[要約] RFC 9310 は、5Gネットワーク機能タイプをX.509 v3公開鍵証明書に含めるための拡張機能を定義しており、RFC 5280でプロファイル化されています。その目的は、5Gシステムにおけるネットワーク機能タイプを証明書に追加することです。

Internet Engineering Task Force (IETF)                        R. Housley
Request for Comments: 9310                                Vigil Security
Category: Standards Track                                      S. Turner
ISSN: 2070-1721                                                    sn3rd
                                                       J. Preu Mattsson
                                                              D. Migault
                                                                Ericsson
                                                            January 2023
        

X.509 Certificate Extension for 5G Network Function Types

X.509 5Gネットワーク関数タイプの証明書拡張機能

Abstract

概要

This document specifies the certificate extension for including Network Function Types (NFTypes) for the 5G System in X.509 v3 public key certificates as profiled in RFC 5280.

このドキュメントは、RFC 5280でプロファイルされたX.509 V3公開キー証明書の5Gシステムのネットワーク関数タイプ(NFTYPE)を含めるための証明書拡張機能を指定します。

Status of This Memo

本文書の位置付け

This is an Internet Standards Track document.

これは、インターネット標準トラックドキュメントです。

This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 7841.

このドキュメントは、インターネットエンジニアリングタスクフォース(IETF)の製品です。IETFコミュニティのコンセンサスを表しています。公開レビューを受けており、インターネットエンジニアリングステアリンググループ(IESG)からの出版が承認されています。インターネット標準の詳細については、RFC 7841のセクション2で入手できます。

Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at https://www.rfc-editor.org/info/rfc9310.

このドキュメントの現在のステータス、任意のERRATA、およびそのフィードバックを提供する方法に関する情報は、https://www.rfc-editor.org/info/rfc9310で取得できます。

Copyright Notice

著作権表示

Copyright (c) 2023 IETF Trust and the persons identified as the document authors. All rights reserved.

Copyright(c)2023 IETF Trustおよび文書著者として特定された人。全著作権所有。

This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (https://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Revised BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Revised BSD License.

このドキュメントは、BCP 78およびIETFドキュメント(https://trustee.ietf.org/license-info)に関連するIETF Trustの法的規定の対象となります。この文書に関するあなたの権利と制限を説明するので、これらの文書を注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、セクション4.Eで説明されている法的規定のセクション4.Eで説明されており、修正されたBSDライセンスで説明されているように保証なしで提供される修正されたBSDライセンステキストを含める必要があります。

Table of Contents

目次

   1.  Introduction
   2.  Terminology
   3.  Network Function Types Certificate Extension
   4.  ASN.1 Module
   5.  Security Considerations
   6.  Privacy Considerations
   7.  IANA Considerations
   8.  References
     8.1.  Normative References
     8.2.  Informative References
   Appendix A.  NFType Strings
   Appendix B.  Example Certificate Containing a NFTypes Extension
   Acknowledgements
   Authors' Addresses
        
1. Introduction
1. はじめに

The 3rd Generation Partnership Project (3GPP) has specified several Network Functions (NFs) as part of the service-based architecture within the 5G System. There are 56 NF Types defined for 3GPP Release 17; they are listed in Table 6.1.6.3.3-1 of [TS29.510], and each NF type is identified by a short ASCII string.

第3世代パートナーシッププロジェクト(3GPP)は、5Gシステム内のサービスベースのアーキテクチャの一部としていくつかのネットワーク関数(NFS)を指定しています。3GPPリリース17には56のNFタイプが定義されています。それらは[TS29.510]の表6.1.6.3.3-1にリストされており、各NFタイプは短いASCII文字列によって識別されます。

Operators of 5G Systems make use of an internal PKI to identify interface instances in the NFs in a 5G System. X.509 v3 public key certificates [RFC5280] are used, and the primary function of a certificate is to bind a public key to the identity of an entity that holds the corresponding private key, known as the certificate subject. The certificate subject and the SubjectAltName certificate extension can be used to support identity-based access control decisions.

