[要約] RFC 9118は、セキュア・テレフォン・アイデンティティ再考 (STIR) 証明書のための拡張されたJSON Web Token (JWT) クレーム制約に関するものです。この文書の目的は、電話ネットワーク上での身元詐称を防ぐために、STIR証明書におけるクレームの使用をより厳密に制御する方法を定義することです。主に、通話の発信者が本当に主張している通話元であることを証明するために利用されます。
Internet Engineering Task Force (IETF) R. Housley
Request for Comments: 9118 Vigil Security
Updates: 8226 August 2021
Category: Standards Track
ISSN: 2070-1721
Enhanced JSON Web Token (JWT) Claim Constraints for Secure Telephone Identity Revisited (STIR) Certificates
セキュア電話アイデンティティのための強化されたJSON Webトークン(JWT)クレーム制約(STIR)証明書
Abstract
概要
RFC 8226 specifies the use of certificates for Secure Telephone Identity Credentials; these certificates are often called "Secure Telephone Identity Revisited (STIR) Certificates". RFC 8226 provides a certificate extension to constrain the JSON Web Token (JWT) claims that can be included in the Personal Assertion Token (PASSporT), as defined in RFC 8225. If the PASSporT signer includes a JWT claim outside the constraint boundaries, then the PASSporT recipient will reject the entire PASSporT. This document updates RFC 8226; it provides all of the capabilities available in the original certificate extension as well as an additional way to constrain the allowable JWT claims. The enhanced extension can also provide a list of claims that are not allowed to be included in the PASSporT.
RFC 8226は、安全な電話アイデンティティ認証情報の証明書の使用を指定します。これらの証明書はしばしば「安全な電話アイデンティティリビジョン(STRICHE)証明書」と呼ばれます。RFC 8226は、RFC 8225で定義されているように、Personal Assertionトークン(パスポート)に含めることができるJSON Webトークン(JWT)クレームを制限するための証明書拡張を提供します。パスポート署名者が制約境界の外側にJWTクレームを含む場合、パスポート受信者はパスポート全体を拒否します。この文書はRFC 8226を更新します。元の証明書拡張機能で利用可能なすべての機能、ならびに許容JWTクレームを制限するための追加の方法を提供します。拡張された拡張機能は、パスポートに含まれることが許可されていないクレームのリストも提供することができる。
Status of This Memo
本文書の位置付け
This is an Internet Standards Track document.
これはインターネット規格のトラック文書です。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 7841.
この文書は、インターネットエンジニアリングタスクフォース(IETF)の製品です。IETFコミュニティのコンセンサスを表します。それは公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による出版の承認を受けました。インターネット規格に関する詳細情報は、RFC 7841のセクション2で利用できます。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at https://www.rfc-editor.org/info/rfc9118.
この文書の現在のステータス、任意のエラータ、およびフィードバックを提供する方法は、https://www.rfc-editor.org/info/frfc9118で入手できます。
Copyright Notice
著作権表示
Copyright (c) 2021 IETF Trust and the persons identified as the document authors. All rights reserved.
著作権(C)2021 IETF信頼と文書著者として識別された人。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (https://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
このドキュメントは、このドキュメントの発行日に有効なBCP 78およびIETFドキュメントに関連するIETFトラストの法的規定(https://trustee.ietf.org/license-info)の対象となります。 これらのドキュメントは、このドキュメントに関するお客様の権利と制限について説明しているため、注意深く確認してください。 このドキュメントから抽出されたコードコンポーネントには、Trust LegalProvisionsのセクション4.eで説明されているSimplifiedBSD Licenseテキストが含まれている必要があり、Simplified BSDLicenseで説明されているように保証なしで提供されます。
Table of Contents
目次
1. Introduction
2. Terminology
3. Enhanced JWT Claim Constraints Syntax
4. Usage Examples
5. Certificate Extension Example
6. Guidance to Certification Authorities
7. IANA Considerations
8. Security Considerations
9. References
9.1. Normative References
9.2. Informative References
Appendix A. ASN.1 Module
Acknowledgements
Author's Address
The use of certificates [RFC5280] in establishing authority over telephone numbers is described in [RFC8226]. These certificates are often called "STIR Certificates". STIR certificates are an important element of the overall system that prevents the impersonation of telephone numbers on the Internet.
