Network Working Group C. Adams
Request for Comments: 3029 Entrust Technologies
Category: Experimental P. Sylvester
EdelWeb SA - Groupe ON-X Consulting
M. Zolotarev
Baltimore Technologies Pty Limited
R. Zuccherato
Entrust Technologies
February 2001
Internet X.509 Public Key Infrastructure
Data Validation and Certification Server Protocols
Status of this Memo
このメモの位置付け
This memo defines an Experimental Protocol for the Internet community. It does not specify an Internet standard of any kind. Discussion and suggestions for improvement are requested. Distribution of this memo is unlimited.
このメモはインターネットコミュニティのためにExperimentalプロトコルを定義します。それはどんな種類のインターネット標準を指定しません。改善のための議論や提案が要求されています。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2001). All Rights Reserved.
著作権(C)インターネット協会(2001)。全著作権所有。
Abstract
抽象
This document describes a general Data Validation and Certification Server (DVCS) and the protocols to be used when communicating with it. The Data Validation and Certification Server is a Trusted Third Party (TTP) that can be used as one component in building reliable non-repudiation services.
この文書では、一般的なデータの検証と認証サーバー(DVCS)及びそれと通信するときに使用するプロトコルについて説明します。データの検証と認証サーバは、信頼性、否認防止サービスを構築中で1つの成分として使用することができる信頼できる第三者(TTP)です。
Useful Data Validation and Certification Server responsibilities in a PKI are to assert the validity of signed documents, public key certificates, and the possession or existence of data.
PKIにおける有用なデータの検証と認証サーバの責任は、署名された文書、公開鍵証明書の有効性、およびデータの所有または存在を主張しています。
Assertions created by this protocol are called Data Validation Certificates (DVC).
このプロトコルによって作成されたアサーションは、データ検証証明書(DVC)と呼ばれています。
We give examples of how to use the Data Validation and Certification Server to extend the lifetime of a signature beyond key expiry or revocation and to query the Data Validation and Certification Server regarding the status of a public key certificate. The document includes a complete example of a time stamping transaction.
私たちは、キーの有効期限や失効を超えた署名の有効期間を延長すると、公開鍵証明書の状態に関するデータの検証と認証サーバーを照会するために、データの検証と認証サーバを使用する方法の例を与えます。文書には、タイムスタンプのトランザクションの完全な例を含んでいます。
Table of Contents
目次
1. Introduction ................................................. 2
2. Services provided by DVCS .................................... 4
2.1 Certification of Possession of Data ........................ 4
2.2 Certification of Claim of Possession of Data ............... 4
2.3 Validation of Digitally Signed Documents ................... 4
2.4 Validation of Public Key Certificates ...................... 5
3. Data Certification Server Usage and Scenarii ................. 5
4. Functional Requirements for DVCS ............................. 7
5. Data Certification Server Transactions ....................... 7
6. Identification of the DVCS ................................... 8
7. Common Data Types ............................................ 9
7.1 Version .................................................... 9
7.2 DigestInfo ................................................. 10
7.3. Time Values ............................................... 10
7.4. PKIStatusInfo ............................................. 11
7.5. TargetEtcChain ............................................ 11
7.6. DVCSRequestInformation .................................... 12
7.7. GeneralName and GeneralNames .............................. 13
8. Data Validation and Certification Requests ................... 13
9. DVCS Responses ............................................... 17
9.1. Data Validation Certificate ............................... 18
9.2. DVCS Error Notification ................................... 21
10. Transports .................................................. 22
10.1 DVCS Protocol via HTTP or HTTPS ........................... 22
10.2 DVCS Protocol Using Email ................................. 22
11. Security Considerations ..................................... 23
12. Patent Information .......................................... 23
13. References .................................................. 25
14. Authors' Addresses .......................................... 26
APPENDIX A - PKCS #9 Attribute .................................. 27
APPENDIX B - Signed document validation ......................... 27
APPENDIX C - Verifying the Status of a Public Key Certificate ... 28
Appendix D - MIME Registration .................................. 30
Appendix E - ASN.1 Module using 1988 Syntax ..................... 31
Appendix F - Examples ........................................... 34
Appendix G - Acknowledgements ................................... 50
Full Copyright Statement ........................................ 51
This document is the result of work that has been proposed and discussed within the IETF PKIX working group. The authors and some members of the group felt that promoting the rather new concepts into the standards process seemed premature. The concepts presented have been stable for some time and partially implemented. It was agreed that a publication as experimental RFC was an appropriate means to get a stable reference document to permit other implementations to occur.
この文書は、IETF PKIXワーキンググループ内で提案し、議論されてきた仕事の結果です。著者およびグループの一部のメンバーは、標準化プロセスにかなり新しい概念を促進することは時期尚早見えたことを感じました。提示した概念は、いくつかの時間のために安定して、部分的に実施しています。これは、実験的RFCとして公表が発生する他の実装を可能にするために、安定した基準文書を取得するための適切な手段だったことが合意されました。
The key words "MUST", "MUST NOT", "REQUIRED", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document (in uppercase, as shown) are to be interpreted as described in [RFC2119].
キーワード "MUST"、 "MUST NOT"、 "REQUIRED"、(図示のように、大文字で)この文書では、 "SHOULD"、 "推奨" "NOT SHOULD"、 "MAY"、 "OPTIONAL" は可能になっています[RFC2119]で説明されるように解釈されます。
A Data Validation and Certification Server (DVCS) is a Trusted Third Party (TTP) providing data validation services, asserting correctness of digitally signed documents, validity of public key certificates, and possession or existence of data.
データの検証と認証サーバー(DVCS)は、デジタル署名された文書、公開鍵証明書の有効性、およびデータの所有または存在の正当性を主張し、データ検証サービスを提供する信頼できる第三者(TTP)です。
As a result of the validation, a DVCS generates a Data Validation Certificate (DVC). The data validation certificate can be used for constructing evidence of non-repudiation relating to the validity and correctness of an entity's claim to possess data, the validity and revocation status of an entity's public key certificate and the validity and correctness of a digitally signed document.
検証の結果、DVCSは、データ検証証明書(DVC)を生成します。データ検証証明書は、データ、デジタル署名された文書のエンティティの公開鍵証明書の有効性と失効状況と妥当性や正確性を保有する事業体の主張の妥当性や正確性に関する否認防止の証拠を構築するために使用することができます。
Services provided by a DVCS do not replace the usage of CRLs and OCSP for public key certificate revocation checking in large open environments, due to concerns about the scalability of the protocol.
DVCSによって提供されるサービスは、公開鍵証明書の失効が原因プロトコルの拡張性についての懸念に、大規模なオープンな環境でチェックするためのCRLやOCSPの使用に代わるものではありません。
It should be rather used to support non-repudiation or to supplement more traditional services concerning paperless document environments. The presence of a data validation certificate supports non-repudiation by providing evidence that a digitally signed document or public key certificate was valid at the time indicated in the DVC.
むしろ、否認防止をサポートするか、ペーパーレス文書環境に関するより多くの伝統的なサービスを補完するために使用されるべきです。データ検証証明書の存在は、デジタル署名された文書または公開鍵証明書は、DVCに示された時点で有効であったという証拠を提供することにより、否認防止をサポートしています。
A DVC validating a public key certificate can for example be used even after the public key certificate expires and its revocation information is no longer or not easily available. Determining the validity of a DVC is assumed to be a simpler task, for example, if the population of DVCS is significantly smaller than the population of public key certificate owners.
DVCは、公開鍵証明書の有効期限が切れていないと、その失効情報は、もはやか容易に入手可能になった後でも例えば、公開鍵証明書の缶を使用することを検証します。 DVCの有効性を決定することは、DVCSの人口は、公開鍵証明書の所有者の人口よりも著しく小さい場合には、例えば、単純なタスクを想定しています。
An important feature of the protocol is that DVCs can be validated by using the same protocol (not necessarily using the same service), and the validity of a signed document, in particular a DVC, can also be determined by means other than by verifying its signature(s), e.g., by comparing against an archive.
プロトコルの重要な特徴は、のDVCは、同じプロトコル(必ずしも同じサービスを使用していない)、および署名された文書の妥当性を使用して検証することができることは、DVC特に、また、その検証による以外の手段によって決定することができるされています署名(S)、例えば、アーカイブと比較することもできます。
The production of a data validation certificate in response to a signed request for validation of a signed document or public key certificate also provides evidence that due diligence was performed by the requester in validating a digital signature or public key certificate.
署名された文書または公開鍵証明書の検証のために署名された要求に応答してデータ検証証明書の生成はまた、デューデリジェンスは、デジタル署名または公開鍵証明書の検証に要求者によって行われたという証拠を提供します。
This document defines the use of digital signatures to insure the authenticity of documents and DVCs, and uses a corresponding terminology; the use of other methods to provide evidence for authenticity is not excluded, in particular it is possible to replace a SignedData security envelope by another one.
このドキュメントは、ドキュメントとのDVCの真正性を保証するために、デジタル署名の使用を定義し、対応する用語を使用します。信憑性の証拠を提供するために、他の方法の使用は、特に別のものでのSignedDataセキュリティ封筒を交換することが可能で、除外されていません。
The current specification defines 4 types of validation and certification services:
現在の仕様では、検証および認証サービスの4種類を定義します。
- Certification of Possession of Data (cpd), - Certification of Claim of Possession of Data (ccpd), - Validation of Digitally Signed Document (vsd), and - Validation of Public Key Certificates (vpkc).
- データ(CPD)の所持の証明、 - データ(CCPD)の所持の請求項の認定、 - 公開鍵証明書の検証(vpkc) - デジタルの検証は、ドキュメント(VSD)、及び署名しました。
A DVCS MUST support at least a subset of these services. A DVCS may support a restricted vsd service allowing to validate data validation certificates.
DVCSは、これらのサービスの少なくともサブセットをサポートしなければなりません。 DVCSは、データ検証証明書を検証できるように制限されたVSDサービスをサポートすることができます。
On completion of each service, the DVCS produces a data validation certificate - a signed document containing the validation results and trustworthy time information.
各サービスの完了時に、DVCSは、データ検証証明書を生成する - 検証結果及び信頼できる時刻情報を含む署名された文書を。
The Certification of Possession of Data service provides evidence that the requester possessed data at the time indicated and that the actual data were presented to the Data Validation Server.
データサービスの所持の認定は、要求者が示された時点でのデータを保有していることと、実際のデータは、データ検証サーバに提示されたという証拠を提供します。
The Certification of Claim of Possession of Data service is similar to the previous one, except that the requester does not present the data itself but a message digest.
データサービスの所有の請求項の認証は、要求者は、データ自体が、メッセージダイジェストを提示しないことを除いて、前のものと同様です。
The Validation of Digitally Signed Document service is used when validity of a signed document is to be asserted.
デジタル署名された文書サービスの検証は、署名された文書の妥当性がアサートされるときに使用されます。
The DVCS verifies all signatures attached to the signed document using all appropriate status information and public key certificates. The DVCS verifies the mathematical correctness of all signatures attached to the document and also checks whether the signing entities can be trusted, for example by validating the full certification path from the signing entities to a trusted point (e.g., the DVCS's CA, or the root CA in a hierarchy).
DVCSは、すべての適切なステータス情報と公開鍵証明書を使って署名された文書に接続されているすべての署名を検証します。 DVCSは、文書に添付され、すべての署名の数学的な正当性を検証しても署名エンティティは、信頼できるポイント(例えば、DVCSのCA、またはルートに署名エンティティからの完全な証明書パスを検証することによって、例えば、信頼できるかどうかをチェックします階層内のCA)。
The DVCS may be able to rely on relevant CRLs or may need to supplement this with access to more current status information from the CAs for example by accessing an OCSP service, a trusted directory service, or other DVCS services.
DVCSは、関連のCRLに頼ることができるかもしれまたはOCSPサービス、信頼されたディレクトリサービス、または他のDVCSのサービスにアクセスすることによって、例えばCASからより多くの現在のステータス情報にアクセスして、これを補完する必要があるかもしれません。
The DVCS will perform verification of all signatures attached to the signed document. A failure of the verification of one of the signatures does not necessarily result in the failure of the entire validation, and vice versa, a global failure may occur if the document has an insufficient number of signatures.
DVCSは、署名された文書に接続されているすべての署名の検証を実行します。署名の検証の失敗は、必ずしも文書が署名の数が不足している場合、グローバル障害が発生する可能性があり、全体の検証の失敗、およびその逆をもたらしません。
The Validation of Public Key Certificates service is used to verify and assert the validity (according to [RFC2459]) of one or more public key certificates at the specified time.
公開鍵証明書サービスの検証は、指定された時間に1つのまたは複数の公開鍵証明書の([RFC2459]による)を確認し、有効性を主張するために使用されます。
When verifying a public key certificate, the DVCS verifies that the certificate included in the request is a valid certificate and determines its revocation status at a specified time. DVS checks the full certification path from the certificate's issuer to a trusted point. Again, the DVCS MAY be able to rely on external information (CRL, OCSP, DVCS).
公開鍵証明書を検証する際に、DVCSは、証明書が要求に含まれていることを確認し、有効な証明書で、指定した時刻にその失効ステータスを決定します。 DVSは、信頼できるポイントに証明書発行者からの完全な証明書パスをチェックします。ここでも、DVCSは、外部情報(CRL、OCSP、DVCS)に依存することはできてもよい(MAY)。
It is outside the scope of this document to completely describe different operational scenarii or usages for DVCS.
それは完全にDVCSのための異なる動作scenariiや用法を記述するために、このドキュメントの範囲外です。
See Appendix B and C for a set of some basic examples and use cases.
いくつかの基本的な例とユースケースのセットについては、付録BとCを参照してください。
The Validate Signed Document service can be used to support non-repudiation services, to allow use of the signed document beyond public key certificate revocation or expiry, or simply to delegate signature validation to a trusted central (company wide) service.
検証署名された文書サービスは、信頼中央(全社)サービスへの署名の検証を委任するだけで、公開鍵証明書の失効または有効期限、または越えて署名された文書の使用を可能にするために、否認防止サービスをサポートするために使用することができます。
The Validate Public Key Certificate service can be used when timely information regarding a certificate's revocation status is required (e.g., high value funds transfer or the compromise of a highly sensitive key) or when evidence supporting non-repudiation is required.
証明書の失効状態に関するタイムリーな情報が必要な場合に検証する公開鍵証明書サービスを使用することができます(例えば、高い値の資金移動や機密性の高いキーの妥協)またはときは、否認防止を裏付ける証拠が必要です。
A data validation certificate may be used to simplify the validation of a signature beyond the expiry or subsequent revocation of the signing certificate: a Data validation certificate used as an authenticated attribute in a signature includes an additional assertion about the usability of a certificate that was used for signing. In order to validate such a signature it may be sufficient to only validate the data validation certificate.
データ検証証明書は、署名証明書の有効期限または後続の失効を超えて署名の検証を簡素化するために使用することができる:署名で認証属性として使用されるデータ検証証明書を使用した証明書の有用性に関する追加のアサーションを含みます署名のために。データのみの検証証明書を検証するためにこのような署名を検証するためには十分であってもよいです。
A DVCS may include additional key exchange certificates in a data validation certificate to validate a key exchange certificate in order to provide to an application a set of additional authorised recipients for which a session key should also be encrypted. This can be used for example to provide central management of a company wide recovery scheme. Note, that the additional certificates may not only depend on the requested certificate, but also on the requester's identity.
DVCSは、アプリケーションにセッション鍵も暗号化する必要のある追加の許可の受信者のセットを提供するために、鍵交換証明書を検証するデータ検証証明書に追加の鍵交換証明書を含んでもよいです。これは全社回復スキームの集中管理を提供するために、例えば使用することができます。追加の証明書のみを要求した証明書に、だけでなく、要求者のアイデンティティに依存しないことに、注意してください。
The Certification of Claim of Possession of Data service is also known as time stamping.
データサービスの所持の請求項の認定は、時間スタンプとして知られています。
The Certification of Possession of Data service can be used to assert legal deposit of documents, or to implement archival services as a trusted third party service.
データサービスの所持の証明書は、書類の法定納本を主張するために、または信頼できるサードパーティのサービスなどのアーカイブサービスを実装するために使用することができます。
The Data Validation and Certification Server Protocols can be used in different service contexts. Examples include company-wide centralised services (verification of signatures, certification of company certificates), services to cooperate in a multi-organization community, or general third party services for time stamping or data archival.
データの検証と認証サーバのプロトコルは異なるサービスコンテキストで使用することができます。例としては、タイムスタンプやデータアーカイブのためのマルチ組織のコミュニティ、あるいは一般的なサードパーティのサービスに協力するために全社的な中央集中型のサービス(署名の検証、会社の証明書の認証)、サービスがあります。
An important application of DVCS is an enterprise environment where all security decisions are based on company wide rules. A company wide DVCS service can be used to delegate all technical decisions (e.g., path validation, trust configuration) to a centrally managed service.
DVCSの重要なアプリケーションは、すべてのセキュリティ上の決定は、全社的なルールに基づいているエンタープライズ環境です。全社DVCSサービスを一元管理サービスにすべての技術的な決定(例えば、パス検証、信頼設定)を委任するために使用することができます。
In all cases, the trust that PKI entities have in the Data Validation and Certification Server is transferred to the contents of the Data Validation Certificate (just as trust in a CA is transferred to the public key certificates that it issues).
すべての場合において、PKIエンティティはデータの検証と認証サーバーで持っている信頼は(CAの信頼は、それが発行した公開鍵証明書に転送され、同じように)データ検証証明書の内容に転送されます。
A DVCS service may be combined with or use archiving and logging systems, in order to serve as a strong building block in non-repudiation services. In this sense it can be regarded as an Evidence Recording Authority [ISO-NR].
DVCSサービスは、と組み合わせるか、否認防止サービスにおける強力なビルディングブロックとして機能するためには、アーカイブとロギングシステムを使用することができます。この意味では、証拠記録局[ISO-NR]とみなすことができます。
The DVCS MUST
DVCSのMUST
1. provide a signed response in the form of a data validation certificate to the requester, as defined by policy, or an error response. The DVCS service definition and the policy define how much information that has been used by the DVCS to generate the response will be included in a data validation certificate, e.g., public key certificates, CRLs, and responses from other OCSP servers, DVCS, or others.
ポリシー、またはエラー応答によって定義される1は、リクエスタにデータ検証証明書の形式で署名された応答を提供します。 DVCSサービス定義およびポリシーは、他のOCSPサーバ、DVCS、または他人からどのくらいのデータ検証などの証明書、公開鍵証明書、CRLの中に含まれる応答を生成するためにDVCSによって使用されている情報、および応答を定義します。
2. indicate in the data validation certificate whether or not the signed document, the public key certificate(s), or the data were validated, and, if not, the reason why the verification failed.
2.公開鍵証明書(s)は、署名された文書かどうかをデータ検証証明書に示し、またはデータは、検証が失敗した理由を検証し、そして、もしれませんでした。
3. include a strictly monotonically increasing serial number in each data validation certificate.