5Gシステムの演算子は、内部PKIを使用して、5GシステムのNFSのインターフェイスインスタンスを識別します。X.509 V3公開キー証明書[RFC5280]が使用され、証明書の主な機能は、公開鍵を、証明書の主題として知られる対応する秘密鍵を保持するエンティティのIDに結合することです。証明書の件名と件名証明書拡張機能を使用して、IDベースのアクセス制御決定をサポートできます。

This document specifies the NFTypes certificate extension to support role-based access control decisions by providing a list of NF Types associated with the certificate subject. The NFTypes certificate extension can be used by operators of 5G Systems or later.

このドキュメントは、証明書の主題に関連付けられたNFタイプのリストを提供することにより、ロールベースのアクセス制御決定をサポートするNFTYPES証明書拡張機能を指定します。NFTypes証明書拡張機能は、5Gシステム以降のオペレーターが使用できます。

2. Terminology
2. 用語

The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in BCP 14 [RFC2119] [RFC8174] when, and only when, they appear in all capitals, as shown here.

この文書のキーワード "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", および "OPTIONAL" はBCP 14 [RFC2119] [RFC8174]で説明されているように、すべて大文字の場合にのみ解釈されます。

3. Network Function Types Certificate Extension
3. ネットワーク関数タイプ証明書拡張機能

This section specifies the NFTypes certificate extension, which provides a list of NF Types associated with the certificate subject.

このセクションでは、NFTYPES証明書拡張機能を指定します。これは、証明書の主題に関連付けられたNFタイプのリストを提供します。

The NFTypes certificate extension MAY be included in public key certificates [RFC5280]. The NFTypes certificate extension MUST be identified by the following object identifier:

NFTYPES証明書拡張は、公開キー証明書[RFC5280]に含まれる場合があります。NFTypes証明書拡張機能は、次のオブジェクト識別子によって識別される必要があります。

     id-pe-nftype  OBJECT IDENTIFIER ::=
        { iso(1) identified-organization(3) dod(6) internet(1)
          security(5) mechanisms(5) pkix(7) id-pe(1) 34 }
        

This extension MUST NOT be marked critical.

この拡張機能は重要ではないとマークする必要はありません。

The NFTypes extension MUST have the following syntax:

NFTypes拡張子には次の構文が必要です。

     NFTypes ::= SEQUENCE SIZE (1..MAX) OF NFType
        
     NFType ::= IA5String (SIZE (1..32))
        

The NFTypes MUST contain at least one NFType.

NFTypesには、少なくとも1つのNFTypeが含まれている必要があります。

Each NFType MUST contain only an ASCII string; however, the string MUST NOT include control characters (values 0 through 31), the space character (value 32), or the delete character (value 127).

各NFTypeには、ASCII文字列のみが含まれている必要があります。ただし、文字列には、コントロール文字(値0〜31)、スペース文字(値32)、または削除文字(値127)を含めてはなりません。

Each NFType MUST contain at least one ASCII character and MUST NOT contain more than 32 ASCII characters.

各NFTYPEには、少なくとも1つのASCII文字が含まれている必要があり、32を超えるASCII文字を含めてはなりません。

The NFTypes MUST NOT contain the same NFType more than once.

NFTypesには、同じnftypeが複数回含まれていてはなりません。

If the NFTypes contain more than one NFType, the NFTypes MUST appear in ascending lexicographic order using the ASCII values.

NFTYPEに複数のNFTYPEが含まれている場合、NFTYPEはASCII値を使用して昇順の辞書順に表示する必要があります。

The NFType uses the IA5String type to permit inclusion of the underscore character ('_'), which is not part of the PrintableString character set.

NFTYPEは、IA5STRINGタイプを使用して、PrintAblestring文字セットの一部ではないアンダースコア文字( '_')を含めることを可能にします。

4. ASN.1 Module
4. ASN.1モジュール

This section provides an ASN.1 Module [X.680] for the NFTypes certificate extension, and it follows the conventions established in [RFC5912] and [RFC6268].