[RFC8226]には、電話番号を介した権限を確立する際の証明書[RFC5280]の使用が記載されています。これらの証明書はしばしば「撹拌証明書」と呼ばれます。撹拌証明書は、インターネット上の電話番号の偽装を防ぐシステム全体の重要な要素です。
Section 8 of [RFC8226] provides a certificate extension to constrain the JSON Web Token (JWT) claims that can be included in the Personal Assertion Token (PASSporT) [RFC8225]. If the PASSporT signer includes a JWT claim outside the constraint boundaries, then the PASSporT recipient will reject the entire PASSporT.
[RFC8226]のセクション8は、Personal Assertion Token(Passport)[RFC8225]に含めることができるJSON Webトークン(JWT)クレームを制限するための証明書拡張機能を提供します。パスポート署名者に拘束境界の外側のJWTクレームが含まれている場合、パスポート受信者はパスポート全体を拒否します。
This document defines an enhanced JWTClaimConstraints certificate extension, which provides all of the capabilities available in the original certificate extension as well as an additional way to constrain the allowable JWT claims. That is, the enhanced extension can provide a list of claims that are not allowed to be included in the PASSporT.
このドキュメントでは、Enhanced JWTclaimConstraints証明書拡張機能を定義します。これは、元の証明書拡張機能で利用可能なすべての機能と、許容JWTクレームを制限するための追加の方法を提供します。すなわち、拡張された拡張は、パスポートに含まれることが許可されていないクレームのリストを提供することができる。
The Enhanced JWT Claim Constraints certificate extension is needed to limit the authority when a parent STIR certificate delegates to a subordinate STIR certificate. For example, [RFC9060] describes the situation where service providers issue a STIR certificate to enterprises or other customers to sign PASSporTs, and the Enhanced JWT Claim Constraints certificate extension can be used to prevent specific claims from being included in PASSporTs and accepted as valid by the PASSporT recipient.
Compleance Stracking Certificateの拡張機能を強化する必要があります。たとえば、[RFC9060]は、サービスプロバイダーが企業または他の顧客にパスポートに署名するための企業証明書を発行しており、Enhanced JWTクレームクレームクレームクレームクレームクレームクレームクレームクレームはパスポートに含まれ、有効なものとして受け入れられます。パスポートの受取人。
The JWT Claim Constraints certificate extension defined in [RFC8226] provides a list of claims that must be included in a valid PASSporT as well as a list of permitted values for selected claims. The Enhanced JWT Claim Constraints certificate extension defined in this document includes those capabilities and adds a list of claims that must not be included in a valid PASSporT.
[RFC8226]で定義されているJWTクレーム制約証明書拡張機能は、有効なパスポートに含まれなければならないクレームのリストと、選択された請求の許可値のリストを提供します。Enhanced JWTクレームこのドキュメントで定義されている制約事項拡張機能はそれらの機能を含み、有効なパスポートに含めてはいけないクレームのリストを追加します。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in BCP 14 [RFC2119] [RFC8174] when, and only when, they appear in all capitals, as shown here.
この文書のキーワード "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", および "OPTIONAL" はBCP 14 [RFC2119] [RFC8174]で説明されているように、すべて大文字の場合にのみ解釈されます。
The Enhanced JWT Claim Constraints certificate extension is non-critical, applicable only to end-entity certificates, and defined with ASN.1 [X.680]. The syntax of the JWT claims in a PASSporT is specified in [RFC8225].
Enhanced JWTクレームConstraints Certificate Extenctionは、エンドエンティティ証明書にのみ適用され、ASN.1 [X.680]で定義されていません。パスポートのJWTクレームの構文は[RFC8225]に指定されています。
The Enhanced JWT Claim Constraints certificate extension is optional, but, when present, it constrains the JWT claims that authentication services may include in the PASSporT objects they sign. Constraints are applied by certificate issuers and enforced by recipients when validating PASSporT claims as follows:
Enhanced JWTクレーム制約証明書拡張機能はオプションですが、存在する場合、JWTは認証サービスがそれらが署名するパスポートオブジェクトに含めることができます。以下のようにパスポートクレームの検証時に証明書発行者によって制約が適用され、受信者によって適用されます。
1. mustInclude indicates JWT claims that MUST appear in the PASSporT in addition to the iat, orig, and dest claims. The baseline PASSporT claims ("iat", "orig", and "dest") are considered to be required by [RFC8225], and these claims SHOULD NOT be part of the mustInclude list. If mustInclude is absent, the iat, orig, and dest claims MUST appear in the PASSporT.