3.各データ検証証明書に厳密に単調に増加するシリアル番号を含みます。
4. include a time of day value or a time stamp token into each data validation certificate.
4.日の値の時間や各データ検証証明書にタイムスタンプトークンを含みます。
5. sign each data certification token using a key that has been certified with a dvcs signing extended key purpose, and include a reference to this certificate as a signed attribute in the signature.
5.拡張キー目的の署名DVCSと認証された鍵を使用して、各データ認証トークンの署名、および署名で署名された属性としてこの証明書への言及を含みます。
6. check the validity of its own signing key and certificate before delivering data validation certificates and MUST not deliver data validation certificate in case of failure.
6.データ検証証明書を配信する前に、自身の署名鍵と証明書の有効性を確認し、障害が発生した場合にデータ検証証明書を提供していないしなければなりません。
A DVCS SHOULD include within each data validation certificate a policy identifier to determine the trust and validation policy used for DVC's signature.
DVCSは、DVCの署名に使用される信頼と検証方針を決定するために、各データ検証証明書ポリシー識別子内に含めるべきです。
A DVCS transaction begins with a client preparing a Data Validation and Certification Request. The request always contains data for which validity, correctness or possession is to be certified.
DVCSトランザクションはデータの検証と証明書要求を作成するクライアントで始まります。リクエストは常に妥当性、正確性または所持が認定されるべきデータが含まれています。
The request MAY be encapsulated using a security envelope to provide for authentication of both requester and server. Requester authentication can be achieved by several of the formats described in CMS, in particular, signedData.
リクエストは、リクエスターとサーバーの両方の認証を提供するために、セキュリティの封筒を使用してカプセル化することができます。リクエスタ認証たsignedData、特に、CMSに記載の形式のいくつかによって達成することができます。
The DVCS client chooses an appropriate transport mechanism to convey the requests to a DVCS. It may also be necessary to choose a transport mechanism providing confidentiality and, in particular, allowing authentication of the DVCS by the requestor, e.g., TLS or CMS or S/MIME encryption.
DVCSクライアントは、DVCSに要求を伝えるための適切なトランスポートメカニズムを選択します。また、例えば、TLSまたはCMSまたはS / MIME暗号化、機密性を提供し、特に、リクエスタによってDVCSの認証を可能にするトランスポートメカニズムを選択する必要があるかもしれません。
If the request is valid, the DVCS performs all necessary verifications steps, and generates a Data Validation Certificate (DVC), and sends a response message containing the DVC back to the requestor.
要求が有効である場合、DVCSは、すべての必要な検証手順を実行し、データ検証証明書(DVC)を生成し、バックリクエスタにDVCを含む応答メッセージを送信します。
The Data Validation Certificate is formed as a signed document (CMS SignedData).
データ検証証明書が署名された文書(CMSのSignedData)として形成されています。
As with the request, it may be necessary to choose a transport mechanism that provides for confidentiality to carry the DVC. DVCs are not necessarily transported the same way as requests, e.g., they can be returned using e-mail after an online request received via HTTPS.
リクエストと同様に、DVCを運ぶために機密性を提供するトランスポートメカニズムを選択する必要があるかもしれません。 DVCは必ずしも要求と同じように輸送されない、例えば、彼らはHTTPSを介して受信されたオンライン申請後に電子メールを使用して返すことができます。
If the request was invalid, the DVCS generates a response message containing an appropriate error notification.
要求が無効であった場合、DVCSは、適切なエラー通知を含む応答メッセージを生成します。
Upon receiving the response, the requesting entity SHOULD verify its validity, i.e., whether it contains an acceptable time, the correct name for the DVCS, the correct request information and message imprint, a valid signature, and satisfactory status, service and policy fields.
応答を受信すると、要求側エンティティは、それが許容される時間、DVCSの正しい名前、正しい要求情報及びメッセージインプリント、有効な署名、良好な状態、サービスおよびポリシーフィールドが含まれているかどうか、すなわち、その有効性を確認する必要があります。
When verifying the validity of a DVC, it is up to the requestor's application to check whether a DVCS's signing certificate is valid. Depending on the usage environment, different methods, online or out of band, e.g., CRLs, DVCS, or OCSP, may have to be used.
DVCの妥当性を検証する際には、DVCSの署名証明書が有効であるかどうかを確認するには、要求者のアプリケーション次第です。使用環境に応じて、異なる方法は、オンラインまたはアウト・オブ・バンドで、例えば、CRLに、DVCS、またはOCSPは、使用する必要があります。
After all checks have passed, the data validation certificate can be used to authenticate the correctness or possession of the corresponding data.
全てのチェックが合格した後、データ検証証明書は、対応するデータの正確性や所有権を認証するために使用することができます。
A DVCS may return more than one DVC corresponding to one request. In this case, all but one request have a global status of 'WAITING'.
DVCSは、一つのリクエストに対応する複数のDVCを返すことができます。この場合、すべてが、1つの要求は、「WAITING」の世界的な地位を持っています。
In order to be able to import elements from dvcs the following object identifier is used as a ASN.1 module identifier.
以下のオブジェクト識別子はASN.1モジュール識別子として使用されているDVCSから要素をインポートできるようにするために。
id-mod-dvcs OBJECT IDENTIFIER ::= {iso(1) identified-organization(3)
dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) 15}
The DVCS that use SignedData to provide authentication for DVCs MUST sign all data certification messages with a key whose corresponding certificate MUST contain the extended key usage field extension as defined in [RFC2459] Section 4.2.1.14 with KeyPurposeID having value id-kp-dvcs. This extension MUST be marked as critical.
DVCの認証を提供するためのSignedDataを使用DVCSは、その対応する証明書KeyPurposeID値ID-KP-DVCSを有する[RFC2459]セクション4.2.1.14に定義されるように、拡張鍵使用フィールド拡張を含まなければならない鍵とすべてのデータ認証メッセージに署名しなければなりません。この拡張は、クリティカルとしてマークする必要があります。
The Data Validation Certificate MUST contain an ESSCertID authenticated attribute for the certificate used by the DVCS for signing.
データ検証証明書は、署名のためのDVCSで使用される証明書のESSCertID認証された属性が含まれていなければなりません。
id-kp-dvcs OBJECT IDENTIFIER ::= {iso(1) identified-organization(3)
dod(6) internet(1) security(5) mechanisms(5) pkix(7) kp(3) 10}
Consistent KeyUsage bits:
一貫性のKeyUsageビット:
digitalSignature, nonRepudiation, keyCertSign, cRLSign
デジタル署名、否認防止、KeyCertSignが、cRLSign
A DVCS's certificate MAY contain an Authority Information Access extension [RFC2459] in order to convey the method of contacting the DVCS. The accessMethod field in this extension MUST contain the OID id-ad-dvcs:
DVCSの証明書は、DVCSを接触させる方法を伝えるために機関情報アクセス拡張[RFC2459]を含むかもしれません。この拡張でたaccessMethodフィールドはOID ID-AD-DVCSを含まなければなりません:
id-ad-dvcs OBJECT IDENTIFIER ::= {iso(1) identified-organization(3)
dod(6) internet(1) security(5) mechanisms(5) pkix(7) ad(48) 4}
The value of the 'accessLocation' field defines the transport (e.g., an URI) used to access the DVCS.
「のaccessLocation」フィールドの値(例えば、URI)はDVCSにアクセスするために使用されるトランスポートを定義します。
There are several common data types that occur in the request and the response data structures. These data types are either defined by this document or imported from other sources. This chapter defines and describes these types and lists their usages.
要求と応答のデータ構造で発生するいくつかの共通のデータタイプがあります。これらのデータ型のいずれか、この文書で定義されるか、または他のソースからインポートされます。この章では、定義し、これらのタイプを説明し、その使用方法を示しています。
The request and the response include an optional integer field specifying the version of the data structure. For both fields the value is 1, or the field is not present at all in this version of the protocol.
要求と応答は、データ構造のバージョンを指定するオプションの整数フィールドを含みます。両方のフィールドの値が1である、またはフィールドは、プロトコルのこのバージョンでは全く存在しません。
This element is defined in [RFC2315]. Since the status of that document is informational, the definition is repeated here:
この要素は[RFC2315]で定義されています。その文書のステータスが情報であるので、定義はここで繰り返されます。
DigestInfo ::= SEQUENCE {
digestAlgorithm DigestAlgorithmIdentifier,
digest Digest }
Digest ::= OCTET STRING
The fields of type DigestInfo have the following meanings:
タイプDigestInfoのフィールドは以下の意味があります。
- The field 'digestAlgorithm' identifies the message-digest algorithm (and any associated parameters) under which data are digested.
- フィールド「digestAlgorithm」は、データが消化された下メッセージダイジェストアルゴリズム(及び任意の関連パラメータ)を識別する。
- The field 'digest' is the result of the message-digesting process.
- フィールド「ダイジェスト」は、メッセージ消化プロセスの結果です。
A DigestInfo is used in two places:
DigestInfoは、2つの場所で使用されます。
- as a data portion for the ccpd service, and
- CCPDサービスのデータ部分として、及び
- in all a data validation certificates to hold a digest of the data portion of the corresponding request or a copy of the data field for a ccpd service.
- すべてのデータ検証証明書に対応する要求またはCCPDサービス用のデータ・フィールドのコピーのデータ部分のダイジェストを保持します。
Indicators of time can be present in requests and responses. In the most simple form, the time is represented as GeneralizedTime where fractions of seconds are allowed.
時間の指標は、要求と応答中に存在することができます。最も単純な形式では、時間は秒の端数が許可されているGeneralizedTimeとして表されます。
An alternate form is a timeStampToken from a TSA, or as a DVC (or some other token) from another third party service.
代替形態ではTSAからTimeStampTokenの、または他のサードパーティサービスからDVC(またはいくつかの他のトークン)の通りです。
It is a matter of policy whether a DVCS tries to interpret or validate a Time Value in a request.
DVCSが解釈やリクエストで時間値を検証しようとするかどうかを政策の問題です。
DVCSTime ::= CHOICE {
genTime GeneralizedTime,
timeStampToken ContentInfo }
Future versions of the protocol MAY include additional time formats.
プロトコルの将来のバージョンでは、追加の時間形式を含むかもしれません。
Time values generated by the DVCS are increasing but not necessarily unique, an order among DVCs is defined by serial numbers.
DVCSによって生成された時間値が増加しているが、必ずしも、のDVC間の順序は、シリアル番号によって一意に定義されていません。
This structure is defined in [RFC2510]. It is used as component of the 'chain' field of a TargetEtcChain structure, and as a global status indicator in the DVCSResponse structure. Every occurrence of PKIStatusInfo is generated by the responding DVCS to reflect the result of some local verification.
この構造は、[RFC2510]で定義されています。これはTargetEtcChain構造の「チェーン」フィールドの成分として使用され、DVCSResponse構造のグローバルステータスインジケータとして。 PKIStatusInfoのすべての発生は、いくつかの地元の検証結果を反映するために応答DVCSによって生成されます。
A TargetEtcChain structure contains certificates and other indicators to describe either (in a request for a cpkc service) information to be validated, or the result of the verifications. The structure may also contain information about policies and policy mappings.
TargetEtcChain構造(cpkcサービスの要求に)検証される情報、または検証の結果のいずれかを記述するために証明書と他の指標を含んでいます。構造はまた、ポリシーおよびポリシーマッピングに関する情報が含まれていてもよいです。
The details about how to fill in and to interpret the structure are defined later for each service.
埋めるために、構造を解釈する方法についての詳細は、各サービスのために、後に定義されています。
The 'pathProcInput' field contains information about policies and policy mapping to be used or used during a validation.
「pathProcInput」フィールドは、検証時に使用したり、使用するポリシーおよびポリシーマッピングに関する情報が含まれています。
In a response, the 'pkistatus' and `certstatus' choices can only occur in the 'chain' sequence. If present, they contain the result of a local verification of the immediately preceding element, or of the target value, if it is the first element in the 'chain' sequence. If no 'pkistatus' or 'certstatus' is present, the DVCS considers all elements in the 'chain' as trustworthy. Note, that there may be a valid OCSP response or DVC indicating an invalid certificate.
これに応答して、「pkistatus」と `にCertStatus鎖『配列選択肢のみで起こり得ます』。存在する場合、それは「チェーン」配列の最初の要素である場合、それらは、直前の要素の局所的な検証の、または目標値の結果を含みます。 NO「pkistatus」または「にCertStatus」が存在しない場合、DVCSは、信頼できるとして「チェーン」内のすべての要素を考慮する。無効な証明書を示す有効OCSP応答またはDVCがあるかもしれないことに留意されたいです。
TargetEtcChain ::= SEQUENCE {
target CertEtcToken,
chain SEQUENCE SIZE (1..MAX) OF
CertEtcToken OPTIONAL,
pathProcInput [0] PathProcInput OPTIONAL }
PathProcInput ::= SEQUENCE {
acceptablePolicySet SEQUENCE SIZE (1..MAX) OF
PolicyInformation,
inhibitPolicyMapping BOOLEAN DEFAULT FALSE,
explicitPolicyReqd BOOLEAN DEFAULT FALSE }
CertEtcToken ::= CHOICE {
certificate [0] IMPLICIT Certificate ,
esscertid [1] ESSCertId ,
pkistatus [2] IMPLICIT PKIStatusInfo ,
assertion [3] ContentInfo ,
crl [4] IMPLICIT CertificateList, ocspcertstatus [5] IMPLICIT CertStatus,
oscpcertid [6] IMPLICIT CertId ,
oscpresponse [7] IMPLICIT OCSPResponse,
capabilities [8] SMIMECapabilities,
extension Extension }
Certificate, PolicyInformation and CertificateList are defined in [RFC2459]. ESSCertId is defined in [RFC2634]. CertId, OCSPResponse and CertStatus are defined in [RFC2560]. PKIStatusField is defined in [RFC2510].
証明書は、PolicyInformationとCertificateListのは、[RFC2459]で定義されています。 ESSCertIdは[RFC2634]で定義されています。 CertId、OCSPResponseとにCertStatusは[RFC2560]で定義されています。 PKIStatusFieldは[RFC2510]で定義されています。
The choice 'assertion' can contain a data validation certificate, or a timeStamp, or other assertions.
選択肢の主張は、「データ検証証明書、またはタイムスタンプ、または他のアサーションを含めることができます。
The choices 'assertion', 'ocspresponse' and 'crl' are provided by services external to the responding DVCS. The choices 'certStatus' and 'pkistatus' reflect decisions made directly by the responding DVCS.
選択肢の主張」、「ocspresponse」と「CRL」の応答DVCSに外部サービスによって提供されています。選択肢「にCertStatus」と「pkistatusは、」応答DVCSによって直接行われた決定を反映しています。
As a replacement for certificates, certification identifiers (ESSCertId, CertId) MAY be used in requests and responses, if this is sufficient to perform the service, e.g., when the corresponding certificates are provided elsewhere in a request or response (as part of the SignedData type).
これは、対応する証明書は、要求または応答の他の場所に提供され、例えば、サービスを実行するために十分である場合、証明書の代わりに、認証識別子(ESSCertId、CertId)は、要求と応答に使用されるかもしれません(のSignedDataの一部としてタイプ)。
Certificate or certification identifiers of certification authorities MAY occur in any order and MAY represent several certification chains.
認証局の証明書または証明書の識別子は、任意の順序で発生する可能性があり、いくつかの認証チェーンを表すことができます。
The choice 'capabilities' can be used to indicate SMIMECapabilities. It applies to the certificate identified by the preceding element in the sequence.
選択の能力は「SMIMEケーパビリティを示すために使用することができます。これは、シーケンスの前の要素によって識別された証明書に適用されます。
A DVCSRequestInformation data structure contains general information about the Data Validation and Certification Request. This structure occurs in a request, and is also included in a corresponding Data Validation Certificate.
DVCSRequestInformationデータ構造は、データの検証と認証要求に関する一般的な情報が含まれています。この構造は、要求で発生し、また、対応するデータ検証証明書に含まれています。
DVCSRequestInformation ::= SEQUENCE {
version INTEGER DEFAULT 1 , service ServiceType, nonce INTEGER OPTIONAL, requestTime DVCSTime OPTIONAL, requester [0] GeneralNames OPTIONAL, requestPolicy [1] PolicyInformation OPTIONAL, dvcs [2] GeneralNames OPTIONAL, dataLocations [3] GeneralNames OPTIONAL, extensions [4] IMPLICIT Extensions OPTIONAL }
バージョン整数デフォルト1、サービスのサービス種別、ナンスINTEGER OPTIONAL、たrequesttime DVCSTime OPTIONAL、リクエスタ[0] GeneralNames OPTIONAL、requestPolicy [1] PolicyInformation OPTIONAL、DVCS [2] GeneralNames OPTIONAL、dataLocations [3] GeneralNames OPTIONAL、拡張[4] IMPLICIT拡張}オプション
The ServiceType type enumerates the DVCS service type of a request. See chapter 2 for the description of the services.
サービス種別のタイプは、リクエストのDVCSサービスの種類を列挙します。サービスの説明については、第2章を参照してください。
ServiceType ::= ENUMERATED { cpd(1), vsd(2), cpkc(3), ccpd(4) }
There are several occurrences of SEQUENCES of GeneralName and GeneralNames. These structures are imported from [RFC2459].
GeneralNameとGeneralNamesのシーケンスのいくつかの出現があります。これらの構造は、[RFC2459]から輸入されています。
A Data Validation and Certification request is a ContentInfo defined in [RFC2630].
データ検証および認証要求は[RFC2630]で定義されるContentInfoあります。
It may consist of a [RFC2630] content with a contenttype id-ct-DVCSRequestData signalling a DVCSRequestData,
これは、DVCSRequestDataシグナリングのContentType ID-CT-DVCSRequestDataと[RFC2630]コンテンツから構成することができます
id-ct-DVCSRequestData OBJECT IDENTIFIER ::= {iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) ct(1) 7}
These data are optionally encapsulated by contenttypes that provide for authentication and/or confidentiality.
これらのデータは、必要に応じて、認証および/または機密性を提供するcontenttypesのによってカプセル化されています。
This document describes the usage of a SignedData construct of [RFC2630] where the contenttype indicated in the eContentType of the encapContentInfo is id-ct-DVCSRequestData and the eContent of the encapContentInfo, carried as an octet string, contains a DVCSRequestData structure.
このドキュメントは[RFC2630]はencapContentInfoののeContentTypeに示されたContentTypeがID-CT-DVCSRequestData及びオクテットストリングとして実施encapContentInfoのe-コンテンツであり、ここで、DVCSRequestData構造が含まれているののSignedData構築物の使用を記載しています。
When using a SignedData structure, a Data Validation and Certification Request MAY contain several SignerInfo structures, and countersignature attributes depending on operational environments. When an end user client creates the request, there is one or zero SignerInfo. A relaying DVCS MAY add an additional signature or a countersignature attribute, or MAY use another encapsulation from [RFC2630] that provides for authentication and/or confidentiality.