このセクションでは、NFTYPES証明書拡張のASN.1モジュール[X.680]を提供し、[RFC5912]および[RFC6268]で確立された規則に従います。

   <CODE BEGINS>
     NFTypeCertExtn
       { iso(1) identified-organization(3) dod(6) internet(1)
         security(5) mechanisms(5) pkix(7) id-mod(0)
         id-mod-nftype(106) }
        
     DEFINITIONS IMPLICIT TAGS ::=
     BEGIN
        
     IMPORTS
       EXTENSION
       FROM PKIX-CommonTypes-2009  -- RFC 5912
         { iso(1) identified-organization(3) dod(6) internet(1)
           security(5) mechanisms(5) pkix(7) id-mod(0)
           id-mod-pkixCommon-02(57) } ;
        

-- NFTypes Certificate Extension

-NFTYPES証明書拡張機能

     ext-NFType EXTENSION ::= {
       SYNTAX NFTypes
       IDENTIFIED BY id-pe-nftype }
        

-- NFTypes Certificate Extension OID

-NFTYPES証明書拡張oid

     id-pe-nftype  OBJECT IDENTIFIER ::=
        { iso(1) identified-organization(3) dod(6) internet(1)
          security(5) mechanisms(5) pkix(7) id-pe(1) 34 }
        

-- NFTypes Certificate Extension Syntax

-NFTYPES証明書拡張構文

     NFTypes ::= SEQUENCE SIZE (1..MAX) OF NFType
        
     NFType ::= IA5String (SIZE (1..32))
        

END <CODE ENDS>

End <Code End>

5. Security Considerations
5. セキュリティに関する考慮事項

The security considerations of [RFC5280] are applicable to this document.

[RFC5280]のセキュリティ上の考慮事項は、このドキュメントに適用できます。

Some of the ASCII strings that specify the NF Types are standard. See Appendix A for values defined in 3GPP Release 17. Additionally, an operator MAY assign its own NF Types for use in their own network. Since the NF Type is used for role-based access control decisions, an operator-assigned NF Type MUST NOT overlap with a value already defined in the commonly defined set. Use of the same ASCII string by two different operators for different roles could lead to confusion or incorrect access control decisions. The mechanism for an operator to determine whether an ASCII string associated with a NF Type is unique across operators is outside the scope of this document.

NFタイプを指定するASCII文字列の一部は標準です。3GPPリリース17で定義されている値については、付録Aを参照してください。さらに、オペレーターは独自のネットワークで使用するために独自のNFタイプを割り当てることができます。NFタイプはロールベースのアクセス制御決定に使用されるため、オペレーターが割り当てられたNFタイプは、一般的に定義されているセットで既に定義されている値と重複する必要はありません。異なる役割のために2つの異なる演算子による同じASCII文字列を使用すると、混乱やアクセス制御の決定が誤っている可能性があります。NFタイプに関連付けられたASCII文字列がオペレーター間で一意であるかどうかを判断するオペレーターのメカニズムは、このドキュメントの範囲外です。

The certificate extension supports many different forms of role-based access control to support the diversity of activities that NFs are trusted to perform in the overall system. Different levels of confidence that the NFTypes were properly assigned might be needed to contribute to the overall security of the 5G System. For example, more confidence might be needed to make access control decisions related to a scarce resource than implementation of filtering policies. As a result, different operators might have different trust models for the NFTypes certificate extension.

証明書拡張は、NFSがシステム全体で実行すると信頼されているアクティビティの多様性をサポートするために、さまざまな形式の役割ベースのアクセス制御をサポートしています。5Gシステムの全体的なセキュリティに貢献するには、nftypesが適切に割り当てられたという信頼レベルのさまざまなレベルが必要になる場合があります。たとえば、フィルタリングポリシーの実装よりも、希少なリソースに関連するアクセス制御決定を行うには、より多くの自信が必要になる場合があります。その結果、異なるオペレーターは、NFTYPES証明書拡張機能の信頼モデルが異なる場合があります。

6. Privacy Considerations
6. プライバシーに関する考慮事項

In some security protocols, such as TLS 1.2 [RFC5246], certificates are exchanged in the clear. In other security protocols, such as TLS 1.3 [RFC8446], the certificates are encrypted. The inclusion of the NFTypes certificate extension can help an observer determine which systems are of most interest based on the plaintext certificate transmission.

TLS 1.2 [RFC5246]などの一部のセキュリティプロトコルでは、証明書が明確に交換されます。TLS 1.3 [RFC8446]などの他のセキュリティプロトコルでは、証明書が暗号化されています。NFTYPES証明書拡張機能を含めると、オブザーバーがプレーンテキスト証明書の送信に基づいて最も関心のあるシステムを決定するのに役立ちます。

7. IANA Considerations
7. IANAの考慮事項

For the NFTypes certificate extension defined in Section 3, IANA has assigned an object identifier (OID) for the certificate extension. The OID for the certificate extension has been allocated in the "SMI Security for PKIX Certificate Extension" registry (1.3.6.1.5.5.7.1).