1. MustIncludeは、IAT、ORIM、および既知のクレームに加えて、パスポートに表示されなければならないJWTクレームを示します。ベースラインパスポートクレーム(「IAT」、「ORIM」、および「DEST」)は[RFC8225]で必要とされており、これらのクレームは必須のリストの一部であるべきではありません。必見が存在しない場合は、IAT、ORIM、および既知の主張がパスポートに表示されなければなりません。
2. permittedValues indicates that, if the claim name is present, the claim MUST exactly match one of the listed values.
2. 許可値は、クレーム名が存在する場合、クレームはリストされた値の1つと一致しなければなりません。
3. mustExclude indicates JWT claims that MUST NOT appear in the PASSporT. The baseline PASSporT claims ("iat", "orig", and "dest") are always permitted, and these claims MUST NOT be part of the mustExclude list. If one of these baseline PASSporT claims appears in the mustExclude list, then the certificate MUST be treated as if the extension was not present.
3. MustExcludeは、パスポートに表示されていないJWTクレームを示します。ベースラインパスポートクレーム( "IAT"、 "orig"、および "dest")は常に許可されており、これらのクレームは必須のリストの一部ではありません。これらのベースラインパスポートのいずれかのクレームがMustExcludeリストに表示されている場合、証明書は拡張機能が存在しないかのように扱われなければなりません。
Following the precedent in [RFC8226], JWT Claim Names MUST be ASCII strings, which are also known as strings using the International Alphabet No. 5 [ISO646].
[RFC8226]の上記の[RFC8226]に続いて、JWTは名前がASCII文字列でなければならず、これは国際アルファベットNo. 5 [ISO646]を使用している文字列とも呼ばれます。
The Enhanced JWT Claim Constraints certificate extension is identified by the following object identifier (OID):
Enhanced JWTクレーム制約証明書の拡張子は、次のオブジェクト識別子(OID)によって識別されます。
id-pe-eJWTClaimConstraints OBJECT IDENTIFIER ::= { id-pe 33 }
The Enhanced JWT Claim Constraints certificate extension has the following syntax:
Enhanced JWTクレーム制約証明書拡張機能には、次の構文があります。
EnhancedJWTClaimConstraints ::= SEQUENCE {
mustInclude [0] JWTClaimNames OPTIONAL,
-- The listed claim names MUST appear in the PASSporT
-- in addition to iat, orig, and dest. If absent, iat, orig,
-- and dest MUST appear in the PASSporT.
permittedValues [1] JWTClaimValuesList OPTIONAL,
-- If the claim name is present, the claim MUST contain one
-- of the listed values.
mustExclude [2] JWTClaimNames OPTIONAL }
-- The listed claim names MUST NOT appear in the PASSporT.
( WITH COMPONENTS { ..., mustInclude PRESENT } |
WITH COMPONENTS { ..., permittedValues PRESENT } |
WITH COMPONENTS { ..., mustExclude PRESENT } )
JWTClaimValuesList ::= SEQUENCE SIZE (1..MAX) OF JWTClaimValues
JWTClaimValues ::= SEQUENCE {
claim JWTClaimName,
values SEQUENCE SIZE (1..MAX) OF UTF8String }
JWTClaimNames ::= SEQUENCE SIZE (1..MAX) OF JWTClaimName
JWTClaimName ::= IA5String
Consider these usage examples with a PASSporT claim called "confidence" with values "low", "medium", and "high". These examples illustrate the constraints that are imposed by mustInclude, permittedValues, and mustExclude:
「低」、「媒体」、「高」という値で「自信」と呼ばれるパスポートクレームでこれらの使用例を検討してください。これらの例は、必須、許可値、およびMUSEXCLUDEによって課される制約を示しています。
* If a certification authority (CA) issues a certificate to an authentication service that includes an Enhanced JWT Claim Constraints certificate extension that contains the mustInclude JWTClaimName "confidence", then an authentication service is required to include the "confidence" claim in all PASSporTs it generates and signs. A verification service will treat any PASSporT it receives without a "confidence" PASSporT claim as invalid.
* 認証局(CA)がMUSTINCLUDE JWTCLAIMNAME「ConfiCument」を含むEnhanced JWTクレーム制約の拡張機能を含む認証サービスに証明書を発行した場合、認証サービスは、生成されたすべてのパスポートに「信頼性」請求を含める必要があります。そして兆候。検証サービスは、それが受信したパスポートを無効としていないパスポートを扱います。
* If a CA issues a certificate to an authentication service that includes an Enhanced JWT Claim Constraints certificate extension that contains the permittedValues JWTClaimName "confidence" and a permitted "high" value, then a verification service will treat any PASSporT it receives with a PASSporT "confidence" claim with a value other than "high" as invalid. However, a verification service will not treat a PASSporT it receives without a PASSporT "confidence" claim at all as invalid, unless "confidence" also appears in mustInclude.