SignedData構造を使用する場合は、データの検証と認証要求は、運用環境に応じて、いくつかのSignerInfo構造、および副署属性を含むかもしれません。エンドユーザクライアントが要求を作成すると、1または0のSignerInfoがあります。中継DVCSは、追加の署名または副署属性を追加してもよいし、認証および/または機密性を提供する[RFC2630]から別のカプセル化を使用するかもしれ。
The content of a request consists of a description of the desired service and additional parameters, the data to be validated, and an optional identifier of the request.
要求の内容は、所望のサービスと追加のパラメータ、検証されるべきデータ、及び要求のオプション識別子の記述から成ります。
DVCSRequest ::= SEQUENCE {
requestInformation DVCSRequestInformation,
data Data,
transactionIdentifier GeneralName OPTIONAL
}
The 'DVCSRequest.requestInformation' element contains general information about the request. It is filled in by the requester as follows:
「DVCSRequest.requestInformation」要素は、要求に関する一般的な情報が含まれています。それは次のように要求者によって入力されています。
- The 'version' field is set to 1 or the field is absent in this version of the protocol.
- 「バージョン」フィールドが1に設定またはフィールドは、プロトコルのこのバージョンでは存在しません。
The field 'service' contains the requested service.
フィールド「サービス」は要求されたサービスが含まれています。
- The 'nonce' field MAY be used to provide additional protection against replay or content guessing attacks.
- 「ナンス」フィールドは、リプレイやコンテンツ推測攻撃に対する追加の保護を提供するために使用され得ます。
- The 'requestTime' field MAY be used to indicate the time for which the requested service should be performed. For a vsd and cpkc service, it specifies the time for which the validity of a signed document or certicates is to be asserted. For the other service, the field is ignored by the DVCS. If the field is absent, the current time is assumed.
- 「たrequesttime」フィールドは、要求されたサービスが実行される時刻を示すために使用されるかもしれません。 VSDとcpkcサービスの場合は、署名された文書やcerticatesの妥当性がアサートされるべき時間を指定します。他のサービスでは、フィールドはDVCSによって無視されます。フィールドが存在しない場合は、現在の時刻が想定されます。
- The value of the 'requester' field indicates the requesting entity.
- 「依頼者」欄の値は、要求エンティティを示します。
The interpretation and usage of this field MUST be defined by the DVCS policy.
このフィールドの解釈と使用はDVCSポリシーによって定義されなければなりません。
Some usage examples are:
いくつかの使用例は以下のとおりです。
If the field is present, and the request is signed, a DVCS MAY require that the field MUST match the identity (subjectName or subjectAltName extension) of the corresponding signature certificate.
フィールドが存在し、そして要求が署名されている場合、DVCSは、フィールドが、対応する署名証明書の識別情報(サブジェクト名またはsubjectAltName拡張)と一致しなければならないことを要求することができます。
A request MAY be signed by a DVCS when relaying it to another DVCS.
別のDVCSに中継するとき、要求はDVCSによって署名されるかもしれません。
When acting as a relay, a DVCS MAY add its own identity in the request relayed to another service provider, and it MAY remove the initial value.
リレーとして動作する場合、DVCSは、別のサービスプロバイダに中継要求に独自のアイデンティティを追加することがあり、初期値を削除することができます。
- The 'requestPolicy' field SHOULD indicate the policy under which the validation is requested. This field MUST be checked by the DVCS to verify agreement with its own policy. The absence of this field indicates that any policy is acceptable.
- 「requestPolicy」フィールドは、検証が要求されているの下で政策を示すべきです。このフィールドは、独自のポリシーとの合意を確認するためにDVCSでチェックしなければなりません。このフィールドが存在しない場合は、いずれかのポリシーが受け入れ可能であることを示しています。
- The 'dvcs' field MAY be used to indicate a list of DVCS which can be contacted to provide (additional) information or to perform additional operations necessary to produce the response.
- 「DVCS」フィールドは、(追加の)情報を提供するために、または応答を生成するのに必要な追加の操作を実行するように接触させることができるDVCSのリストを示すために使用され得ます。
It is up to the DVCS policy whether to honor this field or not, and to define which choice of a general name is acceptable (e.g., an URL or a DN).
これは、このフィールドを称えるかどうか、および許容される一般的な名前のどの選択肢を定義するかどうかをDVCSの方針次第である(例えば、URLまたはDN)。
- The 'dataLocations' field MAY be used to indicate where a copy of the 'data' field of the request or supplementary information can be obtained. The DVCS does not use this field for its own operation, the exact interpretation of this field is defined by applications.
- 「dataLocations」フィールドは、要求または付帯情報の「データ」フィールドのコピーを得ることができる場所を示すために使用され得ます。 DVCSは、このフィールドの正確な解釈は、アプリケーションによって定義され、自身の動作のために、このフィールドを使用していません。
- The 'requestTime' field MAY be used to indicate the time for which the requested service should be performed. For a vsd and cpkc service, it specifies the time for which the validity of a signed document or certicates is to be asserted. For the other service, the field is ignored by the DVCS. If the field is absent, the current time is assumed. The DVCS service may have a time limit or a delta time limit regarding current time which are specified in the local policy of the DVCS service.
- 「たrequesttime」フィールドは、要求されたサービスが実行される時刻を示すために使用されるかもしれません。 VSDとcpkcサービスの場合は、署名された文書やcerticatesの妥当性がアサートされるべき時間を指定します。他のサービスでは、フィールドはDVCSによって無視されます。フィールドが存在しない場合は、現在の時刻が想定されます。 DVCSサービスは、時間制限やDVCSサービスのローカルポリシーで指定されている現在の時刻に関するデルタ時間制限を有していてもよいです。
- The 'extensions' field MAY be used to include additional information. Extensions may be marked critical or not in order to indicate whether the DVCS is supposed to understand them. This document does not define extensions.
- 「伸長」フィールドは、追加の情報を含めるために使用されるかもしれません。拡張機能は、重要かどうかDVCSは、それらを理解することになっているかどうかを示すためにマークされ得ます。この文書では、拡張を定義していません。
The DVCSRequest.data contains service-specific content, defined by each particular service provided by the DVCS.
DVCSRequest.dataはDVCSによって提供される各特定のサービスによって定義され、サービス固有のコンテンツを含みます。
Depending on the requested service type, the field may contain a signed document, a list of certificates, a message digest or arbitrary data.
要求されたサービスの種類に応じて、フィールドが署名された文書、証明書のリスト、メッセージダイジェストまたは任意のデータを含んでいてもよいです。
The following type is used:
以下のタイプが使用されます。
Data ::= CHOICE {
message OCTET STRING ,
messageImprint DigestInfo,
certs SEQUENCE SIZE (1..MAX) OF
TargetEtcChain
}
The requester fills the 'data' element as follows:
次のようにリクエスタは、「データ」の要素を埋めます:
- For a vsd service request, the requestor encapsulates a CMS SignedData object in the value octets of the 'message' choice.
- VSDサービス要求の場合、要求者は、「メッセージ」の選択肢の値のオクテットでCMS SignedDataオブジェクトをカプセル化します。
It is up to the requester to decide whether and how to provide any certificate that may be needed to verify the signature(s) in the signedData object. A requester MAY add certificates to the encapsulated signedData object or in the certificate list of the request.
これは、どのようSignedDataオブジェクトに署名(S)を検証するために必要とされ得る任意の証明書を提供するかどうかを決定するために要求者次第です。依頼者は、カプセル化されたsignedDataオブジェクトまたは要求の証明書リストに証明書を追加するかもしれません。
- For a cpkc service request the 'certs' choice is used.
- cpkcサービス要求のために「本命」選択が使用されています。
Each certificate to be verified MUST be included in a separate instance of TargetEtcChain. The 'TargetEtcChain.chain' field, if present, indicates one or more chains of trust that can be used to validate the certificate. The DVCS MAY choose to select a subset of certificates as certification path, or to ignore this field. The 'TargetEtcChain.pathProcInput' field, if present, indicates the acceptable policy set and initial settings for explicit-policy-indicator and inhibit-policy-mapping indicators to be used in X.509 public key certificate path validation (see [RFC2459]).
検証するために、各証明書は、TargetEtcChainの別のインスタンスに含まれなければなりません。 「TargetEtcChain.chain」フィールドは、存在する場合、証明書を検証するために使用することができ、信頼の1つの以上の鎖を示しています。 DVCSは、証明書パスとして証明書のサブセットを選択することを選択したり、このフィールドを無視します。 「TargetEtcChain.pathProcInput」フィールドは、存在する場合、明示的なポリシー・インジケータのために許容されるポリシー・セットと初期設定を示し、X.509公開鍵証明書パスの検証に使用される指標ポリシーマッピング阻害([RFC2459]を参照) 。
Only the Certificate, ESSCertId, CertId or Extension choices of the TargetEtcChain can be used in the request.
TargetEtcChainの証明書のみ、ESSCertId、CertIdまたは拡張の選択肢は、要求に使用することができます。
The requester is responsible for providing sufficient information to the DVCS to identify the corresponding certificates.
依頼者は、対応する証明書を識別するために、DVCSに十分な情報を提供する責任があります。
- For a ccpd service the 'messageImprint' choice is used.
- CCPDサービスについて「messageImprintチョイスが使用されています。
The hash algorithm indicated in the hashAlgorithm field SHOULD be a "strong" hash algorithm (that is, it SHOULD be one-way and collision resistant). It is up to the Data Certification Server to decide whether or not the given hash algorithm is sufficiently "strong" (based on the current state of knowledge in cryptanalysis and the current state of the art in computational resources, for example).
hashAlgorithmフィールドに示されているハッシュアルゴリズムは、「強い」ハッシュアルゴリズム(つまり、それが一方向と衝突耐性であるべきである)であるべきです。これは、与えられたハッシュアルゴリズムが十分に(暗号解析における知識の現在の状態と、例えば計算リソースにおける現在の最新技術に基づく)「強い」であるか否かを判断するために、データ認証サーバに任されています。
- For a cpd service the 'message' choice is used.
- CPDのサービスのために」というメッセージチョイスが使用されています。
The field contains requester-specific data with any type of content. The DVCS does not inspect, modify, or take any particular action based on the particular content of the 'message' field.
フィールドには、あらゆる種類のコンテンツを要求者固有のデータが含まれています。 DVCSは、検査、変更、または「メッセージ」欄の特定のコンテンツに基づいて特定のアクションを取ることはありません。
The field 'DVCSRequest.transactionIdentifier' MAY be used in order to associate DVCS responses containing error messages, to requests. For example, in a mail based environment, the parameter could be a copy of a messageid. Note, that the transactionIdentifier is not necessary for associating a request with a valid data validation certificate.
フィールドは「DVCSRequest.transactionIdentifierの要求に、エラーメッセージを含むDVCS応答を関連付けるために使用されるかもしれません。たとえば、メールベースの環境では、パラメータは、メッセージIDのコピーである可能性があります。 transactionIdentifierが有効なデータ検証証明書を使用して要求を関連付けるために必要ではないことに注意してください。
This chapters describes the data structures that are created by a DVCS to indicate the results of validation and certification requests.
この章では、検証および認証要求の結果を示すために、DVCSによって作成されたデータ構造を説明しています。
A DVCS Response structure is generated by the DVCS as a result of processing of the data validation and certification request.
DVCS応答構造は、データ検証および認証要求の処理の結果としてDVCSによって生成されます。
A Data Validation response contains an [RFC2630] ContentInfo with a type of id-ct-DVCSResponseData signalling a DVCSResponse structure.
データ検証応答はDVCSResponse構造シグナリングID-CT-DVCSResponseDataのタイプと[RFC2630] ContentInfoを含有します。
id-ct-DVCSResponseData OBJECT IDENTIFIER ::= { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) ct(1) 8 }
The data MAY be encapsulated by constructs of [RFC2630] in order to provide authentication of the DVCS, and or integrity and confidentiality of the request. This document specifies the usage of a SignedData construct of [RFC2630].
データはDVCSの認証を提供し、又は要求の完全性と機密性のために[RFC2630]の構築物によってカプセル化されてもよいです。この文書では、[RFC2630]のSignedDataの構築物の使用を指定します。
The contenttype indicated in the eContentType of the encapContentInfo is of type id-ct-DVCSResponseData, signalling a DVCSResponse as eContent of the encapContentInfo (carried as an octet string). The DVCS SHOULD use a key for which a corresponding certificate indicates in an extendedKeyUsage the purpose of DVCS signing.
encapContentInfoののeContentTypeに示されたContentTypeを(オクテットストリングとして運ば)encapContentInfoのe-コンテンツとしてDVCSResponseシグナリング、タイプID-CT-DVCSResponseDataです。 DVCSは、対応する証明書がextendedKeyUsageのにDVCSの署名の目的を指示するためのキーを使用すべきです。
In a critical situation when a DVCS cannot produce a valid signature (if the DVCS's signing key is known to be compromised, for example), the DVCSResponse, containing the error notification, MUST be generated as a signedData with no signerInfo attached. Receiving unsigned DVCSResponse MUST be treated by the clients as a critical and fatal error, and the content of the message should not be implicitly trusted.
(DVCSの署名鍵が危険にさらされることが知られている場合など)DVCSは、有効な署名を生成することができない重大な状況で、DVCSResponseは、エラー通知を含む、添付なしのSignerInfoと共にたsignedDataように生成されなければなりません。受信符号なしDVCSResponseは重大かつ致命的なエラーとしてクライアントによって処理されなければならない、とのメッセージの内容は、暗黙的に信頼するべきではありません。
A valid response can contain one of the following:
有効な応答は、次のいずれかを含めることができます。
1. A Data Validation Certificate (DVC), delivering the results of data validation operations, performed by the DVCS.
1. Aデータ検証証明書(DVC)、DVCSによって行われる、データ検証動作の結果を出します。
2. An error notification. This may happen when a request fails due to a parsing error, requester authentication failure, or anything else that prevented the DVCS from executing the request.
2.エラー通知。リクエストが原因解析エラー、依頼者の認証失敗、または要求を実行するからDVCSを妨げない何かに失敗した場合に発生することがあります。
The following type is used:
以下のタイプが使用されます。
DVCSResponse ::= CHOICE {
dvCertInfo DVCSCertInfo ,
dvErrorNote [0] DVCSErrorNotice }
A Data Validation Certificate is a signedData object containing a DVCSResponse with a 'dvCertInfo' choice.
データ検証証明書は、「dvCertInfo」選択とDVCSResponseを含むSignedDataオブジェクトです。
DVCSCertInfo::= SEQUENCE {
version Integer DEFAULT 1 ,
dvReqInfo DVCSRequestInformation,
messageImprint DigestInfo,
serialNumber Integer,
responseTime DVCSTime,
dvStatus [0] PKIStatusInfo OPTIONAL,
policy [1] PolicyInformation OPTIONAL,
reqSignature [2] SignerInfos OPTIONAL,
certs [3] SEQUENCE SIZE (1..MAX) OF
TargetEtcChain OPTIONAL,
extensions Extensions OPTIONAL }
The DVCSCertInfo structure is returned as a result of successful execution of data validation service. It contains the results of the data validation, a reference to the original request, and other parameters. Please note that 'successful execution' does not necessarily mean that the validation itself was successful - a DVCSCertInfo may contain both the 'valid' and 'invalid' results.
DVCSCertInfo構造は、データ検証サービスの実行が成功した結果として返されます。これは、データ検証、元の要求への参照、および他のパラメータの結果を含みます。 DVCSCertInfoは「有効」と「無効」の結果の両方が含まれていてもよい - 「正常な実行」は、必ずしも検証自体が成功したことを意味するものではありませんのでご注意ください。
The DVCS creates a DVCSCertInfo as follows:
次のようにDVCSはDVCSCertInfoを作成します。
- The 'version' field is never present in this version of the protocol.
- 「バージョン」フィールドは、プロトコルのこのバージョンに存在することはありません。
The 'dvReqInfo' is essentially a copy of the 'requestInformation' field of the corresponding request. The DVCS MAY modify the fields 'dvcs', 'requester', 'dataLocations', and 'nonce' of the ReqInfo structure, e.g., if the request was processed by a chain of DVCS, if the request needs to indicate DVCS, or to indicate where to find a copy of the data from a 'vpd' request. The only modification allowed to a 'nonce' is the inclusion of a new field if it was not present, or to concatenate other data to the end (right) of an existing value.
「dvReqInfo」は、本質的に対応する要求の「requestInformation」フィールドのコピーです。要求は要求がDVCSを示すために必要がある場合、またはに、DVCSの連鎖によって処理された場合DVCSは、例えば、フィールド「DVCS」、「依頼者」、「dataLocations」、およびReqInfo構造の「ナンス」を変更することができますどこVPDの要求からのデータのコピーを見つけるために示しています。それが存在していなかった、または既存の値の末尾(右側)に他のデータを連結する場合に「一回だけ」に許容のみ変更は、新しいフィールドを含めることです。
- The 'DVCSCertInfo.messageImprint' field is computed from the 'data' field of the corresponding request as follows:
- 以下のように「DVCSCertInfo.messageImprint」フィールドは、対応するリクエストの「データ」フィールドから計算されます。
For the 'certs' choice (the 'vpkc' service), the digest is computed over the DER encoded data value. For a 'message' choice (the 'vsd' and the 'vpd' services) the digest is computed over the value octets (not including tag and length octets) of the OCTET STRING. It is up to the DVCS to choose an appropriate digest algorithm.
「本命チョイス(「vpkc」サービス)のために、ダイジェストは、DER符号化されたデータ値にわたって計算されます。 「メッセージ」の選択肢(「VSD」と「VPD」サービス)のためのダイジェストは、オクテット文字列の(タグと長さオクテットを含まない)値オクテットにわたって計算されます。これは、適切なダイジェストアルゴリズムを選択するためにDVCS次第です。
For a 'messageImprint' choice (the 'vcpd' service), the 'messageImprint' of the DVCSRequest is copied as is.
「messageImprintチョイス(「vcpd」サービス)について、DVCSRequestの「messageImprintは」そのままコピーされます。
- The 'DVCSCertInfo.serialNumber' field contains a unique identifier of the request.
- 「DVCSCertInfo.serialNumber」フィールドは、要求の一意の識別子が含まれています。
- The field 'responseTime' indicates a time value associated with the response. The value MAY be a locally generated one, or a signed TimeStampToken (TST) or DVC obtained from an external service. Before using a value obtained from an external service, the DVCS must validate it according the rules of the external service.
- フィールド「RESPONSETIME」は、応答に関連付けられた時間値を示します。値は、ローカルに生成一つまたは外部サービスから取得した署名付きTimeStampTokenの(TST)またはDVCであるかもしれ。外部サービスから取得した値を使用する前に、DVCSは、外部サービスのルールに従ってそれを検証しなければなりません。
- The field 'DVCSCertInfo.dvStatus' reflects a collective result of the validation.
- フィールド「DVCSCertInfo.dvStatusは、」検証の集団的結果を反映しています。
If the field is missing, it is an equivalent of the SUCCESS status.