セクション3で定義されているNFTypes証明書拡張機能の場合、IANAは証明書拡張機能にオブジェクト識別子(OID)を割り当てました。証明書拡張のOIDは、「PKIX証明書拡張のSMIセキュリティ」レジストリ(1.3.6.1.1.5.5.7.1)に割り当てられています。

For the ASN.1 Module defined in Section 4, IANA has assigned an OID for the module identifier. The OID for the module has been allocated in the "SMI Security for PKIX Module Identifier" registry (1.3.6.1.5.5.7.0).

セクション4で定義されているASN.1モジュールの場合、IANAはモジュール識別子にOIDを割り当てました。モジュールのOIDは、「PKIXモジュール識別子のSMIセキュリティ」レジストリ(1.3.6.1.1.5.5.7.0)に割り当てられています。

8. References
8. 参考文献
8.1. Normative References
8.1. 引用文献

[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997, <https://www.rfc-editor.org/info/rfc2119>.

[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、DOI 10.17487/RFC2119、1997年3月、<https://www.rfc-editor.org/info/RFC2119>。

[RFC5280] Cooper, D., Santesson, S., Farrell, S., Boeyen, S., Housley, R., and W. Polk, "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile", RFC 5280, DOI 10.17487/RFC5280, May 2008, <https://www.rfc-editor.org/info/rfc5280>.

[RFC5280] Cooper、D.、Santesson、S.、Farrell、S.、Boeyen、S.、Housley、R.、およびW. Polk、 "Internet X.509公開鍵インフラストラクチャ証明書および証明書失効リスト(CRL)プロファイル"、RFC 5280、DOI 10.17487/RFC5280、2008年5月、<https://www.rfc-editor.org/info/rfc5280>。

[RFC8174] Leiba, B., "Ambiguity of Uppercase vs Lowercase in RFC 2119 Key Words", BCP 14, RFC 8174, DOI 10.17487/RFC8174, May 2017, <https://www.rfc-editor.org/info/rfc8174>.

[RFC8174] Leiba、B。、「RFC 2119キーワードの大文字と小文字のあいまいさ」、BCP 14、RFC 8174、DOI 10.17487/RFC8174、2017年5月、<https://www.rfc-editor.org/info/RFC8174>。

[TS29.510] 3rd Generation Partnership Project, "Technical Specification Group Core Network and Terminals; 5G System; Network Function Repository Services; Stage 3 (Release 17)", 3GPP TS:29.510 V17.8.0, December 2022, <https://www.3gpp.org/ftp/Specs/ archive/29_series/29.510/29510-h80.zip>.

[TS29.510]第3世代パートナーシッププロジェクト、「技術仕様グループコアネットワークおよび端末、5Gシステム、ネットワーク機能リポジトリサービス、ステージ3(リリース17)」、3GPP TS:29.510 V17.8.0、2022年12月、<https:/ </www.3gpp.org/ftp/specs/ archive/29_series/29.510/29510-h80.zip>。

[TS33.310] 3rd Generation Partnership Project, "Technical Specification Group Services and System Aspects; Network Domain Security (NDS); Authentication Framework (AF) (Release 17)", 3GPP TS:33.310 V17.5.0, December 2022, <https://www.3gpp.org/ftp/Specs/ archive/33_series/33.310/33310-h50.zip>.

[TS33.310]第3世代パートナーシッププロジェクト、「技術仕様グループサービスとシステムの側面、ネットワークドメインセキュリティ(NDS)、認証フレームワーク(AF)(リリース17)」、3GPP TS:33.310 V17.5.0、2022年12月、<https://www.3gpp.org/ftp/specs/ archive/33_series/33.310/33310-h50.zip>。

[X.680] ITU-T, "Information technology -- Abstract Syntax Notation One (ASN.1): Specification of basic notation", ITU-T Recommendation X.680, ISO/IEC 8824-1:2021, February 2021, <https://www.itu.int/rec/T-REC-X.680>.