* CAがEnhanced JWTクレーム・クレーム・クレーム・クレーム・クレーム・クレーム・クレーム・クレーム・エクステンションを含む認証サービスに証明書を発行した場合、許可された「自信」と許可された「高い」値、検証サービスは、それがパスポートを受け取っているパスポートを扱います。「無効として「High」以外の値で請求されます。ただし、「信頼」が必須である限り、「信頼」が無効として、パスポートを受信しないパスポートを扱いません。
* If a CA issues a certificate to an authentication service that includes an Enhanced JWT Claim Constraints certificate extension that contains the mustExclude JWTClaimName "confidence", then a verification service will treat any PASSporT it receives with a PASSporT "confidence" claim as invalid regardless of the claim value.
* CAがMUSTEXCLUDE JWTCLAIMNAME "ConfiCume"を含む拡張JWTクレーム・クレメント・エクステンションを含む認証サービスに証明書を発行した場合、検証サービスは、それがパスポートを受信しているパスポートをパスポート「信頼」クレームで無効として扱います。クレーム値。
A certificate containing an example of the EnhancedJWTClaimConstraints certificate extension is provided in Figure 1. The certificate is provided in the format described in [RFC7468]. The example of the EnhancedJWTClaimConstraints extension from the certificate is shown in Figure 2. The example imposes three constraints:
EnhancedJWTCLAIMConstraints証明書拡張機能拡張機能の例を含む証明書を図1に示します。証明書は[RFC7468]に記載されている形式で提供されています。証明書からのEnhancedJWTCLAIMConstraints拡張機能の例を図2に示します。この例では、3つの制約を課します。
1. The "confidence" claim must be present in the PASSporT.
1. 「信頼性」請求は、パスポートに存在しなければなりません。
2. The "confidence" claim must have a value of "high" or "medium".
2. 「信頼性」請求は、「高」または「中」の値を持っていなければならない。
3. The "priority" claim must not be present in the PASSporT.
3. 「優先」クレームはパスポートに存在してはいけません。
-----BEGIN CERTIFICATE-----
MIICpzCCAk2gAwIBAgIUH7Zd3rQ5AsvOlzLnzUHhrVhDSlswCgYIKoZIzj0EAwIw
KTELMAkGA1UEBhMCVVMxGjAYBgNVBAMMEUJPR1VTIFNIQUtFTiBST09UMB4XDTIx
MDcxNTIxNTIxNVoXDTIyMDcxNTIxNTIxNVowbDELMAkGA1UEBhMCVVMxCzAJBgNV
BAgMAlZBMRAwDgYDVQQHDAdIZXJuZG9uMR4wHAYDVQQKDBVCb2d1cyBFeGFtcGxl
IFRlbGVjb20xDTALBgNVBAsMBFZvSVAxDzANBgNVBAMMBlNIQUtFTjBZMBMGByqG
SM49AgEGCCqGSM49AwEHA0IABNR6C6nBWRA/fXTglV03aXkXy8hx9oBttVLhsTZ1
IYVRBao4OZhVf/Xv1a3xLsZ6KfdhuylSeAKuCoSbVGojYDGjggEOMIIBCjAMBgNV
HRMBAf8EAjAAMA4GA1UdDwEB/wQEAwIHgDAdBgNVHQ4EFgQUDlG3dxHyzKL/FZfS
PI7rpuueRbswHwYDVR0jBBgwFoAUlToKtrQeFrwwyXpMj1qu3TQEeoEwQgYJYIZI
AYb4QgENBDUWM1RoaXMgY2VydGlmaWNhdGUgY2Fubm90IGJlIHRydXN0ZWQgZm9y
IGFueSBwdXJwb3NlLjAWBggrBgEFBQcBGgQKMAigBhYEMTIzNDBOBggrBgEFBQcB
IQRCMECgDjAMFgpjb25maWRlbmNloSAwHjAcFgpjb25maWRlbmNlMA4MBGhpZ2gM
Bm1lZGl1baIMMAoWCHByaW9yaXR5MAoGCCqGSM49BAMCA0gAMEUCIQCbNR4QK1um
+0vq2CE1B1/W3avYeREsPi/7RKHffL+5eQIgarHot+X9Rl7SOyNBq5X5JyEMx0SQ
hRLkCY3Zoz2OCNQ=
-----END CERTIFICATE-----
Figure 1: Example Certificate
図1:証明書の例
0 64: SEQUENCE {
2 14: [0] {
4 12: SEQUENCE {
6 10: IA5String 'confidence'
: }
: }
18 32: [1] {
20 30: SEQUENCE {
22 28: SEQUENCE {
24 10: IA5String 'confidence'
36 14: SEQUENCE {
38 4: UTF8String 'high'
44 6: UTF8String 'medium'
: }
: }
: }
: }
52 12: [2] {
54 10: SEQUENCE {
56 8: IA5String 'priority'
: }
: }
: }
Figure 2: Example EnhancedJWTClaimConstraints Extension
図2:EnhancedJWTClaimConstraints拡張子の例
The EnhancedJWTClaimConstraints extension specified in this document and the JWTClaimConstraints extension specified in [RFC8226] MUST NOT both appear in the same certificate.