フィールドが欠落している場合、それはSUCCESS状態と同等です。
For a vkpc, if the status field is present and set to SUCCESS, it indicates that all certificates were successfully validated. If it is present and set to FAILED, it indicates that all or some of the certificates failed validation, and the specific status of the 'certs' should be investigated, at least one of the elements of the 'certs' TargetEtcChain structures MUST have a failure status.
ステータスフィールドが存在し、SUCCESSに設定されている場合vkpcのために、それはすべての証明書が正常に検証されたことを示しています。それが存在し、FAILEDに設定されている場合、それは証明書の全部または一部が検証に失敗したことを示し、「本命」の具体的な状況を調査する必要があり、「本命」TargetEtcChain構造の要素の少なくとも1つは持っている必要があります障害ステータス。
If the field 'dvStatus' does not indicate success ('granted' or 'granted with mods') the element 'failInfo' MAY indicate the reason for the failure. Note that the field 'certs' MAY contain additional information about verification failures.
フィールド「dvStatusが」成功(「許可された」または「改造を付与された」)の要素を示すものではありません「failInfo」の場合は、失敗の理由を示すこと。フィールド「本命」は、検証の失敗に関する追加情報が含まれている場合があります。
A failure of the verification of one of the signatures does not necessarily result in failing to validate a signed document. For example, as long as a sufficient number of signature was successfully verified, a DVC with status 'grantedWithMods' may be produced. A DVC with status 'granted' MUST only be produced if all signatures verified successfully.
署名の検証の失敗は、必ずしも署名された文書の検証に失敗をもたらしません。例えば、限り署名の十分な数が正常に検証されたように、状況にDVC「grantedWithMods」製造することができます。すべての署名が正常に確認した場合「許可された」状態とDVCにのみ生成されなければなりません。
The field MUST be present, and the status must be set to WAITING, if no final response can be immediately available. It is assumed that the DVCS provides an additional final status some time later. The details of the necessary procedures are part of the DVCS policy.
フィールドが存在しなければならない、と何の最終応答がすぐに利用可能になることはできません場合は、ステータスは、WAITINGに設定する必要があります。 DVCSは、いくつかの時間後に追加の最終ステータスを提供するものとします。必要な手順の詳細はDVCSポリシーの一部です。
In case of failure, the requester can further investigate the cause of the failure, by looking into the TargetEtcChain fields. 'CertEtctoken.pkistatus' fields will indicate which item(s) has failed or succeeded the validation and for what reason.
障害が発生した場合には、依頼者はさらにTargetEtcChainフィールドを調べて、失敗の原因を調査することができます。 「CertEtctoken.pkistatus」フィールドが表示されますどの項目を(s)は失敗したか検証し、どのような理由のために成功しました。
- The 'DVCSCertInfo.policy' field indicates the policy under which the DVCS operates.
- 「DVCSCertInfo.policy」フィールドはDVCSが動作する方針を示しています。
- If present, 'DVCSCertInfo.reqSignature' MUST be the same value as the signerInfos field of the corresponding request. It is a policy decision whether to include this field.
- 存在する場合、「DVCSCertInfo.reqSignature」は、対応する要求のsignerInfosフィールドと同じ値である必要があります。このフィールドを含めるかどうかを政策決定です。
- The 'DVCSCertInfo.certs' field contains the results of the verifications made by the DVCS. For the cpkc service, each element contains a copy of a corresponding field of the request with the selected subset in the targetAndChain subfield and the results of the verifications, and additional certificates or certificate references, e.g., from certification authorities or as described in appendix C.3. For a vsd service, each element contains the result of the validation of one signature of the signed document to be validated.
- 「DVCSCertInfo.certs」フィールドはDVCSによって行われた検証の結果が含まれています。 cpkcサービスのために、各要素はtargetAndChainサブフィールド及び検証の結果で選択されたサブセットを使用して要求の対応するフィールドのコピーを含み、認証機関から、または付録Cに記載されているような追加の証明書または証明書の参考文献、例えば、 0.3。 VSDサービスのために、各要素は、署名された文書の署名の検証の結果を検証することが含まれています。
In case of a global status of WAITING, the DVCS MAY choose to return an individual status of waiting in some of the 'certs' field, or not to return such a TargetEtcChain at all.
WAITINGの世界的な状況の場合、DVCSは「本命」フィールドの一部で待っているの個々の状態を返すことを選択したり、まったくそのようTargetEtcChainを返すことはありません。
The 'acceptablePolicySet' sequence indicates the policies and mappings that were processed during X.509 public key certificate path validation. PolicyMappingsSyntax is defined in [RFC2459].
「acceptablePolicySet」配列は、X.509公開鍵証明書パス検証中に処理されたポリシーとのマッピングを示します。 PolicyMappingsSyntaxは[RFC2459]で定義されています。
- The 'extensions' field MAY be used to return additional information to the client. Extensions MAY be marked critical or not in order to indicate whether the client MUST understand them. This document does not define extensions.
- 「伸長」フィールドは、クライアントに追加情報を返すために使用されるかもしれません。拡張機能は、重要かどうか、クライアントがそれらを理解しなければならないかどうかを示すためにマークされ得ます。この文書では、拡張を定義していません。
A DVCS Error Notification is a CMS signedData object containing a DVCSResponse with a 'dvErrorNote' choice.
DVCSのエラー通知は、「dvErrorNote」選択とDVCSResponseを含むCMS SignedDataオブジェクトです。
DVCSErrorNotice ::= SEQUENCE {
transactionStatus PKIStatusInfo ,
transactionIdentifier GeneralName OPTIONAL }
The PKIStatusInfo is defined in [RFC2511]. For the purposes of communicating the DVCSErrorNotice, the following subset of PKIFailureInfo values is used:
PKIStatusInfoは[RFC2511]で定義されています。 DVCSErrorNoticeを通信する目的のために、PKIFailureInfo値の次のサブセットが使用されます。
PKIFailureInfo ::= BITSTRING {
badRequest (2),
-- transaction not permitted or supported
badTime (3),
-- messageTime was not sufficiently close to the system time,
-- as defined by local policy
badDataFormat (5),
-- the data submitted has the wrong format
wrongAuthority (6),
-- the DVCS indicated in the request is different from the
-- one creating the response token
incorrectData (7)
--the requester's data (i.e., signature) is incorrect )
In the DVCSErrorNotice, the PKIStatus field of the PKIStatusInfo must be set to REJECTED.
DVCSErrorNoticeでは、PKIStatusInfoのPKIStatusフィールドは拒否に設定する必要があります。
The 'statusString' field of PKIStatusInfo can be used to accommodate extra text, such as a reason for the failure, for example "I have gone out of service". The DVCS initializes the 'DVCSErrorNotice.transactionIdentifier' with a copy of the 'DVCSRequest.transactionIdentifier' field of the corresponding request.
PKIStatusInfoの「statusString」フィールドは、たとえば、「私はサービスから出てきた」は、そのような失敗の理由として、余分なテキストを、対応するために使用することができます。 DVCSは、対応する要求の「DVCSRequest.transactionIdentifier」フィールドのコピーと「DVCSErrorNotice.transactionIdentifier」を初期化します。
In certain circumstances, a DVCS may not be able to produce a valid response to a request (for example, if it is unable to compute signatures for a period of time). In these situations the DVCS MAY create a response with an DVCSErrorNotice but no signature.
特定の状況では、DVCSは、(例えば、それは一定期間の署名を計算することができない場合)、要求への有効な応答を生成することができないかもしれません。このような状況ではDVCSはDVCSErrorNoticeとの応答が、無署名を作成することができます。
DVCS clients SHOULD NOT trust unsigned responses. A DVCS client MAY trust unsigned responses, if the communication channel provides for server authentication (e.g., by services defined by TLS [RFC2246]).
DVCSクライアントは、符号なしの応答を信用しないでください。通信チャネルは(TLS [RFC2246]で定義されたサービスにより、例えば)サーバ認証を提供する場合DVCSクライアントは、符号なしの応答を信頼するかもしれません。
There is no mandatory transport mechanism in this document. All mechanisms are optional. Two examples of transport protocols are given which allow online exchange of request and a response, and asynchronous communication between a client and a DVCS.
この文書には必須のトランスポートメカニズムはありません。すべてのメカニズムはオプションです。トランスポートプロトコルの2つの例は、リクエストとレスポンスのオンライン交換、およびクライアントとDVCSの間で非同期通信を可能にする与えられています。
A DVCS MAY use a combination of protocols, for example in order to return additional DVCs.
DVCSは、追加のDVCを返すために、たとえば、プロトコルの組み合わせを使用するかもしれません。
This subsection specifies a means for conveying ASN.1-encoded messages for the DVCS protocol exchanges via the HyperText Transfer Protocol.
ここでは、ハイパーテキスト転送プロトコルを介してDVCSプロトコル交換のためのASN.1符号化されたメッセージを搬送するための手段を指定します。
The DER encoded DVCS requests and responses are encapsulated using a simple MIME object with Content-Type application/dvcs (and with the default binary encoding).
DERはDVCS要求および応答をコンテンツタイプアプリケーション/ DVCSを有する単純なMIMEオブジェクトを使用して(及びデフォルトバイナリエンコーディングで)カプセル化され符号化されました。
This MIME object can be sent and received using common HTTP or HTTPS processing engines over WWW links and provides a simple client-server transport for DVCS messages.
このMIMEオブジェクトが送信され、受信した共通HTTPまたはHTTPS WWWリンク上の処理エンジンを使用してDVCSメッセージ用のシンプルなクライアント - サーバーのトランスポートを提供することができます。
This section specifies a means for conveying ASN.1-encoded messages for the protocol exchanges described in Section 8 via Internet mail.
このセクションでは、インターネットメールを介して、セクション8に記載のプロトコル交換のためのASN.1符号化されたメッセージを搬送するための手段を指定します。
The DER encoded DVCS requests and responses are encapsulated using a simple MIME object with Content-Type application/dvcs with an appropriate Content-Transfer-Encoding.
DERはDVCSの要求と応答が適切なコンテンツ転送エンコードでのContent-Typeアプリケーション/ DVCSを持つ単純なMIMEオブジェクトを使用してカプセル化されているエンコードされました。
This MIME object can be sent and received using MIME processing engines and provides a simple Internet mail transport for DVCS messages.
このMIMEオブジェクトは、送受信されたMIME処理エンジンを使用してDVCSメッセージ用のシンプルなインターネットメールトランスポートを提供することができます。
In order to be able to associate a possible error response with a request, the requester SHOULD use the field 'transactionIdentifier'. The requester SHOULD not make any assumption about the usage of message header fields by the responding service, in particular the usage of fields like Subject, Message-ID or References.
要求で可能なエラー応答を関連付けることができるようにするために、依頼者は、フィールド「transactionIdentifier」を使用すべきです。リクエスタが応答サービスによってメッセージヘッダフィールドの使用についての仮定を作るべきではない、特に件名、メッセージID、または参照などのフィールドの使用。
This entire chapter discusses security considerations.
この章全体ではセキュリティ上の考慮事項について説明します。
When designing a data validation and certification service, the following considerations have been identified that have an impact upon the validity or "trust" in the data validation certificate.
データの検証と認証サービスを設計するとき、次の考慮事項は、有効性やデータ検証証明書内の「信頼」への衝撃を持っていることが確認されています。
It is imperative that keys used to sign DVCs are guarded with proper security and controls in order to minimize the possibility of compromise. Nevertheless, in case the private key does become compromised, an audit trail of all the DVC generated by the DVCS SHOULD be kept as a means to help discriminate between genuine and false DVCs. A DVCS MAY provide for a vsd service to validate DVCs created by this DVCS or another one solely based on the audit trail.
のDVCに署名するために使用されるキーは、妥協の可能性を最小限にするために、適切なセキュリティとコントロールでガードされていることが不可欠です。秘密鍵が危険にさらされるようになるん場合にもかかわらず、DVCSによって生成されたすべてのDVCの監査証跡は、本物と偽のDVCを区別するのに役立つ手段として保たれるべきです。 DVCSは、このDVCSまたは単に監査証跡に基づいて別のものによって作成されたのDVCを検証するためのVSDのサービスを提供することができます。
When confidentiality and server authentication is required, requests and responses MAY be protected using appropriate mechanisms (e.g., CMS encapsulation [RFC 2630] or TLS [RFC2246]).
機密性とサーバー認証が必要な場合、要求と応答が適切なメカニズムを使用して保護されていてもよい(例えば、CMSカプセル化[RFC 2630]またはTLS [RFC2246])。
Server authentication is highly recommended for the vsd and cpd service.
サーバー認証は非常にVSDとCPDサービスのために推奨されます。
Client identification and authentication MAY use services defined by TLS [RFC2246]) instead of, or in addition to, using a CMS format providing authentication.
クライアント識別および認証は、認証を提供するCMS形式を使用して、代わりに、またはそれに加えてTLS [RFC2246]で定義されたサービス)を使用することができます。
The following United States Patents related to data validation and certification services, listed in chronological order, are known by the authors to exist at this time. This may not be an exhaustive list. Other patents may exist or be issued at any time. Implementers of the DVCS protocol and applications using the protocol SHOULD perform their own patent search and determine whether or not any encumberences exist on their implementation.
年代順にリストされているデータの検証と認証サービスに関連する以下の米国特許は、この時点で存在する著者が知られています。これは完全なリストではないかもしれません。他の特許は存在したり、任意の時点で発行されます。プロトコルを使用してDVCSプロトコルとアプリケーションの実装は、独自の特許検索を実行し、任意encumberencesは、それらの実装に存在するか否かを決定する必要があります。
# 4,309,569 Method of Providing Digital Signatures (issued) January 5, 1982 (inventor) Ralph C. Merkle (assignee) The Board of Trustees of the Leland Stanford Junior University
デジタル署名(発行)1982年1月5日(発明者)ラルフ・C.マークル(譲受人)リーランド・スタンフォードジュニア大学の理事会を提供する#4309569方法
# 5,001,752 Public/Key Date-Time Notary Facility (issued) March 19, 1991 (inventor) Addison M. Fischer
#5001752公開/キー日付・時刻公証施設(発行)1991年3月19日(発明者)アディソンM.フィッシャー
# 5,022,080 Electronic Notary (issued) June 4, 1991 (inventors) Robert T. Durst, Kevin D. Hunter
#5022080電子公証人(発行)1991年6月4日(発明者)ロバート・T.ダースト、ケビン・D.ハンター
# 5,136,643 Public/Key Date-Time Notary Facility (issued) August 4, 1992 (inventor) Addison M. Fischer (Note: This is a continuation of patent # 5,001,752.)
#5136643公開/キー日付・時刻公証人のファシリティ(発行)1992年8月4日(発明者)アディソンM.フィッシャー(注:これは、特許#5001752の続きです。)
# 5,136,646 Digital Document Time-Stamping with Catenate Certificate (issued) August 4, 1992 (inventors) Stuart A. Haber, Wakefield S. Stornetta Jr. (assignee) Bell Communications Research, Inc.,
#5136646 CATENATE証明書(発行)1992年8月4日(発明者)スチュアートA.ハーバー、ウェークフィールドS. Stornetta・ジュニア(譲受人)ベルコミュニケーションズ・リサーチ社とデジタル文書のタイムスタンプ、
# 5,136,647 Method for Secure Time-Stamping of Digital Documents (issued) August 4, 1992 (inventors) Stuart A. Haber, Wakefield S. Stornetta Jr. (assignee) Bell Communications Research, Inc.,
セキュアデジタル文書のタイムスタンプ(発行)1992年8月4日(発明者)スチュアートA.ハーバー、ウェークフィールドS. Stornetta・ジュニア(譲受人)ベルコミュニケーションズリサーチ社、用#5136647方法
# 5,373,561 Method of Extending the Validity of a Cryptographic Certificate (issued) December 13, 1994 (inventors) Stuart A. Haber, Wakefield S. Stornetta Jr. (assignee) Bell Communications Research, Inc.,
暗号化証明書(発行)1994年12月13日(発明者)スチュアートA.ハーバー、ウェークフィールドS. Stornetta・ジュニア(譲受人)ベルコミュニケーションズリサーチ、Inc.の妥当性を拡張する#5373561方法、
# 5,422,95 Personal Date/Time Notary Device (issued) June 6, 1995 (inventor) Addison M. Fischer
#5,422,95パーソナル日付/時刻公証デバイス(発行)1995年6月6日(発明者)アディソンM.フィッシャー
# 5,781,629 Digital Document Authentication System (issued) July 14, 1998 (inventor) Stuart A. Haber, Wakefield S. Stornetta Jr. (assignee) Surety Technologies, Inc.,
#5781629デジタル文書認証システム(発行)1998年7月14日(発明者)スチュアートA.ハーバー、ウェークフィールドS. Stornetta・ジュニア(譲受人)保証人Technologies社、
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119]ブラドナーの、S.、 "要件レベルを示すためにRFCsにおける使用のためのキーワード"、BCP 14、RFC 2119、1997年3月。
[RFC2510] Adams, C. and S. Farrell, "Internet X.509 Public Key Infrastructure, Certificate Management Protocols", RFC 2510, March 1999.
[RFC2510]アダムス、C。およびS.ファレル、 "インターネットX.509公開鍵インフラストラクチャ、証明書管理プロトコル"、RFC 2510、1999年3月。
[RFC2459] Housley, R., Ford, W., Polk, W. and D. Solo, "Internet X.509 Public Key Infrastructure, Certificate and CRL Profile", RFC 2459, January 1999.
[RFC2459] Housley氏、R.、フォード、W.、ポーク、W.およびD.ソロ、 "インターネットX.509公開鍵インフラストラクチャ、証明書とCRLプロファイル"、RFC 2459、1999年1月。
[RFC2630] Housley, R., "Cryptographic Message Syntax", RFC 2630, June 1999.
[RFC2630] Housley氏、R.、 "暗号メッセージ構文"、RFC 2630、1999年6月。
[ISONR] ISO/IEC 10181-5: Security Frameworks in Open Systems. Non-Repudiation Framework.
[ISONR] ISO / IEC 10181から5:オープンシステムのセキュリティフレームワーク。否認防止の枠組み。
[RFC2119] Bradner, S., "Key works for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119]ブラドナーの、S.、 "キーが要件レベルを示すためにRFCでの使用のために働く"、BCP 14、RFC 2119、1997年3月。
[RFC2511] Myers, M., Adams, C., Solo, D. and D. Kemp, "Internet X.509 Certificate Request Message Format", RFC 2511, March 1999.
[RFC2511]マイヤーズ、M.、アダムス、C.、ソロ、D.とD.ケンプ、 "インターネットX.509証明書要求メッセージ・フォーマット"、RFC 2511、1999年3月。
[RFC2246] Dierks, T. and C. Allen, "The TLS Protocol, Version 1.0", RFC 2246, January 1999.
[RFC2246]ダークス、T.とC.アレン、 "TLSプロトコル、バージョン1.0"、RFC 2246、1999年1月。
[RFC2634] Hoffman P., "Enhanced Security Services for S/MIME", RFC 2634, June 1999.