[X.680] ITU-T、「情報技術 - 要約構文表記1(ASN.1):基本表記の仕様」、ITU-T推奨X.680、ISO/IEC 8824-1:2021、2021年2月、<https://www.itu.int/rec/t-rec-x.680>。

8.2. Informative References
8.2. 参考引用

[RFC5246] Dierks, T. and E. Rescorla, "The Transport Layer Security (TLS) Protocol Version 1.2", RFC 5246, DOI 10.17487/RFC5246, August 2008, <https://www.rfc-editor.org/info/rfc5246>.

[RFC5246] Dierks、T。およびE. Rescorla、「The Transport Layer Security(TLS)Protocolバージョン1.2」、RFC 5246、DOI 10.17487/RFC5246、2008年8月、<https://www.rfc-editor.org/info/RFC5246>。

[RFC5912] Hoffman, P. and J. Schaad, "New ASN.1 Modules for the Public Key Infrastructure Using X.509 (PKIX)", RFC 5912, DOI 10.17487/RFC5912, June 2010, <https://www.rfc-editor.org/info/rfc5912>.

[RFC5912] Hoffman、P。and J. Schaad、「X.509(PKIX)を使用した公開キーインフラストラクチャの新しいASN.1モジュール」、RFC 5912、DOI 10.17487/RFC5912、2010年6月、<https:// ww。rfc-editor.org/info/rfc5912>。

[RFC6268] Schaad, J. and S. Turner, "Additional New ASN.1 Modules for the Cryptographic Message Syntax (CMS) and the Public Key Infrastructure Using X.509 (PKIX)", RFC 6268, DOI 10.17487/RFC6268, July 2011, <https://www.rfc-editor.org/info/rfc6268>.

[RFC6268] Schaad、J。およびS. Turner、「X.509(PKIX)を使用した暗号化メッセージ構文(CMS)および公開キーインフラストラクチャの追加の新しいASN.1モジュール」、RFC 6268、DOI 10.17487/RFC6268、7月2011、<https://www.rfc-editor.org/info/rfc6268>。

[RFC8446] Rescorla, E., "The Transport Layer Security (TLS) Protocol Version 1.3", RFC 8446, DOI 10.17487/RFC8446, August 2018, <https://www.rfc-editor.org/info/rfc8446>.

[RFC8446] Rescorla、E。、「輸送層セキュリティ(TLS)プロトコルバージョン1.3」、RFC 8446、DOI 10.17487/RFC8446、2018年8月、<https://www.rfc-editor.org/info/rfc846>

[TS29.571] 3rd Generation Partnership Project, "Technical Specification Group Core Network and Terminals; 5G System; Common Data Types for Service Based Interfaces; Stage 3 (Release 17)", 3GPP TS:29.571 V17.8.0, December 2022, <https://www.3gpp.org/ftp/Specs/ archive/29_series/29.571/29571-h80.zip>.

[TS29.571]第3世代パートナーシッププロジェクト、「技術仕様グループコアネットワークおよび端末、5Gシステム、サービスベースのインターフェースの共通データ型、ステージ3(リリース17)」、3GPP TS:29.571 V17.8.0、<<<https://www.3gpp.org/ftp/specs/ archive/29_series/29.571/29571-h80.zip>。

Appendix A. NFType Strings
付録A. nftype文字列

Table 6.1.6.3.3-1 of [TS29.510] defines the ASCII strings for the NF Types specified in 3GPP documents; these enumeration values in 3GPP Release 17 are listed below in ascending lexicographic order. This list is not exhaustive.

[TS29.510]の表6.1.6.3.3-1は、3GPPドキュメントで指定されたNFタイプのASCII文字列を定義しています。3GPPリリース17のこれらの列挙値は、昇順の辞書順に以下にリストされています。このリストは網羅的ではありません。

"5G_DDNMF" "LMF" "PKMF" "5G_EIR" "MBSF" "SCEF" "AANF" "MBSTF" "SCP" "ADRF" "MB_SMF" "SCSAS" "AF" "MB_UPF" "SCSCF" "AMF" "MFAF" "SEPP" "AUSF" "MME" "SMF" "BSF" "MNPF" "SMSF" "CBCF" "N3IWF" "SMS_GMSC" "CEF" "NEF" "SMS_IWMSC" "CHF" "NRF" "SOR_AF" "DCCF" "NSACF" "SPAF" "DRA" "NSSAAF" "TSCTSF" "EASDF" "NSSF" "UCMF" "GBA_BSF" "NSWOF" "UDM" "GMLC" "NWDAF" "UDR" "HSS" "PANF" "UDSF" "ICSCF" "PCF" "UPF" "IMS_AS" "PCSCF"