[RFC8226]で指定されたEnhancedJWtCleaImonstraints拡張機能と[RFC8226]で指定されたJWTClaimConstraints拡張子は、どちらも同じ証明書に表示されてはいけません。
If the situation calls for mustExclude constraints, then the EnhancedJWTClaimConstraints extension is the only extension that can express the constraints.
状況がMUSTEXCLUDE制約を呼び出す場合、EnhancedJWTClaimConstraints拡張機能は制約を表現できる唯一の拡張子です。
On the other hand, if the situation does not call for mustExclude constraints, then either the EnhancedJWTClaimConstraints extension or the JWTClaimConstraints extension can express the constraints. Until such time as support for the EnhancedJWTClaimConstraints extension becomes widely implemented, the use of the JWTClaimConstraints extension may be more likely to be supported. This guess is based on the presumption that the first specified extension will be implemented more widely in the next few years.
一方、状況がMUSTEXCLUDE制約を呼び出しない場合は、拡張jwtclaimConstraints拡張機能またはjwtclaimconstraints拡張機能が制約を表現できます。EnhancedJwtClaimConstraints拡張機能のサポートが広く実装されるまで、JWTCLAIMConstraints拡張機能を使用すると、サポートされる可能性が高い場合があります。この推測は、最初に指定された拡張が今後数年間でより広く実装されるという推定に基づいています。
This document makes use of object identifiers for the Enhanced JWT Claim Constraints certificate extension defined in Section 3 and the ASN.1 module identifier defined in Appendix A. Therefore, IANA has made the following assignments within the "Structure of Management Information (SMI) Numbers (MIB Module Registrations)" registry.
このドキュメントは、付録Aで定義されているASN.1モジュール識別子と付録Aで定義されているASN.1モジュール識別子の拡張機能拡張機能のオブジェクト識別子を使用します。したがって、IANAは「管理情報(SMI)番号の構造内に次の割り当てを行った。(MIBモジュール登録) "レジストリ。
For the Enhanced JWT Claim Constraints certificate extension in the "SMI Security for PKIX Certificate Extension" (1.3.6.1.5.5.7.1) registry:
Enhanced JWTクレームクレームクレームクレームクレームクレームクレームクレームクレームクレームクレームクレームクレームクレームクレームクレームクレームコンフィギュレーションエクステンションは、「SMIセキュリティfor PCIX証明書拡張機能」(1.3.6.1.5.5.7.1)レジストリ:
+=========+============================+
| Decimal | Description |
+=========+============================+
| 33 | id-pe-eJWTClaimConstraints |
+---------+----------------------------+
Table 1
表1
For the ASN.1 module identifier in the "SMI Security for PKIX Module Identifier" (1.3.6.1.5.5.7.0) registry:
「PKIXモジュール識別子のSMIセキュリティ」(1.3.6.1.5.5.7.0)レジストリのASN.1モジュールIDの場合
+=========+==================================+
| Decimal | Description |
+=========+==================================+
| 101 | id-mod-eJWTClaimConstraints-2021 |
+---------+----------------------------------+
Table 2
表2.
For further information on certificate security and practices, see [RFC5280], especially the Security Considerations section.