[RFC2634]ホフマンP.、 "S / MIMEのためのセキュリティサービスの強化"、RFC 2634、1999年6月。
[RFC2560] Myers, M., Ankney, R., Malpani, A., Galperin, S. and C. Adams, "X.509 Internet Public Key Infrastructure Online Certificate Status Protocol", RFC 2560, June 1999.
[RFC2560]マイヤーズ、M.、Ankney、R.、Malpani、A.、Galperin、S.とC.アダムス、 "X.509のインターネット公開鍵暗号基盤のオンライン証明書状態プロトコル"、RFC 2560、1999年6月。
Carlisle Adams Entrust Technologies 1000 Innovation Drive Ottawa, Ontario K2K 3E7 CANADA
カーライルアダムスエントラストテクノロジーズ1000年イノベーションドライブオタワ、オンタリオ州K2K 3E7 CANADA
EMail: cadams@entrust.com
メールアドレス:cadams@entrust.com
Michael Zolotarev Baltimore Technologies Pty Limited 5th Floor, 1 James Place North Sydney, NSW 2060 AUSTRALIA
マイケルZolotarevボルチモアテクノロジーズのPtyリミテッド5階、1ジェームスプレイスノースシドニー、NSW 2060 AUSTRALIA
EMail: mzolotarev@baltimore.com
メールアドレス:mzolotarev@baltimore.com
Peter Sylvester EdelWeb SA - Groupe ON-X Consulting 15, Quai de Dion Bouton F-92816 Puteaux Cedex FRANCE
ピーターシルベスターEdelweb SA - ON-Xコンサルティンググループ15、ケ・ド・ディオンブートン92816ピュトーCedexのF-FRANCE
EMail: peter.sylvester@edelweb.fr
メールアドレス:peter.sylvester@edelweb.fr
Robert Zuccherato Entrust Technologies 1000 Innovation Drive Ottawa, Ontario K2K 3E7 CANADA
ロバートZuccheratoエントラストテクノロジーズ1000年イノベーションドライブオタワ、オンタリオ州K2K 3E7 CANADA
EMail: robert.zuccherato@entrust.com
メールアドレス:robert.zuccherato@entrust.com
APPENDIX A - PKCS #9 Attribute
付録A - PKCS#9属性
We define a PKCS #9 [PKCS9] attribute type. The attribute type has ASN.1 type SignedData and contains a data validation certificate.
私たちは、PKCS#9 [PKCS9]属性タイプを定義します。属性タイプはASN.1タイプのSignedDataを持ち、データ検証証明書が含まれています。
The object identifier id-aa-dvcs-dvc identifies the data validation certificate attribute type.
オブジェクト識別子ID-AA-DVCS-DVCは、データ検証証明書属性タイプを識別する。
id-aa-dvcs-dvc OBJECT IDENTIFIER ::= {iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) aa(2) 29}
The attribute may be used as an authenticated or unauthenticated attribute in CMS SignedData documents.
属性には、CMSのSignedData文書の認証済みまたは認証されていない属性として使用することができます。
APPENDIX B - Signed document validation.
付録B - 文書の検証を締結。
We present some examples of a possible use of DVCS in the context of validation of signed documents.
私たちは、署名した文書の検証の文脈におけるDVCSの可能な使用のいくつかの例を提示します。
B.1 Signed document validation
B.1署名された文書の検証
The example covers the case where a DVCS is used by a signer to obtain a proof that a document's structure, including one or more attached signatures, is/was correct, after the document was signed.
例えば、1つまたは複数の添付の署名を含むDVCSは、文書の構造証拠を得るために署名者によって使用された場合に、カバー文書が署名された後、/、正しかったれます。
The DVC can be produced either by a DVCS that is trusted by the signer, or by a DVCS that is trusted by an intended verifier of the document.
DVCは、署名者によって信頼されているDVCSによって、または文書の意図された検証者によって信頼されているDVCSのいずれかによって製造することができます。
The signer uses the obtained DVC as an evidence that its intentions were good and it produced a signed document using the environment(keys, algorithms, etc) that was known to be OK.
署名者は、その意図は良好であり、それがOKであることが知られていた環境(鍵、アルゴリズムなど)を使用して署名された文書を生成することを証拠として得DVCを使用します。
It produces a stand-alone document that can be used to extend the life of a signature. This example assumes that we have total trust in the Data Validation and Certification Server.
これは、署名の寿命を延長するために使用することができ、スタンドアロンのドキュメントを生成します。この例では、我々はデータの検証と認証サーバーの総信頼を持っていることを前提としています。
Signature algorithms and keys have a finite lifetime. Therefore, signatures have a finite lifetime. The Data Certification Server can be used to extend the lifetime of a signature.
署名アルゴリズムとキーが有限の寿命を持っています。そのため、署名は有限の寿命を持っています。データ認証サーバは、署名の有効期間を延長するために使用することができます。
In order to extend the lifetime of a signature in this way, the following technique can be used:
このように署名の寿命を延長するために、以下の技術を使用することができます。
1) The signature needs to be certified:
1)署名が認定される必要があります。
The signed message is presented to the Data Validation and Certification Server in a 'vsd' service request.
署名されたメッセージは、「VSD」のサービス要求でのデータの検証と認証サーバーに提示されます。
The DVCS verifies that the signature and certificates are valid at that time by checking expiry dates, status information, or DVCs, and returns a DVC.
DVCSは、署名と証明書は、有効期限、ステータス情報、またはのDVCをチェックすることにより、その時点で有効であることを確認し、DVCを返します。
2) The DVC SHOULD be verified.
2)DVCを確認してください。
The signature of the Data Validation and Certification Server in data certification token SHALL be verified using the Data Certification Server's valid verification key.
データ認証トークン内のデータの検証の署名および認証サーバは、データの認証サーバーの有効な検証鍵を使って検証しなければなりません。
A signer's signing key (and therefore, its signature) is only valid until some specified time T1. The DVCS's signing key (and therefore, its signature) is valid until some specified time T2 that is (usually) after time T1. Without certification, the signer's signature would only be valid until time T1. With certification, the signer's signature remains valid until time T2, regardless of subsequent revocation or expiry at time T1.
署名者の署名鍵(したがって、その署名は)いくつかの指定された時間T1までにのみ有効です。 DVCSの署名キー(したがって、その署名は)時間T1後に(通常)で、いくつかの指定された時間T2まで有効です。認証がなければ、署名者の署名が唯一の時間T1まで有効になります。認証では、署名者の署名は関係なく、時刻T1以降の取消または失効の、時間T2まで有効のままです。
If the signature of the DVCS is valid, the trust we have in the DVCS allows us to conclude that the original signature on the data was valid at the time included in the DVC.
DVCSの署名が有効である場合、DVCSで私たちが持っている信頼は、私たちは、データ上の元の署名がDVCに含ま時点で有効であったと結論することができます。
The DVCS signing key MUST be of a sufficient length to allow for a sufficiently long lifetime. Even if this is done, the key will have a finite lifetime. Since data validation certificates are just another type of signed documents, they can be validated using (another) DVCS.
DVCSの署名鍵は、十分に長い寿命を可能にするのに十分な長さでなければなりません。これが行われた場合でも、鍵が有限の寿命を持つことになります。データ検証証明書が署名した文書のちょうど別のタイプなので、彼らは(別の)DVCSを使用して検証することができます。
APPENDIX C - Verifying the Status of a Public Key Certificate
付録C - 公開鍵証明書のステータスの確認
We now present three examples of how to produce a data validation certificate that can be used to assert that a public key certificate is valid, trusted, and can be used for a particular purpose.
私たちは、信頼できる、公開鍵証明書が有効であることを主張するために使用することができ、かつ特定の目的のために使用することができるデータ検証証明書を生成する方法の今存在する3つの例。
A client wants to use a given public key certificate either to use it to verify a signature on a document or to use it for document encryption.
クライアントは、文書に署名を検証するためにそれを使用するか、文書の暗号化のためにそれを使用するか指定された公開鍵証明書を使用したいです。
A DVCS MUST have access to current information regarding public certificate status, it can therefore be used to verify the revocation status of a certificate at the current time.
DVCSは、パブリック証明書のステータスに関する現在の情報にアクセスしなければならない、それゆえ、現在の時点での証明書の失効ステータスを確認するために使用することができます。
The following technique can be used:
以下の技術を使用することができます。
A) The public key certificate needs to be validated.
A)公開鍵証明書を検証する必要があります。
The certificate is presented to the Data Certification Server using a 'vpkc' service.
証明書は、「vpkc」サービスを使用して、データ認証サーバーに提示されます。
The Data Validation and Certification Server verifies that the public key certificate is valid and that it hasn't been revoked and then returns a data validation certificate.
データの検証と認証サーバの公開鍵証明書が有効であることを確認し、それが取り消されていないことをして、データ検証証明書を返します。
B) The data validation certificate MUST be verified.
B)データ検証証明書が検証されなければなりません。
The signature of the Data Certification Server in the data certification token SHALL be verified using the Data Validation and Certification Server's valid certificate.
データ認証トークンのデータ認証サーバの署名は、データの検証と認証サーバーの有効な証明書を使用して検証しなければなりません。
C) The public key certificate is used:
C)公開鍵証明書が使用されます。
C.1) A clients's own public key certificate (i.e., the corresponding private key) can be used to add a signature to a document. The signing certificate and the data validation certificate can be added as signed attributes to the signature.
C.1)Aクライアント自身の公開鍵証明書(すなわち、対応する秘密鍵)は、文書に署名を追加するために使用することができます。署名証明書とデータ検証証明書は、署名に署名された属性として付加することができます。
A data validation certificate can now be used during the
validation signatures using the key contained in the public key
certificate. This service provided by the DVCS can be thought
of as a supplement to the usual method of checking revocation
status.
In other words, signature validation at a later time does not necessarily require access to the revocation status of the user's signing certificate, access to a DVCS service and validation of the DVC is sufficient to verify a signature. Note that the DVC does not tell when the signature had been created, it only indicates when the signing certificate was valid.
言い換えれば、後で署名の検証が必ずしもユーザーの署名証明書の失効ステータスへのアクセスを必要としない、DVCのDVCSサービスと検証へのアクセスは、署名を検証するのに十分です。署名証明書が有効であったとき、署名が作成されていたとき、DVCは教えてくれないことに注意してください、それだけを示しています。
C.2) A public key certificate for key exchange can be used after having obtained a data validation certification certificate to encrypt data. The DVC can be stored with the data and/or stored by the creator of the encrypted document.
C.2)鍵交換のための公開鍵証明書は、データを暗号化するデータ検証認定証明書を取得した後に使用することができます。 DVCは、データを保存および/または暗号化された文書の作成者によって保存することができます。
If an intended recipient of the document claims that the creator
did not use an appropriate encryption key, the DVC (obtained by
a recipient's DVCS) can be used as evidence that the recipient's
DVCS has authorized the usage of the public key.
C.3) The procedure described in the previous paragraph can be enhanced to provide domain encryption in several ways. Organizations require that encrypted documents need to be recoverable. One simple way is to always encrypt documents with additional recipients that act as 'domain encryption centers' or 'recovery centers'. This is not a technically difficult problem, but may require complicated and difficult interactions with the end user, in particular when the document's recipients are in several different organizations.
C.3)前の段落で説明する手順は、いくつかの方法でドメインの暗号化を提供するように拡張することができます。組織は暗号化された文書が回復する必要があることが必要です。一つの簡単な方法は、常に「ドメインの暗号化センター」または「リカバリーセンター」として機能し、追加の受信者との文書を暗号化することです。これは技術的に難しい問題ではありませんが、文書の受信者は、いくつかの異なる組織にある場合、複雑かつ困難なエンドユーザーとの相互作用、特に必要な場合があります。
One possible solution consists of adding additional certificates
to the dvc that validates the usage of a particular public key
certificate used for encryption. In an environment of several
organizations, one of the possible procedures may be:
The client asks its local dvcs to validate the public key certificate. The dvcs forwards the request to a dvcs of a remote organization. The remotes organization's dvcs verifies the certificate and provides a dvc assertion validating the certificate. It adds additional certificates usable for key exchange to the certEtcChain structure indicating additional required recipients. The local dvc creates a dvc containing the dvc of the remote dvcs. It may add additional certificates or references to the dvc. The clients use all validated certificates to be usable for key exchange to enhance its list of recipients.
クライアントは、公開鍵証明書を検証するために、そのローカルDVCSを要求します。 DVCSは、リモート組織のDVCSに要求を転送します。リモコンの組織のDVCSは、証明書を検証し、証明書を検証DVCアサーションを提供します。これは、必要な追加の受信者を示すcertEtcChain構造への鍵交換のために使用可能な追加の証明書を追加します。ローカルDVCは、リモートDVCSのDVCを含むDVCを作成します。これは、DVCに追加の証明書または参照を追加することがあります。クライアントは、受信者のリストを高めるための鍵交換のために使用できるように、すべての検証済みの証明書を使用します。
In the local dvcs may as well use local information about the remote organization's need for additional recipients.
地元のDVCSでも追加の受信者のための遠隔組織の必要性についてのローカル情報を使用することができます。
Appendix D - MIME Registration
付録D - MIME登録
To: ietf-types@iana.org Subject: Registration of MIME media type application/timestamp
To:ietf-types@iana.org件名:MIMEメディアタイプapplication /タイムスタンプの登録
MIME media type name: application
MIMEメディアタイプ名:application
MIME subtype name: dvcs
MIMEサブタイプ名:DVCS
Required parameters: None
必須パラメータ:なし
Optional parameters: None
オプションのパラメータ:なし
Encoding considerations: binary or Base64
エンコードの考慮事項:バイナリまたはBase64で
Security considerations: Carries a request for a data validation and certification service and the response. A request may be cryptographically signed. The response will be cryptographically signed.
セキュリティの考慮事項:データの検証と認証サービスおよび応答の要求を運びます。要求は、暗号署名されてもよいです。応答は、暗号署名されます。
Interoperability considerations: None
相互運用性に関する注意事項:なし
Published specification: RFC 3029 on Data Validation and Certification Server Protocols
公開された仕様:RFC 3029データの検証と認証サーバプロトコルに
Applications which use this media type: Data Validation and Certification Servers and Clients
このメディアタイプを使用するアプリケーション:データの検証と認証サーバーとクライアント
Additional information:
追加情報:
Magic number(s): None File extension(s): .dvc Macintosh File Type Code(s): none
マジックナンバー(S):なしファイルの拡張子(S):.dvcマッキントッシュファイルタイプコード(S):なし
Person & email address to contact for further information: Peter Sylvester <peter.sylvester@edelweb.fr>
人とEメールアドレスは、詳細のために連絡する:ピーター・シルベスター<peter.sylvester@edelweb.fr>
Intended usage: COMMON
意図している用法:COMMON
Author/Change controller: Peter Sylvester <peter.sylvester@edelweb.fr>
著者/変更コントローラ:ピーター・シルベスター<peter.sylvester@edelweb.fr>
Appendix E - ASN.1 Module using 1988 Syntax
付録E - 1988構文を使用してASN.1モジュール
PKIXDVCS {iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) id-mod-dvcs(15)}
PKIXDVCS {ISO(1)同定された組織(3)DOD(6)インターネット(1)セキュリティ(5)メカニズム(5)PKIX(7)ID-MOD(0)ID-MOD-DVCS(15)}
DEFINITIONS IMPLICIT TAGS ::=
BEGIN
ベギン
-- EXPORTS ALL --
- すべてのエクスポート -
IMPORTS Extensions, AlgorithmIdentifier FROM PKIX1Explicit88 {iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) id-pkix1-explicit-88(1)}
輸入拡張、PKIX1Explicit88 FROMのAlgorithmIdentifier {ISO(1)同定された組織(3)DOD(6)インターネット(1)セキュリティ(5)メカニズム(5)PKIX(7)ID-MOD(0)ID-pkix1-明示88 (1)}
GeneralName, PolicyInformation FROM PKIX1Implicit88 {iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) id-pkix1-implicit-88(2)}
GeneralName、PKIX1Implicit88 FROM PolicyInformation {ISO(1)同定された組織(3)DOD(6)インターネット(1)セキュリティ(5)メカニズム(5)PKIX(7)ID-MOD(0)ID-pkix1-暗黙-88( 2)}
PKIStatusInfo, PKIStatusField FROM PKIXCMP {iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) id-mod-cmp(9)}
PKIStatusInfo、PKIStatusField PKIXCMP FROM {ISO(1)同定された組織(3)DOD(6)インターネット(1)セキュリティ(5)メカニズム(5)PKIX(7)ID-MOD(0)ID-MOD-CMP(9) }
ContentInfo FROM CryptographicMessageSyntax {iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) modules(0) cms(1)}
暗号メッセージ構文FROM ContentInfo {ISO(1)部材本体(2)米国(840)RSADSI(113549)PKCS(1)PKCS-9(9)SMIME(16)モジュール(0)CMS(1)}
ESSCertID FROM ExtendedSecurityServices { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) modules(0) ess(2) }
ESSCertID ExtendedSecurityServices FROM {ISO(1)部材本体(2)米国(840)RSADSI(113549)PKCS(1)PKCS-9(9)SMIME(16)モジュール(0)ESS(2)}
CertId, OCSPResponse, CertStatus FROM OCSP {iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) id-mod-ocsp(14)}
CertId、OCSP FROM OCSPResponse、にCertStatus {ISO(1)同定された組織(3)DOD(6)インターネット(1)セキュリティ(5)メカニズム(5)PKIX(7)ID-MOD(0)ID-MOD-OCSP( 14)}
SMIMECapabilities FROM SecureMimeMessageV3 { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) modules(0) smime(4) }
SecureMimeMessageV3 FROM SMIMEケーパビリティ{ISO(1)部材本体(2)米国(840)RSADSI(113549)PKCS(1)PKCS-9(9)SMIME(16)モジュール(0)SMIME(4)}
;
;
-- Authority Information Access for DVCS
- DVCSのための機関情報アクセス
id-ad-dvcs OBJECT IDENTIFIER ::= {id-pkix id-ad(48) 4}
-- Key Purpose for DVCS
- DVCSのための主要な目的
id-kp-dvcs OBJECT IDENTIFIER ::= {id-pkix id-kp(3) 10}
-- eContentType for a dvcs requests and responses
- DVCS要求と応答のためのeContentType
id-ct-DVCSRequestData OBJECT IDENTIFIER ::= { id-smime ct(1) 7 }
id-ct-DVCSResponseData OBJECT IDENTIFIER ::= { id-smime ct(1) 8 }
-- Data validation certificate attribute
- データ検証証明書の属性
id-aa-dvcs-dvc OBJECT IDENTIFIER ::= { id-smime aa(2) 29 }
-- using the following bases :
- 以下の塩基を用います:
id-pkix OBJECT IDENTIFIER ::= {iso(1)
identified-organization(3) dod(6)
internet(1) security(5) mechanisms(5) pkix(7)}
id-smime OBJECT IDENTIFIER ::= { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) 16 }
Version ::= Integer
DigestInfo ::= SEQUENCE {
digestAlgorithm DigestAlgorithmIdentifier,
digest Digest
}
Digest ::= OCTET STRING
Nonce ::= Integer
DVCSTime ::= CHOICE {
genTime GeneralizedTime,
timeStampToken ContentInfo
}
TargetEtcChain ::= SEQUENCE {
target CertEtcToken,
chain SEQUENCE SIZE (1..MAX) OF
CertEtcToken OPTIONAL,
pathProcInput [0] PathProcInput OPTIONAL
}
PathProcInput ::= SEQUENCE {
acceptablePolicySet SEQUENCE SIZE (1..MAX) OF
PolicyInformation,
inhibitPolicyMapping BOOLEAN DEFAULT FALSE,
explicitPolicyReqd BOOLEAN DEFAULT FALSE
}
CertEtcToken ::= CHOICE {
certificate [0] IMPLICIT Certificate ,
esscertid [1] ESSCertId ,
pkistatus [2] IMPLICIT PKIStatusInfo ,
assertion [3] ContentInfo ,
crl [4] IMPLICIT CertificateList,
ocspcertstatus [5] IMPLICIT CertStatus,
oscpcertid [6] IMPLICIT CertId ,
oscpresponse [7] IMPLICIT OCSPResponse,
capabilities [8] SMIMECapabilities,
extension Extension
}
DVCSRequestInformation ::= SEQUENCE {
version INTEGER DEFAULT 1 ,
service ServiceType,
nonce Nonce OPTIONAL,
requestTime DVCSTime OPTIONAL,
requester [0] GeneralNames OPTIONAL,
requestPolicy [1] PolicyInformation OPTIONAL,
dvcs [2] GeneralNames OPTIONAL,
dataLocations [3] GeneralNames OPTIONAL,
extensions [4] IMPLICIT Extensions OPTIONAL
}
ServiceType ::= ENUMERATED { cpd(1), vsd(2), cpkc(3), ccpd(4) }
DVCSRequest ::= SEQUENCE {
requestInformation DVCSRequestInformation,
data Data,
transactionIdentifier GeneralName OPTIONAL
}
Data ::= CHOICE {
message OCTET STRING ,
messageImprint DigestInfo,
certs SEQUENCE SIZE (1..MAX) OF
TargetEtcChain
}
DVCSResponse ::= CHOICE
{
dvCertInfo DVCSCertInfo ,
dvErrorNote [0] DVCSErrorNotice
}
DVCSCertInfo::= SEQUENCE {
version Integer DEFAULT 1 ,
dvReqInfo DVCSRequestInformation,
messageImprint DigestInfo,
serialNumber Integer,
responseTime DVCSTime,
dvStatus [0] PKIStatusInfo OPTIONAL,
policy [1] PolicyInformation OPTIONAL,
reqSignature [2] SignerInfos OPTIONAL,
certs [3] SEQUENCE SIZE (1..MAX) OF
TargetEtcChain OPTIONAL,
extensions Extensions OPTIONAL
}
DVCSErrorNotice ::= SEQUENCE {
transactionStatus PKIStatusInfo ,
transactionIdentifier GeneralName OPTIONAL
}
END
終わり
Appendix F - Examples
付録F - 例
This chapter contains an example of a request and a response of a 'Certify Claim of Possession of Data' transaction of the Clepsydre Demonstration Project sponsored by La Poste, France.