"5G_DDNMF" "LMF" "PKMF" "5G_EIR" "MBSF" "SCEF" "AANF" "MBSTF" "SCP" "ADRF" "MB_SMF" "SCSAS" "AF" MB_UPF "" SCSCF "AMF" MFAF """ sepp "" ausf "" mme "" smf "" bsf "" mnpf "" smsf "" cbcf "" n3iwf "" sms_gmsc "" cef "" nef "" sms_iwmsc "chf" "nrf" "sor_af" "dccf "" nsacf "" spaf "" dra "" nssaaf "" tsctsf "" easdf "" nssf "" ucmf "" gba_bsf "" nswof "" udm "" gmlc "" nwdaf "" "" "udr" "hss" "panf""UDSF" "ICSCF" "PCF" "UPF" "IMS_AS" "PCSCF"

Appendix B. Example Certificate Containing a NFTypes Extension
付録B. NFTYPES拡張機能を含む証明書の例

The example certificate conforms to the certificate profile in Table 6.1.3c.3-1 of [TS33.310]. In addition, the NFTypes certificate is included with only one NFType, and it is "AMF". The SubjectAltName certificate extension contains a fully qualified domain name (FQDN) and a uniformResourceIdentifier, which carries the NF Instance ID as specified in Clause 5.3.2 of [TS29.571].

証明書の例は、[TS33.310]の表6.1.3C.3-1の証明書プロファイルに準拠しています。さらに、NFTypes証明書は1つのNFTypeのみに含まれており、「AMF」です。subjectaltname証明書拡張機能には、完全に適格なドメイン名(FQDN)と均一なResourceIdentifierが含まれており、[TS29.571]の5.3.2項で指定されているNFインスタンスIDを搭載しています。

   -----BEGIN CERTIFICATE-----
   MIIC0DCCAlagAwIBAgIUDD5o44zEdfSghT2hMK+P/EjGHlowCgYIKoZIzj0EAwMw
   FTETMBEGA1UECgwKRXhhbXBsZSBDQTAeFw0yMjExMjkxODE0NThaFw0yMzExMjkx
   ODE0NThaMDkxCzAJBgNVBAYTAlVTMSowKAYDVQQKEyE1Z2MubW5jNDAwLm1jYzMx
   MS4zZ3BwbmV0d29yay5vcmcwdjAQBgcqhkjOPQIBBgUrgQQAIgNiAATJ6IFHI683
   q/JJjsJUfEiRFqGQ6uKDGJ0oqDP6wEhRAuvyEyz5pgRmz/7Mze1+s1qcnPU9mo1v
   rIW9rjKhb/Hm8H9TPvnMQwCRCtKvCD90MkWvc/G8qyCBpCms3zNOJOijggFBMIIB
   PTATBggrBgEFBQcBIgQHMAUWA0FNRjAXBgNVHSAEEDAOMAwGCmCGSAFlAwIBMDAw
   DgYDVR0PAQH/BAQDAgeAMBMGA1UdJQQMMAoGCCsGAQUFBwMCMB0GA1UdDgQWBBRM
   Z5KgwYlYn885mKID55ZcEznIBzAfBgNVHSMEGDAWgBSIf6IE6QtqjXR2+p/xCtRh
   4PqzNTAxBgNVHR8EKjAoMCagJKAihiBodHRwOi8vZXhhbXBsZS5jb20vZXhhbXBs
   ZWNhLmNybDB1BgNVHREBAf8EazBpgjhhbWYxLmNsdXN0ZXIxLm5ldDIuYW1mLjVn
   Yy5tbmM0MDAubWNjMzExLjNncHBuZXR3b3JrLm9yZ4YtdXJuOnV1aWQ6ZjgxZDRm
   YWUtN2RlYy0xMWQwLWE3NjUtMDBhMGM5MWU2YmY2MAoGCCqGSM49BAMDA2gAMGUC
   MEtQEut9kelkiMIMR+QzkSNGIuR30Lr23ftarLi9wMp3ZRIJYQgaAWc6gmf3MVAp
   7QIxAKMoYAtw5srkNjE+Zg6CqEkf9f2banFltRuPbTp4B0Xraz5z/jn3NDPM9ata
   SHUxOQ==
   -----END CERTIFICATE-----
        

The following shows the example certificate. The values on the left are the ASN.1 tag (in hexadecimal) and the length (in decimal).