証明書のセキュリティと慣行の詳細については、[RFC5280]、特にセキュリティ上の考慮事項のセクションを参照してください。
Since non-critical certificate extensions are ignored by implementations that do not recognize the extension object identifier (OID), constraints on PASSporT validation will only be applied by relying parties that recognize the EnhancedJWTClaimConstraints extension.
非重要な証明書拡張子は、拡張オブジェクト識別子(OID)を認識しない実装によって無視されますので、Passport Validationの制約は、EnhancedJWtClaimConstraints拡張機能を認識する依頼者によってのみ適用されます。
The Enhanced JWT Claim Constraints certificate extension can be used by certificate issuers to provide limits on the acceptable PASSporTs that can be accepted by verification services. Enforcement of these limits depends upon proper implementation by the verification services. The digital signature on the PASSporT data structure will be valid even if the limits are violated.
Enhanced JWTクレームComments Certificate Extenctionsは、検証サービスによって受け入れられる可能性のあるパスポートに制限を提供するために証明書発行者によって使用できます。これらの制限の執行は、検証サービスによる適切な実施に依存します。パスポートデータ構造のデジタル署名は、限界に違反していても有効になります。
Use of the Enhanced JWT Claim Constraints certificate extension permittedValues constraint is most useful when the claim definition allows a specified set of values. In this way, all of the values that are not listed in the JWTClaimValuesList are prohibited in a valid PASSporT.
Enhanced JWTクレーム制約の使用証明書拡張機能の拡張機能は、クレーム定義が指定された値のセットを許可する場合に最も役立ちます。このようにして、jwtclaimValueslistに記載されていないすべての値は有効なパスポートで禁止されています。
Certificate issuers must take care when imposing constraints on the PASSporT claims and the claim values that can be successfully validated; some combinations can prevent any PASSporT from being successfully validated by the certificate. For example, an entry in mustInclude and an entry in mustExclude for the same claim will prevent successful validation on any PASSporT.
証明書発行者は、パスポートクレームに制約を課す際に注意を払う必要があり、クレーム値は正常に検証できます。一部の組み合わせは、証明書によってパスポートが正常に検証されるのを防ぐことができます。たとえば、MustIncludeとMustExcludeのエントリのエントリは、どのパスポートでも正常に検証を妨げます。
Certificate issuers SHOULD NOT include an entry in mustExclude for the "rcdi" claim for a certificate that will be used with the PASSporT Extension for Rich Call Data defined in [STIR-PASSPORT-RCD]. Excluding this claim would prevent the integrity protection mechanism from working properly.
証明書発行者は、[Stic-Passport-RCD]で定義されたリッチコールデータのパスポート拡張で使用される証明書の「RCDI」の申請書のエントリを含めるべきではありません。この主張を除くと、完全性保護メカニズムが正しく機能しないようにするであろう。
Certificate issuers must take care when performing certificate renewal [RFC4949] to include exactly the same Enhanced JWT Claim Constraints certificate extension in the new certificate as the old one. Renewal usually takes place before the old certificate expires, so there is a period of time where both the new certificate and the old certificate are valid. If different constraints appear in the two certificates with the same public key, some PASSporTs might be valid when one certificate is used and invalid when the other one is used.
証明書発行者は、新しい証明書のJWTクレーム制約証明書拡張機能を古い証明書として含めるために、証明書の更新者[RFC4949]を実行する必要があります。更新は通常、古い証明書の有効期限が切れる前に行われるため、新しい証明書と古い証明書の両方が有効である期間があります。同じ公開鍵を持つ2つの証明書に異なる制約が表示されている場合は、1つの証明書が使用され、もう一方の証明書が使用されたときに無効なパスポートがある場合があります。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997, <https://www.rfc-editor.org/info/rfc2119>.
[RFC2119] BRADNER、S、「RFCSで使用するためのキーワード」、BCP 14、RFC 2119、DOI 10.17487 / RFC2119、1997年3月、<https://www.rfc-editor.org/info/RFC2119>。
[RFC5280] Cooper, D., Santesson, S., Farrell, S., Boeyen, S., Housley, R., and W. Polk, "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile", RFC 5280, DOI 10.17487/RFC5280, May 2008, <https://www.rfc-editor.org/info/rfc5280>.