この章では、要求とラポステ、フランスが主催Clepsydre実証プロジェクトのトランザクション「データの所有の動作保証クレーム」の応答の例が含まれています。
The information has been formatted with a slightly modified version of Peter Gutmann's dumpasn1 program.
情報は、ピーター・ガットマンのdumpasn1プログラムを少し変更したバージョンでフォーマットされています。
The response Data Validation Certificate contains the signing certificate.
レスポンスデータ検証証明書は、署名証明書が含まれています。
The data that are time stamped is the binary of the client program used to make the request.
時間がスタンプされたデータは、要求を行うために使用されるクライアントプログラムのバイナリです。
Request:
要求:
0 30 582: SEQUENCE {
4 06 9: OBJECT IDENTIFIER signedData (1 2 840 113549 1 7 2)
: . (PKCS #7)
15 A0 567: [0] {
19 30 563: . SEQUENCE {
23 02 1: . INTEGER 3
26 31 11: . SET {
28 30 9: . . SEQUENCE {
30 06 5: . . OBJECT IDENTIFIER sha1 (1 3 14 3 2 26)
37 05 0: . . NULL
: . . }
: . . }
39 30 153: . SEQUENCE {
42 06 11: . . OBJECT IDENTIFIER
: . . id-ct-DVCSRequestData (1 2 840 113549 1 9 16 1 7)
: . . (S/MIME Content Types (1 2 840 113549 1 9 16 1))
55 A0 137: . . [0] {
58 04 134: . . OCTET STRING, encapsulates {
61 30 131: . . . SEQUENCE {
64 30 96: . . . . SEQUENCE {
66 0A 1: . . . . ENUMERATED CCPD (4)
69 A0 77: . . . . [0] {
71 A4 75: . . . . . [4] {
73 30 73: . . . . . SEQUENCE {
75 31 11: . . . . . . SET {
77 30 9: . . . . . . SEQUENCE {
79 06 3: . . . . . . . OBJECT IDENTIFIER
: . . . . . . . countryName (2 5 4 6)
: . . . . . . . (X.520 id-at (2 5 4))
84 13 2: . . . . . . . PrintableString 'FR'
: . . . . . . . }
: . . . . . . }
88 31 14: . . . . . . SET {
90 30 12: . . . . . . SEQUENCE {
92 06 3: . . . . . . . OBJECT IDENTIFIER
: . . . . . . . localityName (2 5 4 7)
: . . . . . . . (X.520 id-at (2 5 4))
97 13 5: . . . . . . . PrintableString 'Paris'
: . . . . . . . }
: . . . . . . }
104 31 16: . . . . . . SET {
106 30 14: . . . . . . SEQUENCE {
108 06 3: . . . . . . . OBJECT IDENTIFIER
: . . . . . . . organizationName (2 5 4 10)
: . . . . . . . (X.520 id-at (2 5 4))
113 13 7: . . . . . . . PrintableString 'EdelWeb'
: . . . . . . . }
: . . . . . . }
122 31 24: . . . . . . SET {
124 30 22: . . . . . . SEQUENCE {
126 06 3: . . . . . . . OBJECT IDENTIFIER
: . . . . . . . commonName (2 5 4 3)
: . . . . . . . (X.520 id-at (2 5 4))
131 13 15: . . . . . . . PrintableString 'Peter Sylvester'
: . . . . . . . }
: . . . . . . }
: . . . . . . }
: . . . . . }
: . . . . . }
148 A1 12: . . . . [1] {
150 06 10: . . . . . OBJECT IDENTIFIER '1 3 6 1 4 1 5309 1 2 1'
: . . . . . }
: . . . . }
162 30 31: . . . . SEQUENCE {
164 30 7: . . . . SEQUENCE {
166 06 5: . . . . . OBJECT IDENTIFIER sha1 (1 3 14 3 2 26)
: . . . . . (OIW)
: . . . . . }
173 04 20: . . . . OCTET STRING
: . . . . 75 B6 85 AF 6F 89 46 7D E8 07 15 25 1E 45 97 8F
: . . . . CD 1F A5 66
: . . . . }
: . . . . }
: . . . }
: . . }
: . . }
195 31 387: . SET {
199 30 383: . . SEQUENCE {
203 02 1: . . INTEGER 1
206 30 124: . . SEQUENCE {
208 30 112: . . . SEQUENCE {
210 31 11: . . . SET {
212 30 9: . . . . SEQUENCE {
214 06 3: . . . . OBJECT IDENTIFIER countryName (2 5 4 6)
: . . . . . (X.520 id-at (2 5 4))
219 13 2: . . . . PrintableString 'FR'
: . . . . }
: . . . . }
223 31 21: . . . SET { 225 30 19: . . . . SEQUENCE { 227 06 3: . . . . OBJECT IDENTIFIER organizationName (2 5 4 10) : . . . . . (X.520 id-at (2 5 4)) 232 13 12: . . . . PrintableString 'EdelWeb S.A.' : . . . . } : . . . . } 246 31 40: . . . SET { 248 30 38: . . . . SEQUENCE { 250 06 3: . . . . OBJECT IDENTIFIER : . . . . . organizationalUnitName (2 5 4 11) : . . . . . (X.520 id-at (2 5 4)) 255 13 31: . . . . PrintableString 'Clepsydre Demonstration Service' : . . . . } : . . . . } 288 31 32: . . . SET { 290 30 30: . . . . SEQUENCE { 292 06 3: . . . . OBJECT IDENTIFIER commonName (2 5 4 3) : . . . . . (X.520 id-at (2 5 4)) 297 13 23: . . . . PrintableString 'Time Stamping Authority' : . . . . } : . . . . } : . . . } 322 02 8: . . . INTEGER : . . . 00 94 88 17 21 34 37 76 : . . . } 332 30 9: . . SEQUENCE { 334 06 5: . . . OBJECT IDENTIFIER sha1 (1 3 14 3 2 26) : . . . (OIW) 341 05 0: . . . NULL : . . . } 343 A0 95: . . [0] { 345 30 26: . . . SEQUENCE { 347 06 9: . . . OBJECT IDENTIFIER : . . . . contentType (1 2 840 113549 1 9 3) : . . . . (PKCS #9 (1 2 840 113549 1 9)) 358 31 13: . . . SET { 360 06 11: . . . . OBJECT IDENTIFIER : . . . . id-ct-dvcsrequest (1 2 840 113549 1 9 16 1 7) : . . . . (S/MIME Content Types (1 2 840 113549 1 9 16 1)) : . . . . } : . . . } 373 30 28: . . . SEQUENCE { 375 06 9: . . . OBJECT IDENTIFIER : . . . . signingTime (1 2 840 113549 1 9 5) : . . . . (PKCS #9 (1 2 840 113549 1 9)) 386 31 15: . . . SET { 388 17 13: . . . . UTCTime '000417171457Z'
223 31 21:。 。 。 SET {225 30 19:。 。 。 。 SEQUENCE {227 06 3:。 。 。 。オブジェクト識別子organizationNameの(2 10 4 10)。 。 。 。 。 (X.520のID-AT(2 5 4))232 13 12:。 。 。 。 PrintableStringの 'EdelWeb S.A.社' :。 。 。 。 }:。 。 。 。 } 246 31 40:。 。 。 SET {248 30 38:。 。 。 。 SEQUENCE {250 06 3:。 。 。 。オブジェクト識別子:。 。 。 。 。 organizationalUnitName(2 5 4 11)。 。 。 。 。 (X.520のID-AT(2 5 4))255 13 31:。 。 。 。 PrintableStringの 'Clepsydreデモンストレーションサービス':。 。 。 。 }:。 。 。 。 } 288 31 32:。 。 。 SET {290 30 30:。 。 。 。 SEQUENCE {292 06 3:。 。 。 。オブジェクト識別子のcommonName(2 5 4 3)。 。 。 。 。 (X.520のID-AT(2 5 4))297 13 23:。 。 。 。 PrintableStringの「タイムスタンプ局」:。 。 。 。 }:。 。 。 。 }:。 。 。 } 322 02 8:。 。 。 INTEGER:。 。 。 00 94 88 17 21 34 37 76:。 。 。 } 332 30 9:。 。 SEQUENCE {334 06 5:。 。 。オブジェクト識別子SHA1(1 3 14 3 2 26)。 。 。 (OIW)341 05 0:。 。 。ヌル : 。 。 。 } 343 A0 95:。 。 [0] {345 30 26:。 。 。 SEQUENCE {347 06 9:。 。 。オブジェクト識別子:。 。 。 。 contentTypeの(1 2 840 113549 1 9 3)。 。 。 。 (PKCS#9(1 2 840 113549 1 9))358 31 13:。 。 。 SET {360 06 11:。 。 。 。オブジェクト識別子:。 。 。 。 ID-CT-dvcsrequest(1 2 840 113549 1 9 16 1 7)。 。 。 。 (S / MIMEコンテンツタイプ(1 2 840 113549 1 9 16 1))。 。 。 。 }:。 。 。 } 373 30 28:。 。 。 SEQUENCE {375 06 9:。 。 。オブジェクト識別子:。 。 。 。 signingTime(1 2 840 113549 1 9 5)。 。 。 。 (PKCS#9(1 2 840 113549 1 9))386 31 15:。 。 。 SET {388 17 13:。 。 。 。 UTC時刻「000417171457Z」
: . . . . } : . . . } 403 30 35: . . . SEQUENCE { 405 06 9: . . . OBJECT IDENTIFIER : . . . . messageDigest (1 2 840 113549 1 9 4) : . . . . (PKCS #9 (1 2 840 113549 1 9)) 416 31 22: . . . SET { 418 04 20: . . . . OCTET STRING : . . . . 4D A8 C2 D2 CE 7C 0D 04 41 2F 44 13 33 75 DB 2F : . . . . 5B 2D F9 DC : . . . . } : . . . } : . . . } 440 30 13: . . SEQUENCE { 442 06 9: . . . OBJECT IDENTIFIER : . . . rsaEncryption (1 2 840 113549 1 1 1) : . . . (PKCS #1) 453 05 0: . . . NULL : . . . } 455 04 128: . . OCTET STRING : . . . 6E 7B 0E 36 F5 08 5F 16 3C 31 7B 28 BB 0B C2 C6 : . . . 17 67 A6 B5 54 F1 98 E2 6F 89 96 0E 0C 99 E6 CB : . . . 40 C1 9B 8D D8 D7 8E D3 2B 41 F7 16 26 5B B7 08 : . . . BF E6 95 B2 D9 01 6C FE B1 2C 52 C1 5A D2 31 F3 : . . . 8E CA DD 11 A1 72 05 29 41 6A DD 28 40 AA 5C 77 : . . . C6 9D 1D 80 53 DB 6F 9C 4C A5 A3 8F 92 8B 18 3F : . . . D5 3A AD 01 87 69 C3 FD D3 D8 C3 D0 CA 6B E6 0D : . . . 4E 53 6E 50 20 99 7C 94 C2 44 25 1B 06 C0 99 96 : . . } : . . } : . } : . } : }
:。 。 。 。 }:。 。 。 } 403 30 35:。 。 。 SEQUENCE {405 06 9:。 。 。オブジェクト識別子:。 。 。 。するMessageDigest(1 2 840 113549 1 9 4)。 。 。 。 (PKCS#9(1 2 840 113549 1 9))416 31 22:。 。 。 SET {418 04 20:。 。 。 。オクテットSTRING:。 。 。 。 4D A8 C2 D2 CE 7C 0D 04 41 2F 44 13 33 75 DB 2F:。 。 。 。図5B 2D F9 DC:。 。 。 。 }:。 。 。 }:。 。 。 } 440 30 13:。 。 SEQUENCE {442 06 9:。 。 。オブジェクト識別子:。 。 。 rsaEncryption(1 2 840 113549 1 1 1)。 。 。 (PKCS#1)453 05 0:。 。 。ヌル : 。 。 。 } 455 04 128:。 。オクテットSTRING:。 。 。 6E 7B 0E 36 F5 08 5F 16 3C 31 7B 28 BB 0B C2 C6:。 。 。 17 67 A6 B5 54 F1 98 E2 6F 89 96 0E 0C 99 E6 CB:。 。 。 40 C1 9B 8D D8 D7 8E D3 2B 41 F7 16 26 5B B7 08:。 。 。 BF E6 95 B2 D9 01 6C FE B1 2C 52 C1 5A D2 31 F3:。 。 。 8E CA DD 11 A1 72 05 29 41 6A DD 28 40 AA 5C 77:。 。 。 C6 9D 1D 80 53 DB 6F 9C 4C A5 A3 8F 92 8B 18 3F:。 。 。 D5 3A AD 01 87 69 C3 FD D3 D8 C3 D0 CA 6B E6 0D:。 。 。 4E 53 6E 50 20 99 7C 94 C2 44 25 1B 06 C0 99 96:。 。 }:。 。 }:。 }:。 }:}
The corresponding data in PEM format are:
PEM形式の対応するデータです。
-----BEGIN PKCS7-----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-----END PKCS7-----
Response:
応答:
0 30 2039: SEQUENCE {
4 06 9: OBJECT IDENTIFIER signedData (1 2 840 113549 1 7 2)
: . (PKCS #7)
15 A0 2024: [0] {
19 30 2020: . SEQUENCE {
23 02 1: . INTEGER 3
26 31 11: . SET {
28 30 9: . . SEQUENCE {
30 06 5: . . OBJECT IDENTIFIER sha1 (1 3 14 3 2 26)
: . . . (OIW)
37 05 0: . . NULL
: . . }
: . . }
39 30 301: . SEQUENCE {
43 06 11: . . OBJECT IDENTIFIER
: . . id-ct-DVCSResponseData (1 2 840 113549 1 9 16 1 8)
: . . (S/MIME Content Types (1 2 840 113549 1 9 16 1))
56 A0 284: . . [0] {
60 04 280: . . OCTET STRING, encapsulates {
64 30 276: . . . SEQUENCE {
68 30 214: . . . . SEQUENCE {
71 0A 1: . . . . ENUMERATED CCPD (4)
74 A0 77: . . . . [0] {
76 A4 75: . . . . . [4] {
78 30 73: . . . . . SEQUENCE {
80 31 11: . . . . . . SET {
82 30 9: . . . . . . SEQUENCE {
84 06 3: . . . . . . . OBJECT IDENTIFIER
: . . . . . . . countryName (2 5 4 6)
: . . . . . . . (X.520 id-at (2 5 4))
89 13 2: . . . . . . . PrintableString 'FR'
: . . . . . . . }
: . . . . . . }
93 31 14: . . . . . . SET {
95 30 12: . . . . . . SEQUENCE {
97 06 3: . . . . . . . OBJECT IDENTIFIER
: . . . . . . . localityName (2 5 4 7)
: . . . . . . . (X.520 id-at (2 5 4))
102 13 5: . . . . . . . PrintableString 'Paris'
: . . . . . . . }
: . . . . . . }
109 31 16: . . . . . . SET {
111 30 14: . . . . . . SEQUENCE {
113 06 3: . . . . . . . OBJECT IDENTIFIER
: . . . . . . . organizationName (2 5 4 10)
: . . . . . . . (X.520 id-at (2 5 4))
118 13 7: . . . . . . . PrintableString 'EdelWeb'
: . . . . . . . }
: . . . . . . }
127 31 24: . . . . . . SET {
129 30 22: . . . . . . SEQUENCE {
131 06 3: . . . . . . . OBJECT IDENTIFIER
: . . . . . . . commonName (2 5 4 3)
: . . . . . . . (X.520 id-at (2 5 4))
136 13 15: . . . . . . . PrintableString 'Peter Sylvester'
: . . . . . . . }
: . . . . . . }
: . . . . . . }
: . . . . . }
: . . . . . }
153 A1 12: . . . . [1] {
155 06 10: . . . . . OBJECT IDENTIFIER '1 3 6 1 4 1 5309 1 2 1'
: . . . . . }
167 A2 116: . . . . [2] {
169 A4 114: . . . . . [4] {
171 30 112: . . . . . SEQUENCE {
173 31 11: . . . . . . SET {
175 30 9: . . . . . . SEQUENCE {
177 06 3: . . . . . . . OBJECT IDENTIFIER
: . . . . . . . countryName (2 5 4 6)
: . . . . . . . (X.520 id-at (2 5 4))
182 13 2: . . . . . . . PrintableString 'FR'
: . . . . . . . }
: . . . . . . }
186 31 21: . . . . . . SET {
188 30 19: . . . . . . SEQUENCE {
190 06 3: . . . . . . . OBJECT IDENTIFIER
: . . . . . . . organizationName (2 5 4 10)
: . . . . . . . (X.520 id-at (2 5 4))
195 13 12: . . . . . . . PrintableString 'EdelWeb S.A.'