以下は、例の証明書を示しています。左側の値は、asn.1タグ(16進数)と長さ(10進数)です。

   30 720: SEQUENCE {
   30 598:  SEQUENCE {
   A0   3:   [0] {
   02   1:    INTEGER 2
         :     }
   02  20:   INTEGER
         :    0C 3E 68 E3 8C C4 75 F4 A0 85 3D A1 30 AF 8F FC
         :    48 C6 1E 5A
   30  10:   SEQUENCE {
   06   8:    OBJECT IDENTIFIER ecdsaWithSHA384 (1 2 840 10045 4 3 3)
         :     }
   30  21:   SEQUENCE {
   31  19:    SET {
   30  17:     SEQUENCE {
   06   3:      OBJECT IDENTIFIER organizationName (2 5 4 10)
   0C  10:      UTF8String 'Example CA'
         :       }
         :      }
         :     }
   30  30:   SEQUENCE {
   17  13:    UTCTime 29/11/2022 18:14:58 GMT
   17  13:    UTCTime 29/11/2023 18:14:58 GMT
         :     }
   30  57:   SEQUENCE {
   31  11:    SET {
   30   9:     SEQUENCE {
   06   3:      OBJECT IDENTIFIER countryName (2 5 4 6)
   13   2:      PrintableString 'US'
         :       }
         :      }
   31  42:    SET {
   30  40:     SEQUENCE {
   06   3:      OBJECT IDENTIFIER organizationName (2 5 4 10)
   13  33:      PrintableString '5gc.mnc400.mcc311.3gppnetwork.org'
         :       }
         :      }
         :     }
   30 118:   SEQUENCE {
   30  16:    SEQUENCE {
   06   7:     OBJECT IDENTIFIER ecPublicKey (1 2 840 10045 2 1)
   06   5:     OBJECT IDENTIFIER secp384r1 (1 3 132 0 34)
         :      }
   03  98:    BIT STRING
         :     04 C9 E8 81 47 23 AF 37 AB F2 49 8E C2 54 7C 48
         :     91 16 A1 90 EA E2 83 18 9D 28 A8 33 FA C0 48 51
         :     02 EB F2 13 2C F9 A6 04 66 CF FE CC CD ED 7E B3
         :     5A 9C 9C F5 3D 9A 8D 6F AC 85 BD AE 32 A1 6F F1
         :     E6 F0 7F 53 3E F9 CC 43 00 91 0A D2 AF 08 3F 74
         :     32 45 AF 73 F1 BC AB 20 81 A4 29 AC DF 33 4E 24
         :     E8
         :     }
   A3 321:   [3] {
   30 317:    SEQUENCE {
   30  19:     SEQUENCE {
   06   8:      OBJECT IDENTIFIER nfTypes (1 3 6 1 5 5 7 1 34)
   04   7:      OCTET STRING, encapsulates {
   30   5:       SEQUENCE {
   16   3:        IA5String 'AMF'
         :         }
         :        }
         :       }
   30  23:     SEQUENCE {
   06   3:      OBJECT IDENTIFIER certificatePolicies (2 5 29 32)
   04  16:      OCTET STRING, encapsulates {
   30  14:       SEQUENCE {
   30  12:        SEQUENCE {
   06  10:         OBJECT IDENTIFIER '2 16 840 1 101 3 2 1 48 48'
         :          }
         :         }
         :        }
         :       }
   30  14:     SEQUENCE {
   06   3:      OBJECT IDENTIFIER keyUsage (2 5 29 15)
   01   1:      BOOLEAN TRUE
   04   4:      OCTET STRING, encapsulates {
   03   2:       BIT STRING 7 unused bits
         :        '1'B (bit 0)
         :        }
         :       }
   30  19:     SEQUENCE {
   06   3:      OBJECT IDENTIFIER extKeyUsage (2 5 29 37)
   04  12:      OCTET STRING, encapsulates {
   30  10:       SEQUENCE {
   06   8:        OBJECT IDENTIFIER clientAuth (1 3 6 1 5 5 7 3 2)
         :         }
         :        }
         :       }
   30  29:     SEQUENCE {
   06   3:      OBJECT IDENTIFIER subjectKeyIdentifier (2 5 29 14)