[RFC5280] Cooper、D.、Santesson、S.、Farrell、S.、Boeyen、S.、Housley、R.、およびW.Polk、 "Internet X.509公開鍵インフラストラクチャ証明書および証明書失効リスト(CRL)プロファイル「、RFC 5280、DOI 10.17487 / RFC5280、2008年5月、<https://www.rfc-editor.org/info/rfc5280>。
[RFC5912] Hoffman, P. and J. Schaad, "New ASN.1 Modules for the Public Key Infrastructure Using X.509 (PKIX)", RFC 5912, DOI 10.17487/RFC5912, June 2010, <https://www.rfc-editor.org/info/rfc5912>.
[RFC5912] HOFFMAN、P.およびJ.Schaad、「X.509(PKIX)を使用した公開鍵インフラストラクチャのための新しいASN.1モジュール、RFC 5912、DOI 10.17487 / RFC5912、2010年6月、<https:// www。rfc-editor.org/info/rfc5912>
[RFC8174] Leiba, B., "Ambiguity of Uppercase vs Lowercase in RFC 2119 Key Words", BCP 14, RFC 8174, DOI 10.17487/RFC8174, May 2017, <https://www.rfc-editor.org/info/rfc8174>.
[RFC8174] Leiba、B、「RFC 2119キーワードの大文字の曖昧さ」、BCP 14、RFC 8174、DOI 10.17487 / RFC8174、2017年5月、<https://www.rfc-editor.org/info/RFC8174>。
[RFC8225] Wendt, C. and J. Peterson, "PASSporT: Personal Assertion Token", RFC 8225, DOI 10.17487/RFC8225, February 2018, <https://www.rfc-editor.org/info/rfc8225>.
[RFC8225] Wendt、C.およびJ.Peterson、 "Passport:Personal Assertion Token"、RFC 8225、DOI 10.17487 / RFC8225、2018年2月、<https://www.rfc-editor.org/info/rfc8225>。
[RFC8226] Peterson, J. and S. Turner, "Secure Telephone Identity Credentials: Certificates", RFC 8226, DOI 10.17487/RFC8226, February 2018, <https://www.rfc-editor.org/info/rfc8226>.
[RFC8226] Peterson、J.およびS. Turner、「Secure Phereth Identity Credentials:証明書」、RFC 8226、DOI 10.17487 / RFC8226、2018年2月、<https://www.rfc-editor.org/info/rfc8226>。
[X.680] ITU-T, "Information technology - Abstract Syntax Notation One (ASN.1): Specification of basic notation", ITU-T Recommendation X.680, February 2021.
[X.680] ITU-T、「情報技術 - 抽象構文表記法1(ASN.1):基本表記の仕様」、ITU-T勧告X.680、2021年2月。
[ISO646] ISO, "Information technology - ISO 7-bit coded character set for information interchange", ISO/IEC 646:1991, December 1991.
[ISO646] ISO、「情報技術 - ISO 7ビット符号化文字セット」、ISO / IEC 646:1991、1991年12月。
[RFC4949] Shirey, R., "Internet Security Glossary, Version 2", FYI 36, RFC 4949, DOI 10.17487/RFC4949, August 2007, <https://www.rfc-editor.org/info/rfc4949>.
[RFC4949] Shirey、R.、 "Internet Security Glossary、バージョン2"、FYI 36、RFC 4949、DOI 10.17487 / RFC4949、2007年8月、<https://www.rfc-editor.org/info/rfc4949>。
[RFC7468] Josefsson, S. and S. Leonard, "Textual Encodings of PKIX, PKCS, and CMS Structures", RFC 7468, DOI 10.17487/RFC7468, April 2015, <https://www.rfc-editor.org/info/rfc7468>.
[RFC7468] Josefsson、S.およびS.Leonard、「PKIX、PKCS、およびCMS構造のテキストエンコーディング」、RFC 7468、DOI 10.17487 / RFC7468、2015年4月、<https://www.rfc-editor.org/info/ RFC7468>。
[RFC9060] Peterson, J., "Secure Telephone Identity Revisited (STIR) Certificate Delegation", RFC 9060, DOI 10.17487/RFC9060, August 2021, <https://www.rfc-editor.org/rfc/rfc9060>.
[RFC9060] Peterson、J.、「安全な電話アイデンティティ」、RFC 9060、DOI 10.17487 / RFC9060、8月2021年8月、<https://www.rfc-editor.org/rfc/rfc9060>。
[STIR-PASSPORT-RCD] Wendt, C. and J. Peterson, "PASSporT Extension for Rich Call Data", Work in Progress, Internet-Draft, draft-ietf-stir-passport-rcd-12, 12 July 2021, <https://datatracker.ietf.org/doc/html/draft-ietf-stir-passport-rcd-12>.