: . . . . . . . }
: . . . . . . }
209 31 40: . . . . . . SET {
211 30 38: . . . . . . SEQUENCE {
213 06 3: . . . . . . . OBJECT IDENTIFIER
: . . . . . . . organizationalUnitName (2 5 4 11)
: . . . . . . . (X.520 id-at (2 5 4))
218 13 31: . . . . . PrintableString 'Clepsydre Demonstration Service'
: . . . . . . . }
: . . . . . . }
251 31 32: . . . . . . SET {
253 30 30: . . . . . . SEQUENCE {
255 06 3: . . . . . . . OBJECT IDENTIFIER
: . . . . . . . commonName (2 5 4 3)
: . . . . . . . (X.520 id-at (2 5 4))
260 13 23: . . . . . . . PrintableString 'Time Stamping Authority'
: . . . . . . . }
: . . . . . . }
: . . . . . . }
: . . . . . }
: . . . . . }
: . . . . }
285 30 31: . . . . SEQUENCE {
287 30 7: . . . . SEQUENCE {
289 06 5: . . . . . OBJECT IDENTIFIER sha1 (1 3 14 3 2 26)
: . . . . . }
296 04 20: . . . . OCTET STRING
: . . . . 75 B6 85 AF 6F 89 46 7D E8 07 15 25 1E 45 97 8F
: . . . . CD 1F A5 66
: . . . . }
318 02 7: . . . . INTEGER
: . . . . 01 78 0A 1E CA 88 23
327 18 15: . . . . GeneralizedTime '20000417171617Z'
: . . . . }
: . . . }
: . . }
: . . }
344 A0 992: . [0] {
348 30 988: . . SEQUENCE {
352 30 708: . . SEQUENCE {
356 A0 3: . . . [0] {
358 02 1: . . . INTEGER 2
: . . . }
361 02 8: . . . INTEGER
: . . . 00 94 88 17 17 64 37 32
371 30 13: . . . SEQUENCE {
373 06 9: . . . OBJECT IDENTIFIER
: . . . . md5withRSAEncryption (1 2 840 113549 1 1 4)
: . . . . (PKCS #1)
384 05 0: . . . NULL
: . . . }
386 30 112: . . . SEQUENCE {
388 31 11: . . . SET {
390 30 9: . . . . SEQUENCE {
392 06 3: . . . . OBJECT IDENTIFIER countryName (2 5 4 6)
: . . . . . (X.520 id-at (2 5 4))
397 13 2: . . . . PrintableString 'FR'
: . . . . }
: . . . . } 401 31 21: . . . SET { 403 30 19: . . . . SEQUENCE { 405 06 3: . . . . OBJECT IDENTIFIER organizationName (2 5 4 10) : . . . . . (X.520 id-at (2 5 4)) 410 13 12: . . . . PrintableString 'EdelWeb S.A.' : . . . . } : . . . . } 424 31 40: . . . SET { 426 30 38: . . . . SEQUENCE { 428 06 3: . . . . OBJECT IDENTIFIER : . . . . . organizationalUnitName (2 5 4 11) : . . . . . (X.520 id-at (2 5 4)) 433 13 31: . . . . PrintableString 'Clepsydre Demonstration Service' : . . . . } : . . . . } 466 31 32: . . . SET { 468 30 30: . . . . SEQUENCE { 470 06 3: . . . . OBJECT IDENTIFIER commonName (2 5 4 3) : . . . . . (X.520 id-at (2 5 4)) 475 13 23: . . . . PrintableString 'Time Stamping Authority' : . . . . } : . . . . } : . . . } 500 30 30: . . . SEQUENCE { 502 17 13: . . . UTCTime '000125161938Z' 517 17 13: . . . UTCTime '200120161938Z' : . . . } 532 30 112: . . . SEQUENCE { 534 31 11: . . . SET { 536 30 9: . . . . SEQUENCE { 538 06 3: . . . . OBJECT IDENTIFIER countryName (2 5 4 6) : . . . . . (X.520 id-at (2 5 4)) 543 13 2: . . . . PrintableString 'FR' : . . . . } : . . . . } 547 31 21: . . . SET { 549 30 19: . . . . SEQUENCE { 551 06 3: . . . . OBJECT IDENTIFIER organizationName (2 5 4 10) : . . . . . (X.520 id-at (2 5 4)) 556 13 12: . . . . PrintableString 'EdelWeb S.A.' : . . . . } : . . . . } 570 31 40: . . . SET { 572 30 38: . . . . SEQUENCE { 574 06 3: . . . . OBJECT IDENTIFIER : . . . . . organizationalUnitName (2 5 4 11) : . . . . . (X.520 id-at (2 5 4))
:。 。 。 。 } 401 31 21:。 。 。 SET {403 30 19:。 。 。 。 SEQUENCE {405 06 3:。 。 。 。オブジェクト識別子organizationNameの(2 10 4 10)。 。 。 。 。 (X.520のID-AT(2 5 4))410 13 12:。 。 。 。 PrintableStringの 'EdelWeb S.A.社' :。 。 。 。 }:。 。 。 。 } 424 31 40:。 。 。 SET {426 30 38:。 。 。 。 SEQUENCE {428 06 3:。 。 。 。オブジェクト識別子:。 。 。 。 。 organizationalUnitName(2 5 4 11)。 。 。 。 。 (X.520のID-AT(2 5 4))433 13 31:。 。 。 。 PrintableStringの 'Clepsydreデモンストレーションサービス':。 。 。 。 }:。 。 。 。 } 466 31 32:。 。 。 SET {468 30 30:。 。 。 。 SEQUENCE {470 06 3:。 。 。 。オブジェクト識別子のcommonName(2 5 4 3)。 。 。 。 。 (X.520のID-AT(2 5 4))475 13 23:。 。 。 。 PrintableStringの「タイムスタンプ局」:。 。 。 。 }:。 。 。 。 }:。 。 。 } 500 30 30:。 。 。 SEQUENCE {502 17 13:。 。 。 UTC時刻 '000125161938Z' 517 17 13:。 。 。 UTC時刻 '200120161938Z':。 。 。 } 532 30 112:。 。 。 SEQUENCE {534 31 11:。 。 。 SET {536 30 9:。 。 。 。 SEQUENCE {538 06 3:。 。 。 。オブジェクト識別子COUNTRYNAME(2 5 4 6)。 。 。 。 。 (X.520のID-AT(2 5 4))543 13 2:。 。 。 。 PrintableStringの 'FR':。 。 。 。 }:。 。 。 。 } 547 31 21:。 。 。 SET {549 30 19:。 。 。 。 SEQUENCE {551 06 3:。 。 。 。オブジェクト識別子organizationNameの(2 10 4 10)。 。 。 。 。 (X.520のID-AT(2 5 4))556 13 12:。 。 。 。 PrintableStringの 'EdelWeb S.A.社' :。 。 。 。 }:。 。 。 。 } 570 31 40:。 。 。 SET {572 30 38:。 。 。 。 SEQUENCE {574 06 3:。 。 。 。オブジェクト識別子:。 。 。 。 。 organizationalUnitName(2 5 4 11)。 。 。 。 。 (X.520)2 5 4(ID-AT)
579 13 31: . . . . PrintableString 'Clepsydre Demonstration Service' : . . . . } : . . . . } 612 31 32: . . . SET { 614 30 30: . . . . SEQUENCE { 616 06 3: . . . . OBJECT IDENTIFIER commonName (2 5 4 3) : . . . . . (X.520 id-at (2 5 4)) 621 13 23: . . . . PrintableString 'Time Stamping Authority' : . . . . } : . . . . } : . . . } 646 30 290: . . . SEQUENCE { 650 30 13: . . . SEQUENCE { 652 06 9: . . . . OBJECT IDENTIFIER : . . . . rsaEncryption (1 2 840 113549 1 1 1) : . . . . (PKCS #1) 663 05 0: . . . . NULL : . . . . } 665 03 271: . . . BIT STRING 0 unused bits : . . . . 30 82 01 0A 02 82 01 01 00 FA C3 17 AE EB B7 9D : . . . . EB AB BD 05 7E 39 43 6D 04 45 58 74 05 A5 CC F3 : . . . . 6C 2F 8C 8E 77 7E C2 9F 12 11 5C 7D DB BE 23 28 : . . . . 9A 90 D2 AB C6 A2 BA BD A3 7E 99 A6 99 21 A5 D8 : . . . . 90 B9 CF A7 23 4E A0 56 A0 C1 0A 46 89 8E 3C 91 : . . . . 67 37 FD 9B AB 49 17 FC 4A A5 F2 E4 4C 6E E3 6A : . . . . 1C 92 97 04 6F 7F 0C 5C FB 74 CB 95 7E 4C C3 58 : . . . . 12 E8 A9 D6 F0 DD 12 44 15 E7 8B 2E AF 51 C0 0C : . . . . . . [ Another 142 bytes skipped ] : . . . } 940 A3 122: . . . [3] { 942 30 120: . . . SEQUENCE { 944 30 15: . . . . SEQUENCE { 946 06 3: . . . . OBJECT IDENTIFIER basicConstraints (2 5 29 19) : . . . . . (X.509 id-ce (2 5 29)) 951 04 8: . . . . OCTET STRING, encapsulates { 953 30 6: . . . . . SEQUENCE { 955 01 1: . . . . . . BOOLEAN TRUE 958 02 1: . . . . . . INTEGER 0 : . . . . . . } : . . . . . } : . . . . } 961 30 22: . . . . SEQUENCE { 963 06 3: . . . . OBJECT IDENTIFIER extKeyUsage (2 5 29 37) : . . . . . (X.509 id-ce (2 5 29)) 968 01 1: . . . . BOOLEAN TRUE 971 04 12: . . . . OCTET STRING, encapsulates { 973 30 10: . . . . . SEQUENCE { 975 06 8: . . . . . . OBJECT IDENTIFIER '1 3 6 1 5 5 7 3 10'
579 13 31:。 。 。 。 PrintableStringの 'Clepsydreデモンストレーションサービス':。 。 。 。 }:。 。 。 。 } 612 31 32:。 。 。 SET {614 30 30:。 。 。 。 SEQUENCE {616 06 3:。 。 。 。オブジェクト識別子のcommonName(2 5 4 3)。 。 。 。 。 (X.520のID-AT(2 5 4))621 13 23:。 。 。 。 PrintableStringの「タイムスタンプ局」:。 。 。 。 }:。 。 。 。 }:。 。 。 } 646 30 290:。 。 。 SEQUENCE {650 30 13:。 。 。 SEQUENCE {652 06 9:。 。 。 。オブジェクト識別子:。 。 。 。 rsaEncryption(1 2 840 113549 1 1 1)。 。 。 。 (PKCS#1)663 05 0:。 。 。 。ヌル : 。 。 。 。 } 665 03 271:。 。 。ビット列0未使用ビット:。 。 。 。 30 82 01 0A 02 82 01 01 00 FA C3 17 AE EB B7 9D:。 。 。 。 EB AB BD 05 7E 39 43 6D 04 45 58 74 05 A5 CC F3:。 。 。 。図6C 2F 8C 8E 77 7E C2 9F 12 11(c)(d)DBは、23 28 BE:。 。 。 。図9A 90 D2 AB C6 A2 BA BD A3 7E 99 A6 99 21 A5 D8:。 。 。 。 90 B9 CF A7 23 4E A0 56 A0 C1 0A 46 89 8E 3C 91:。 。 。 。 67 37 FD 9B AB 49 17 FC 4A A5 F2 E4 4C 6E E3 6A:。 。 。 。 1C 92 97 04 6F 7F 0C 5C FB 74 CB 95(e)(c)C3 58:。 。 。 。 12 E8 A9 D6 F0 DD 12 44 15 E7 8B 2E AF 51 C0 0C:。 。 。 。 。 。 [別の142のバイトをスキップ]:。 。 。 } 940 A3 122:。 。 。 [3] {942 30 120:。 。 。 SEQUENCE {944 30 15:。 。 。 。 SEQUENCE {946 06 3:。 。 。 。オブジェクト識別子basicConstraintsの(2 5 29 19):。 。 。 。 。 (X.509 ID-CE(2 5 29))951 04 8:。 。 。 。オクテット文字列は、{カプセル化953 30 6:。 。 。 。 。 SEQUENCE {955 01 1:。 。 。 。 。 。 BOOLEAN TRUE 958 02 1:。 。 。 。 。 。 INTEGER 0:。 。 。 。 。 。 }:。 。 。 。 。 }:。 。 。 。 } 961 30 22:。 。 。 。 SEQUENCE {963 06 3:。 。 。 。オブジェクト識別子extKeyUsage(2 5 29 37)。 。 。 。 。 (X.509 ID-CE(2 5 29))968 01 1:。 。 。 。 BOOLEAN TRUE 971 04 12:。 。 。 。オクテット文字列は、{973 30 10をカプセル化:。 。 。 。 。 SEQUENCE {975 06 8:。 。 。 。 。 。オブジェクト識別子 '1 3 6 1 5 7 3 10'
: . . . . . . } : . . . . . } : . . . . } 985 30 77: . . . . SEQUENCE { 987 06 8: . . . . OBJECT IDENTIFIER : . . . . . authorityInfoAccess (1 3 6 1 5 5 7 1 1) : . . . . . (PKIX private extension) 997 01 1: . . . . BOOLEAN TRUE 1000 04 62: . . . . OCTET STRING, encapsulates { 1002 30 60: . . . . . SEQUENCE { 1004 30 58: . . . . . . SEQUENCE { 1006 06 8: . . . . . . OBJECT IDENTIFIER '1 3 6 1 5 5 7 48 4' 1016 86 46: . . . . . . [6] : . . . . 'https://clepsydre.edelweb.fr/dvcs/service-ccpd' : . . . . . . } : . . . . . . } : . . . . . } : . . . . } : . . . . } : . . . } : . . . } 1064 30 13: . . SEQUENCE { 1066 06 9: . . . OBJECT IDENTIFIER : . . . md5withRSAEncryption (1 2 840 113549 1 1 4) : . . . (PKCS #1) 1077 05 0: . . . NULL : . . . } 1079 03 257: . . BIT STRING 0 unused bits : . . . 08 DA AF 5B 09 39 66 D3 BE 80 1D D7 72 B5 2C A3 : . . . 04 FB 46 F8 05 F5 BF 83 F3 6D 6D 32 28 1C 46 EE : . . . 0F EA 30 61 8A 1E 8A 03 4E 98 81 60 1F 97 17 53 : . . . D1 54 73 3F 72 98 45 D3 10 9A D3 77 B8 74 0E 9A : . . . 90 29 8E AC A4 EB D2 24 6D F6 21 1D 3F 52 8B 2C : . . . E6 92 E7 52 C6 54 93 91 BC 57 74 21 38 39 75 CD : . . . 30 49 54 13 94 6C FE F1 64 38 1F 5F 7D BB E0 3E : . . . A8 F1 28 1C F1 D9 28 FA 32 1E 3B 48 BF 5C 70 21 : . . . . . [ Another 128 bytes skipped ] : . . } : . . } 1340 31 699: . SET { 1344 30 695: . . SEQUENCE { 1348 02 1: . . INTEGER 1 1351 30 124: . . SEQUENCE { 1353 30 112: . . . SEQUENCE { 1355 31 11: . . . SET { 1357 30 9: . . . . SEQUENCE { 1359 06 3: . . . . OBJECT IDENTIFIER countryName (2 5 4 6) : . . . . . (X.520 id-at (2 5 4))
:。 。 。 。 。 。 }:。 。 。 。 。 }:。 。 。 。 } 985 30 77:。 。 。 。 SEQUENCE {987 06 8:。 。 。 。オブジェクト識別子:。 。 。 。 。 authorityInfoAccess(1 3 6 1 5 7 1 1)。 。 。 。 。 (PKIXプライベート拡張子)997 01 1:。 。 。 。 BOOLEAN TRUE 1000年04 62:。 。 。 。オクテット文字列は、{1002 30 60をカプセル化:。 。 。 。 。 SEQUENCE {1004 30 58:。 。 。 。 。 。 SEQUENCE {1006 06 8:。 。 。 。 。 。オブジェクト識別子 '1 3 6 1 5 7 48 4' 1016 86 46:。 。 。 。 。 。 [6]。 。 。 。 'https://clepsydre.edelweb.fr/dvcs/service-ccpd':。 。 。 。 。 。 }:。 。 。 。 。 。 }:。 。 。 。 。 }:。 。 。 。 }:。 。 。 。 }:。 。 。 }:。 。 。 } 1064年30 13:。 。 SEQUENCE {1066 06 9:。 。 。オブジェクト識別子:。 。 。 md5withRSAEncryption(1 2 840 113549 1 1 4)。 。 。 (PKCS#1)1077年05 0:。 。 。ヌル : 。 。 。 } 1079 03 257:。 。ビット列0未使用ビット:。 。 。 08 DA AF 5B 09 39 66 D3 80 1D D7 72 B5 2C A3をBE:。 。 。 04 FB 46 F8 05 F5 BF 83 F3 6D 6D 32 28 1C 46 EE:。 。 。 0F EA 30 61(a)(e)(a)03 4E 98 81 60 1F 97 17 53:。 。 。 D1 54 73 3F 72 98 45 D3 10 9A D3 77 B8 74 0E 9A:。 。 。 90 29 8E AC A4 EB D2 24 6D F6 21 1D 3F 52(b)(c):。 。 。 E6 92 E7 52 C6 54 93 91 BC 57 74 21 38 39 75 CD:。 。 。 30 49 54 13 94 6C FE F1 64 38 1F 5F 7D BB E0 3E:。 。 。 A8 F1 28 1C F1 D9 28 FA 32 1E 48(b)BF 5C 70 21:。 。 。 。 。 [別の128のバイトをスキップ]:。 。 }:。 。 } 1340 31 699:。 SET {1344 30 695:。 。 SEQUENCE {1348 02 1:。 。 INTEGER 1 1351 30 124:。 。 SEQUENCE {1353 30 112:。 。 。 SEQUENCE {1355 31 11:。 。 。 SET {1357 30 9:。 。 。 。 SEQUENCE {1359 06 3:。 。 。 。オブジェクト識別子COUNTRYNAME(2 5 4 6)。 。 。 。 。 (X.520)2 5 4(ID-AT)