   04  22:      OCTET STRING, encapsulates {
   04  20:       OCTET STRING
         :        4C 67 92 A0 C1 89 58 9F CF 39 98 A2 03 E7 96 5C
         :        13 39 C8 07
         :        }
         :       }
   30  31:     SEQUENCE {
   06   3:      OBJECT IDENTIFIER authorityKeyIdentifier (2 5 29 35)
   04  24:      OCTET STRING, encapsulates {
   30  22:       SEQUENCE {
   80  20:        [0]
         :        88 7F A2 04 E9 0B 6A 8D 74 76 FA 9F F1 0A D4 61
         :        E0 FA B3 35
         :         }
         :        }
         :       }
   30  49:     SEQUENCE {
   06   3:      OBJECT IDENTIFIER cRLDistributionPoints (2 5 29 31)
   04  42:      OCTET STRING, encapsulates {
   30  40:       SEQUENCE {
   30  38:        SEQUENCE {
   A0  36:         [0] {
   A0  34:          [0] {
   86  32:           [6] 'http://example.com/exampleca.crl'
         :            }
         :           }
         :          }
         :         }
         :        }
         :       }
   30 117:     SEQUENCE {
   06   3:      OBJECT IDENTIFIER subjectAltName (2 5 29 17)
   01   1:      BOOLEAN TRUE
   04 107:      OCTET STRING, encapsulates {
   30 105:       SEQUENCE {
   82  56:        [2]
         :         'amf1.cluster1.net2.amf.5gc.mnc400.mcc311.3gppnet'
         :         'work.org'
   86  45:        [6]
         :         'urn:uuid:f81d4fae-7dec-11d0-a765-00a0c91e6bf6'
         :         }
         :        }
         :       }
         :      }
         :     }
         :    }
   30  10:  SEQUENCE {
   06   8:   OBJECT IDENTIFIER ecdsaWithSHA384 (1 2 840 10045 4 3 3)
         :    }
   03 104:  BIT STRING, encapsulates {
   30 101:   SEQUENCE {
   02  48:    INTEGER
         :     4B 50 12 EB 7D 91 E9 64 88 C2 0C 47 E4 33 91 23
         :     46 22 E4 77 D0 BA F6 DD FB 5A AC B8 BD C0 CA 77
         :     65 12 09 61 08 1A 01 67 3A 82 67 F7 31 50 29 ED
   02  49:    INTEGER
         :     00 A3 28 60 0B 70 E6 CA E4 36 31 3E 66 0E 82 A8
         :     49 1F F5 FD 9B 6A 71 65 B5 1B 8F 6D 3A 78 07 45
         :     EB 6B 3E 73 FE 39 F7 34 33 CC F5 AB 5A 48 75 31
         :     39
         :     }
         :    }
         :   }
        

Acknowledgements

謝辞

Many thanks to Ben Smeets, Michael Li, Tim Hollebeek, Roman Danyliw, Bernie Volz, and ric Vyncke for their review, comments, and assistance.

Ben Smeets、Michael Li、Tim Hollebeek、Roman Danyliw、Bernie Volz、およびRic Vynckeのレビュー、コメント、支援に感謝します。

Authors' Addresses

著者のアドレス

Russ Housley Vigil Security, LLC Herndon, VA United States of America Email: housley@vigilsec.com

Russ Housley Vigil Security、LLC Herndon、VA United States of America Email:housley@vigilsec.com

Sean Turner sn3rd Washington, DC United States of America Email: sean@sn3rd.com

ショーンターナーSN3RDワシントン、DCアメリカ合衆国電子メール:sean@sn3rd.com

John Preu Mattsson Ericsson Kista Sweden Email: john.mattsson@ericsson.com

John Preu Mattsson Ericsson Kista Swedenメール:john.mattsson@ericsson.com

Daniel Migault Ericsson Saint Laurent, QC Canada Email: daniel.migault@ericsson.com

ダニエル・ミゴール・エリクソン・セント・ローレント、QCカナダメール:daniel.migault@ericsson.com