[Stic-Passport-RCD] Wendt、C、J.Peterson、「リッチコールデータのためのパスポート拡張」、進行中の作業、インターネットドラフト、ドラフト-IETF-STIL-PASSPOST-RCD-12,2021年7月12日、<https://datatracker.ietf.org/doc/html/draft-ietf-stir-passport-rcd-12>。
This appendix provides the ASN.1 [X.680] definitions for the Enhanced JWT Claim Constraints certificate extension. The module defined in this appendix is compatible with the ASN.1 specifications published in 2015.
この付録では、Enhanced JWTクレーム制約証明書拡張機能のASN.1 [X.680]定義を提供します。この付録で定義されているモジュールは、2015年に発行されたASN.1仕様と互換性があります。
This ASN.1 module imports ASN.1 from [RFC5912].
このASN.1モジュールは[RFC5912]からASN.1をインポートします。
<CODE BEGINS>
EnhancedJWTClaimConstraints-2021
{ iso(1) identified-organization(3) dod(6) internet(1)
security(5) mechanisms(5) pkix(7) id-mod(0)
id-mod-eJWTClaimConstraints-2021(101) }
DEFINITIONS EXPLICIT TAGS ::= BEGIN
IMPORTS
輸入
id-pe
FROM PKIX1Explicit-2009 -- From RFC 5912
{ iso(1) identified-organization(3) dod(6) internet(1)
security(5) mechanisms(5) pkix(7) id-mod(0)
id-mod-pkix1-explicit-02(51) }
EXTENSION
FROM PKIX-CommonTypes-2009 -- From RFC 5912
{ iso(1) identified-organization(3) dod(6) internet(1)
security(5) mechanisms(5) pkix(7) id-mod(0)
id-mod-pkixCommon-02(57) } ;
-- Enhanced JWT Claim Constraints Certificate Extension
- Enhanced JWTクレーム制約証明書拡張
ext-eJWTClaimConstraints EXTENSION ::= {
SYNTAX EnhancedJWTClaimConstraints
IDENTIFIED BY id-pe-eJWTClaimConstraints }
id-pe-eJWTClaimConstraints OBJECT IDENTIFIER ::= { id-pe 33 }
EnhancedJWTClaimConstraints ::= SEQUENCE {
mustInclude [0] JWTClaimNames OPTIONAL,
-- The listed claim names MUST appear in the PASSporT
-- in addition to iat, orig, and dest. If absent, iat, orig,
-- and dest MUST appear in the PASSporT.
permittedValues [1] JWTClaimValuesList OPTIONAL,
-- If the claim name is present, the claim MUST contain one
-- of the listed values.
mustExclude [2] JWTClaimNames OPTIONAL }
-- The listed claim names MUST NOT appear in the PASSporT.
( WITH COMPONENTS { ..., mustInclude PRESENT } |
WITH COMPONENTS { ..., permittedValues PRESENT } |
WITH COMPONENTS { ..., mustExclude PRESENT } )
JWTClaimValuesList ::= SEQUENCE SIZE (1..MAX) OF JWTClaimValues
JWTClaimValues ::= SEQUENCE {
claim JWTClaimName,
values SEQUENCE SIZE (1..MAX) OF UTF8String }
JWTClaimNames ::= SEQUENCE SIZE (1..MAX) OF JWTClaimName
JWTClaimName ::= IA5String
END <CODE ENDS>
エンド<コードは終了します>
Acknowledgements
謝辞
Many thanks to Chris Wendt for his insight into the need for the for the Enhanced JWT Claim Constraints certificate extension.
Enhanced JWTクレーム制約証明書拡張機能に対する洞察のためにChris Wendtに感謝します。
Thanks to Ben Campbell, Theresa Enghardt, Ben Kaduk, Erik Kline, Éric Vyncke, and Rob Wilton for their thoughtful review and comments. The document is much better as a result of their efforts.
ベン・キャンベル、テレサenghardt、Ben Kaduk、Erik Kline、Eric Vyncke、Rob Wiltonのおかげで、rob Wiltonが彼らの思いやりのあるレビューとコメント。文書は彼らの努力の結果としてはるかに優れています。
Author's Address
著者の住所
Russ Housley Vigil Security, LLC 516 Dranesville Road Herndon, VA 20170 United States of America
Russ Housley Vigil Security、LLC 516 Dranesville Road Herndon、VA 20170アメリカ合衆国
Email: housley@vigilsec.com