syntax (CMS) Authenticated-Enveloped-Data Content Type", RFC 5083, November 2007.

[RFC5083] Housley、R。、「Cryptographic Message Syntax(CMS)Authenticated-Enveloped-Data Content Type」、RFC 5083、2007年11月。

[RFC5280] Cooper, D., Santesson, S., Farrell, S., Boeyen, S., Housley, R., and W. Polk, "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile", RFC 5280, May 2008.

[RFC5280] Cooper、D.、Santesson、S.、Farrell、S.、Boeyen、S.、Housley、R。、およびW. Polk、「Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List(CRL)Profile "、RFC 5280、2008年5月。

[RFC5652] Housley, R., "Cryptographic Message Syntax (CMS)", STD 70, RFC 5652, September 2009.

[RFC5652] Housley、R。、「Cryptographic Message Syntax(CMS)」、STD 70、RFC 5652、2009年9月。

[RFC5911] Hoffman, P. and J. Schaad, "New ASN.1 Modules for Cryptographic Message Syntax (CMS) and S/MIME", RFC 5911, June 2010.

[RFC5911] Hoffman、P。およびJ. Schaad、「暗号化メッセージ構文(CMS)およびS / MIMEの新しいASN.1モジュール」、RFC 5911、2010年6月。

[RFC5912] Hoffman, P. and J. Schaad, "New ASN.1 Modules for the Public Key Infrastructure Using X.509 (PKIX)", RFC 5912, June 2010.

[RFC5912] Hoffman、P。およびJ. Schaad、「X.509(PKIX)を使用した公開鍵インフラストラクチャ用の新しいASN.1モジュール」、RFC 5912、2010年6月。

[RFC5958] Turner, S., "Asymmetric Key Packages", RFC 5958, August 2010.

[RFC5958]ターナー、S。、「非対称鍵パッケージ」、RFC 5958、2010年8月。

[RFC6010] Housley, R., Ashmore, S., and C. Wallace, "Cryptographic Message Syntax (CMS) Content Constraints Extension", RFC 6010, September 2010.

[RFC6010] Housley、R.、Ashmore、S。、およびC. Wallace、「Cryptographic Message Syntax(CMS)Content Constraints Extension」、RFC 6010、2010年9月。

[RFC6031] Turner, S. and R. Housley, "Cryptographic Message Syntax (CMS) Symmetric Key Package Content Type", RFC 6031, December 2010.

[RFC6031]ターナー、S。およびR.ハウズリー、「Cryptographic Message Syntax(CMS)Symmetric Key Package Content Type」、RFC 6031、2010年12月。

[X.680] ITU-T Recommendation X.680 (2002) | ISO/IEC 8824-1:2002. Information Technology - Abstract Syntax Notation One.

[X.680] ITU-T勧告X.680(2002)| ISO / IEC 8824-1:2002。情報技術-抽象構文記法1。

[X.681] ITU-T Recommendation X.681 (2002) | ISO/IEC 8824-2:2002. Information Technology - Abstract Syntax Notation One: Information Object Specification.

[X.681] ITU-T勧告X.681(2002)| ISO / IEC 8824-2:2002。情報技術-抽象構文記法1:情報オブジェクト仕様。

[X.682] ITU-T Recommendation X.682 (2002) | ISO/IEC 8824-3:2002. Information Technology - Abstract Syntax Notation One: Constraint Specification.

[X.682] ITU-T勧告X.682(2002)| ISO / IEC 8824-3:2002。情報技術-抽象構文記法1:制約仕様。

[X.683] ITU-T Recommendation X.683 (2002) | ISO/IEC 8824-4:2002. Information Technology - Abstract Syntax Notation One: Parameterization of ASN.1 Specifications.

[X.683] ITU-T勧告X.683(2002)| ISO / IEC 8824-4:2002。情報技術-抽象構文記法1:ASN.1仕様のパラメーター化。

6.2. Informative References
6.2. 参考引用

[RFC2315] Kaliski, B., "PKCS #7: Cryptographic Message Syntax Version 1.5", RFC 2315, March 1998.

[RFC2315] Kaliski、B。、「PKCS#7:Cryptographic Message Syntax Version 1.5」、RFC 2315、1998年3月。

[RFC3274] Gutmann, P., "Compressed Data Content Type for Cryptographic Message Syntax (CMS)", RFC 3274, June 2002.

[RFC3274] Gutmann、P。、「暗号化メッセージ構文(CMS)の圧縮データコンテンツタイプ」、RFC 3274、2002年6月。

[RFC4073] Housley, R., "Protecting Multiple Contents with the Cryptographic Message Syntax (CMS)", RFC 4073, May 2005.

[RFC4073] Housley、R。、「Cryptographic Message Syntax(CMS)による複数のコンテンツの保護」、RFC 4073、2005年5月。

Appendix A. ASN.1 Module
付録A. ASN.1モジュール

This appendix provides the normative ASN.1 [X.680] definitions for the structures described in this specification using ASN.1, as defined in [X.680] through [X.683].

この付録では、[X.680]から[X.683]で定義されている、ASN.1を使用してこの仕様で説明されている構造の規範的なASN.1 [X.680]定義を提供します。

   EncryptedKeyPackageModuleV1
     { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9)
       smime(16) modules(0) id-mod-encryptedKeyPkgV1(51) }
        
   DEFINITIONS IMPLICIT TAGS ::=
        

BEGIN

ベギン

-- EXPORTS ALL --

-すべてエクスポート-

IMPORTS

輸入

-- From New SMIME ASN.1 [RFC5911]

-新しいSMIME ASN.1 [RFC5911]から

   EncryptedData, EnvelopedData, CONTENT-TYPE
     FROM CryptographicMessageSyntax-2009
       { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9)
         smime(16) modules(0) cms-2004-02(41) }
        

-- From New SMIME ASN.1 [RFC5911]

-新しいSMIME ASN.1 [RFC5911]から

   AuthEnvelopedData
     FROM CMS-AuthEnvelopedData-2009
        { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1)
          pkcs-9(9) smime(16) modules(0) cms-authEnvelopedData-02(43) }
        

-- From New PKIX ASN.1 [RFC5912]

-新しいPKIX ASN.1 [RFC5912]から

   ATTRIBUTE
     FROM PKIX-CommonTypes-2009
       { iso(1) identified-organization(3) dod(6) internet(1)
         security(5) mechanisms(5) pkix(7) id-mod(0)
         id-mod-pkixCommon-02(57) }
        

;

   ContentSet CONTENT-TYPE ::= {
     ct-encrypted-key-package,
     ... -- Expect additional content types --
   }
   ct-encrypted-key-package CONTENT-TYPE ::=
       { TYPE EncryptedKeyPackage
         IDENTIFIED BY id-ct-KP-encryptedKeyPkg }
        
   id-ct-KP-encryptedKeyPkg OBJECT IDENTIFIER ::=
     { joint-iso-itu-t(2) country(16) us(840) organization(1) gov(101)
       dod(2) infosec(1) formats(2) key-package-content-types(78) 2 }
        
   EncryptedKeyPackage ::= CHOICE {
       encrypted        EncryptedData,
       enveloped        [0] EnvelopedData,
       authEnveloped    [1] AuthEnvelopedData }
        
   aa-content-decrypt-key-identifier ATTRIBUTE ::= {
       TYPE          ContentDecryptKeyID
       IDENTIFIED BY id-aa-KP-contentDecryptKeyID }
        
   id-aa-KP-contentDecryptKeyID OBJECT IDENTIFIER ::= {
     joint-iso-itu-t(2) country(16) us(840) organization(1) gov(101)
     dod(2) infosec(1) attributes(5) 66 }
        
   ContentDecryptKeyID ::= OCTET STRING
        

END

終わり

Authors' Addresses

著者のアドレス

Sean Turner IECA, Inc. 3057 Nutley Street, Suite 106 Fairfax, VA 22031 USA

Sean Turner IECA、Inc. 3057 Nutley Street、Suite 106 Fairfax、VA 22031 USA

   EMail: turners@ieca.com
        

Russell Housley Vigil Security, LLC 918 Spring Knoll Drive Herndon, VA 20170 USA

Russell Housley Vigil Security、LLC 918 Spring Knoll Drive Herndon、VA 20170アメリカ

   EMail: housley@vigilsec.com