1364 13 2: . . . . PrintableString 'FR' : . . . . } : . . . . } 1368 31 21: . . . SET { 1370 30 19: . . . . SEQUENCE { 1372 06 3: . . . . OBJECT IDENTIFIER organizationName (2 5 4 10) : . . . . . (X.520 id-at (2 5 4)) 1377 13 12: . . . . PrintableString 'EdelWeb S.A.' : . . . . } : . . . . } 1391 31 40: . . . SET { 1393 30 38: . . . . SEQUENCE { 1395 06 3: . . . . OBJECT IDENTIFIER : . . . . . organizationalUnitName (2 5 4 11) : . . . . . (X.520 id-at (2 5 4)) 1400 13 31: . . . . PrintableString 'Clepsydre Demonstration Service' : . . . . } : . . . . } 1433 31 32: . . . SET { 1435 30 30: . . . . SEQUENCE { 1437 06 3: . . . . OBJECT IDENTIFIER commonName (2 5 4 3) : . . . . . (X.520 id-at (2 5 4)) 1442 13 23: . . . . PrintableString 'Time Stamping Authority' : . . . . } : . . . . } : . . . } 1467 02 8: . . . INTEGER : . . . 00 94 88 25 72 35 27 50 : . . . } 1477 30 9: . . SEQUENCE { 1479 06 5: . . . OBJECT IDENTIFIER sha1 (1 3 14 3 2 26) : . . . (OIW) 1486 05 0: . . . NULL : . . . } 1488 A0 276: . . [0] { 1492 30 26: . . . SEQUENCE { 1494 06 9: . . . OBJECT IDENTIFIER : . . . . contentType (1 2 840 113549 1 9 3) : . . . . (PKCS #9 (1 2 840 113549 1 9)) 1505 31 13: . . . SET { 1507 06 11: . . . . OBJECT IDENTIFIER : . . . . id-ct-dvcsresponse (1 2 840 113549 1 9 16 1 8) : . . . . (S/MIME Content Types (1 2 840 113549 1 9 16 1)) : . . . . } : . . . } 1520 30 28: . . . SEQUENCE { 1522 06 9: . . . OBJECT IDENTIFIER : . . . . signingTime (1 2 840 113549 1 9 5)
1364 13 2。 。 。 。 PrintableStringの 'FR':。 。 。 。 }:。 。 。 。 } 1368年31 21:。 。 。 SET {1370 30 19:。 。 。 。 SEQUENCE {1372 06 3:。 。 。 。オブジェクト識別子organizationNameの(2 10 4 10)。 。 。 。 。 (X.520のID-AT(2 5 4))1377年13 12:。 。 。 。 PrintableStringの 'EdelWeb S.A.社' :。 。 。 。 }:。 。 。 。 } 1391年31 40:。 。 。 SET {1393 30 38:。 。 。 。 SEQUENCE {1395 06 3:。 。 。 。オブジェクト識別子:。 。 。 。 。 organizationalUnitName(2 5 4 11)。 。 。 。 。 (X.520のID-AT(2 5 4))1400年13 31:。 。 。 。 PrintableStringの 'Clepsydreデモンストレーションサービス':。 。 。 。 }:。 。 。 。 } 1433年31 32:。 。 。 SET {1435 30 30:。 。 。 。 SEQUENCE {1437 06 3:。 。 。 。オブジェクト識別子のcommonName(2 5 4 3)。 。 。 。 。 (X.520のID-AT(2 5 4))1442年13 23:。 。 。 。 PrintableStringの「タイムスタンプ局」:。 。 。 。 }:。 。 。 。 }:。 。 。 } 1467年02 8:。 。 。 INTEGER:。 。 。 00 94 88 25 72 35 27 50:。 。 。 } 1477年30 9:。 。 SEQUENCE {1479 06 5:。 。 。オブジェクト識別子SHA1(1 3 14 3 2 26)。 。 。 (OIW)1486年05 0:。 。 。ヌル : 。 。 。 } 1488 A0 276:。 。 [0] {1492 30 26:。 。 。 SEQUENCE {1494 06 9:。 。 。オブジェクト識別子:。 。 。 。 contentTypeの(1 2 840 113549 1 9 3)。 。 。 。 (PKCS#9(1 2 840 113549 1 9))1505年31 13:。 。 。 SET {1507 06 11:。 。 。 。オブジェクト識別子:。 。 。 。 ID-CT-dvcsresponse(1 2 840 113549 1 9 16 1 8)。 。 。 。 (S / MIMEコンテンツタイプ(1 2 840 113549 1 9 16 1))。 。 。 。 }:。 。 。 } 1520年30 28:。 。 。 SEQUENCE {1522 06 9:。 。 。オブジェクト識別子:。 。 。 。 signingTime(1 2 840 113549 1 9 5)
: . . . . (PKCS #9 (1 2 840 113549 1 9))
1533 31 15: . . . SET {
1535 17 13: . . . . UTCTime '000417171619Z'
: . . . . }
: . . . }
1550 30 35: . . . SEQUENCE {
1552 06 9: . . . OBJECT IDENTIFIER
: . . . . messageDigest (1 2 840 113549 1 9 4)
: . . . . (PKCS #9 (1 2 840 113549 1 9))
1563 31 22: . . . SET {
1565 04 20: . . . . OCTET STRING
: . . . . 68 50 DC 90 20 2E C2 F0 55 15 7F 77 A9 A6 0C 34
: . . . . CC 13 06 FA
: . . . . }
: . . . }
1587 30 178: . . . SEQUENCE {
1590 06 11: . . . OBJECT IDENTIFIER
: . . . id-aa-signingCertificate (1 2 840 113549 1 9 16 2 12)
: . . (S/MIME Authenticated Attributes (1 2 840 113549 1 9 16 2))
1603 31 162: . . . SET {
1606 30 159: . . . . SEQUENCE {
1609 30 156: . . . . SEQUENCE {
1612 30 153: . . . . . SEQUENCE {
1615 04 20: . . . . . OCTET STRING
: . . . . 5C F1 18 F3 4A CA B4 67 D6 D8 E7 F8 3B 4A D9 7A
: . . . . 32 A5 43 A5
1637 30 128: . . . . . SEQUENCE {
1640 30 116: . . . . . . SEQUENCE {
1642 A4 114: . . . . . . [4] {
1644 30 112: . . . . . . . SEQUENCE {
1646 31 11: . . . . . . . SET {
1648 30 9: . . . . . . . . SEQUENCE {
1650 06 3: . . . . . . . . OBJECT IDENTIFIER
: . . . . . . . . . countryName (2 5 4 6)
: . . . . . . . . . (X.520 id-at (2 5 4))
1655 13 2: . . . . . . . . PrintableString 'FR'
: . . . . . . . . }
: . . . . . . . . }
1659 31 21: . . . . . . . SET {
1661 30 19: . . . . . . . . SEQUENCE {
1663 06 3: . . . . . . . . OBJECT IDENTIFIER
: . . . . . . . . . organizationName (2 5 4 10)
: . . . . . . . . . (X.520 id-at (2 5 4))
1668 13 12: . . . . . . . . PrintableString 'EdelWeb S.A.'
: . . . . . . . . }
: . . . . . . . . }
1682 31 40: . . . . . . . SET {
1684 30 38: . . . . . . . . SEQUENCE {
1686 06 3: . . . . . . . . OBJECT IDENTIFIER
: . . . . . . . . . organizationalUnitName (2 5 4 11)
: . . . . . . . . . (X.520 id-at (2 5 4))
1691 13 31: . . . . .PrintableString 'Clepsydre Demonstration Service'
: . . . . . . . . }
: . . . . . . . . }
1724 31 32: . . . . . . . SET {
1726 30 30: . . . . . . . . SEQUENCE {
1728 06 3: . . . . . . . . OBJECT IDENTIFIER
: . . . . . . . . . commonName (2 5 4 3)
: . . . . . . . . . (X.520 id-at (2 5 4))
1733 13 23: . . . . . . . . PrintableString 'Time Stamping Authority'
: . . . . . . . . }
: . . . . . . . . }
: . . . . . . . }
: . . . . . . . }
: . . . . . . }
1758 02 8: . . . . . . INTEGER
: . . . . 00 94 88 25 72 35 27 50
: . . . . . . }
: . . . . . }
: . . . . . }
: . . . . }
: . . . . }
: . . . }
: . . . }
1768 30 13: . . SEQUENCE {
1770 06 9: . . . OBJECT IDENTIFIER
: . . . rsaEncryption (1 2 840 113549 1 1 1)
: . . . (PKCS #1)
1781 05 0: . . . NULL
: . . . }
1783 04 256: . . OCTET STRING
: . . . 2E 70 9F 56 5E 01 56 A9 E1 47 81 12 35 21 29 09
: . . . 16 7A ED 45 F9 5A A2 ED E4 FE 9D 2C E4 DA 12 66
: . . . 62 14 59 61 8B 50 7B 01 82 3D BD 7E E6 38 D0 A8
: . . . A0 37 98 79 13 26 39 29 C6 72 20 A9 95 71 E7 53
: . . . 7F 79 77 98 EF 23 02 4E B9 BD 90 9B AC 05 A2 70
: . . . 8F 3A 42 36 9C 2C B0 94 B1 2B 0B 36 94 0E 78 0E
: . . . B0 D1 09 20 63 BC FF CD 32 F1 5A D3 AB 9F 93 9C
: . . . 5A A3 58 99 A0 28 11 E0 80 4D 4D 1E 77 04 F4 50
: . . . . . [ Another 128 bytes skipped ]
: . . }
: . . }
: . }
: . }
: }
The corresponding data in PEM format (together with a technical textual description) are:
(技術的なテキスト記述と一緒に)PEM形式の対応するデータです。
Data Validation Certificate: Request Information: Service: Certify Claim of Possession of Data - ccpd(4) Policy: EdelWeb Customer Policy Clepsydre Requester: DirName:/C=FR/L=Paris/O=EdelWeb/CN=Peter Sylvester DVCS: DirName:/C=FR/O=EdelWeb S.A./ OU=Clepsydre Demonstration Service/CN=Time Stamping Authority SerialNumber: 01780a1eca8823 MessageDigest: Algorithm: sha1 Data : 75B685AF6F89467DE80715251E45978FCD1FA566 Asserted Time: Generalized Time: 17-Apr-2000 19:16:17 (Apr 17 17:16:17 2000 GMT) Certificate: Data: Version: 3 (0x2) Serial Number: 94:88:17:17:64:37:32 Signature Algorithm: md5WithRSAEncryption Issuer: C=FR, O=EdelWeb S.A., OU=Clepsydre Demonstration Service, CN=Time Stamping Authority Validity Not Before: Jan 25 16:19:38 2000 GMT Not After : Jan 20 16:19:38 2020 GMT Subject: C=FR, O=EdelWeb S.A., OU=Clepsydre Demonstration Service, CN=Time Stamping Authority Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (2048 bit) Modulus (2048 bit): 00:fa:c3:17:ae:eb:b7:9d:eb:ab:bd:05:7e:39:43: 6d:04:45:58:74:05:a5:cc:f3:6c:2f:8c:8e:77:7e: c2:9f:12:11:5c:7d:db:be:23:28:9a:90:d2:ab:c6: a2:ba:bd:a3:7e:99:a6:99:21:a5:d8:90:b9:cf:a7: 23:4e:a0:56:a0:c1:0a:46:89:8e:3c:91:67:37:fd: 9b:ab:49:17:fc:4a:a5:f2:e4:4c:6e:e3:6a:1c:92: 97:04:6f:7f:0c:5c:fb:74:cb:95:7e:4c:c3:58:12: e8:a9:d6:f0:dd:12:44:15:e7:8b:2e:af:51:c0:0c: 5f:a8:65:fc:47:a1:c9:98:1f:d4:e1:ea:bc:1c:1a: 27:bb:8b:56:f1:12:55:10:f4:8e:d8:9f:19:9c:1e: 81:f7:db:63:dd:88:37:3f:71:79:5b:96:e2:5f:82: d5:12:19:05:0d:e1:3d:a5:6d:66:e4:2c:1e:ed:c7: 4c:b8:df:aa:38:c8:15:6a:ae:25:7d:46:2a:07:f9:
EdelWebカスタマー・ポリシーClepsydreリクエスタ:dirnameは:/ C = FR / L =パリ/ O = EdelWeb / CN =ピーターシルベスターDVCS:DIRNAME - データ検証証明書::サービス:CCPD(4)ポリシーデータの所有の主張を認定する情報のリクエスト:/ C = FR / O = EdelWeb SA / OU = Clepsydreデモサービス/ CN =タイムスタンプ機関のSerialNumber:01780a1eca8823するMessageDigest:アルゴリズム:SHA1データ:75B685AF6F89467DE80715251E45978FCD1FA566時間をアサート:一般化時間:17年04月-2000午前19時16分17秒( 4月17日17時16分17秒2000 GMT)証明書:データ:バージョン:3(0x2の)シリアル番号:94:88:17:17:64:37:32署名アルゴリズム:md5WithRSAEncryption発行者:C = FR、O = EdelWeb SA前ではなく、OU = Clepsydreデモンストレーションサービス、CN =タイムスタンプ局の妥当性:1月25日午前16時19分38秒2000 GMTない後:1月20日午前16時19分38秒2020 GMT件名:C = FR、O = EdelWeb SA、OU = Clepsydreデモンストレーションサービス、CN =タイムスタンプ局サブジェクト公開鍵情報:公開鍵アルゴリズム:rsaEncryption RSA公開鍵:(2048ビット)モジュラス(2048ビット):00:FA:C3:17: AE:EB:B7:9D:EB:AB:BD:05:7E:39:43:6D:04:45:58:74:05:A5:CC:F3:6C:2F:8C:8E:77: 7E:C2:9F:12:11:5(c):7D:DBは:である:23:28:9A:90:D2:AB:C6:A2:BA:BD:A3:7E:99:A6:99:21: A5:D8:90:B9:CF:A7:23:4E:A0:56:A0:C1:0A:46:89:8E:3C:91:67:37:fdが:9B:AB:49:17: FC:4A:A5:F2:E4:4C:6E:E3:6A:1C:92:97:04:6F:7F:0C:5C:FB:74:CB:95:7E:4C:C3:58: 12:E8:A9:D6:F0:DD:12:44:15:E7:8B:2E:AF:51:C0:0C:5F:A8:65:FC:47:A1:C9:98:1F: D4:E1:EA:BC:1C:1A:27:BB:8B:56:F1:12:55:10:F4:8E:D8:9F:19:9C:1E:81:F7:DB:63: DD:88:37:3F:71:79:5B:96:E2:5F:82:D5:12:19:05:0D:E1:3D:A5:6D:66:E4:C:1E:ED: C7:4C:B8:DF:AA:38:C8:15:6A:AE:25:7D:46:2A:07:F9:
83:77:c4:51:ee:90:dc:05:d0:c3:f0:f1:5f:e8:d4:
ed:5d:34:70:91:9d:9f:08:55:7d:5b:e5:8d:5f:35:
59:83:4e:72:19:bb:9c:88:d1:7a:fc:23:a5:84:99:
b4:17:8a:4d:6c:9d:d0:a6:35:80:5f:ca:fb:24:8b:
54:1d
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:TRUE, pathlen:0
X509v3 Extended Key Usage: critical
DVCS Signing
Authority Information Access: critical
DVCS - URI:https://clepsydre.edelweb.fr/dvcs/service-ccpd
Signature Algorithm: md5WithRSAEncryption 08:da:af:5b:09:39:66:d3:be:80:1d:d7:72:b5:2c:a3:04:fb: 46:f8:05:f5:bf:83:f3:6d:6d:32:28:1c:46:ee:0f:ea:30:61: 8a:1e:8a:03:4e:98:81:60:1f:97:17:53:d1:54:73:3f:72:98: 45:d3:10:9a:d3:77:b8:74:0e:9a:90:29:8e:ac:a4:eb:d2:24: 6d:f6:21:1d:3f:52:8b:2c:e6:92:e7:52:c6:54:93:91:bc:57: 74:21:38:39:75:cd:30:49:54:13:94:6c:fe:f1:64:38:1f:5f: 7d:bb:e0:3e:a8:f1:28:1c:f1:d9:28:fa:32:1e:3b:48:bf:5c: 70:21:29:ef:be:72:24:da:0d:f9:51:7a:fe:d7:f5:ff:e8:c2: ea:c6:4c:45:14:51:53:fd:00:d5:5b:cc:67:2a:23:94:31:9e: c2:90:38:9b:b0:df:f9:de:67:0c:57:5c:d7:b0:fc:f2:72:96: c4:d1:7a:9d:a0:e6:51:24:99:9e:89:c6:39:f9:72:7a:44:fd: 2d:3f:bc:df:c7:25:27:94:a1:b5:7d:ba:06:75:67:1c:95:6c: bd:2c:74:41:3e:cd:cd:39:5c:2e:9c:c3:c3:09:e3:79:d5:eb: 85:e8:f1:72:29:80:f6:c6:6e:61:1b:58:fc:87:3e:d9:e1:53: 10:e0:b1:05
署名アルゴリズム:md5WithRSAEncryption 08:DA:AF:5B:09:39:66:D3:である:80:1D:D7:72:B5:C:A3:04:FB:46:F8:05:F5:BF: 83:F3:6D:6D:32:28:1C:46:EE:0F:EA:30:61:8A:1E:8A:03:4E:98:81:60:1F:97:17:53: D1:54:73:3F:72:98:45:D3:10:9A:D3:77:B8:74:0E:9A:90:29:8E:AC:A4:EB:D2:24:6D: F6:21:1D:3F:52:8B:C:E6:92:E7:52:C6:54:93:91:BC:57:74:21:38:39:75:CD:30:49: 54:13:94:6C:FE:F1:64:38:1F:5F:7D:BB:E0:3E:A8:F1:28:1C:F1:D9:28:FA:32:1E:3B: 48:BF:5C:70:21:29:EF:である:72:24:DA:0D:F9:51:7A:FE:D7:F5:FF:E8:C2:EA:C6:4C:45: 14:51:53:FD:00:D5:5B:CC:67:2A:23:94:31:9E:C2:90:38:9B:B0:DF:F9:デ:67:0C:57: 5C:D7:B0:FC:F2:72:96:C4:D1:7A:9D:A0:E6:51:24:99:9E:89:C6:39:F9:72:7A:44:FD: 2D:3F:BC:DF:C7:25:27:94:A1:B5:7D:BA:06:75:67:1C:95:6C:BD:C:74:41:3E:CD:CD: 39:5C:2E:9C:C3:C3:09:E3:79:D5:EB:85:E8:F1:72:29:80:F6:C6:6E:61:1B:58:FC:87: 3E:D9:E1:53:10:E0:B1:05
-----BEGIN PKCS7-----
MIIH9wYJKoZIhvcNAQcCoIIH6DCCB+QCAQMxCzAJBgUrDgMCGgUAMIIBLQYLKoZI
hvcNAQkQAQigggEcBIIBGDCCARQwgdYKAQSgTaRLMEkxCzAJBgNVBAYTAkZSMQ4w
DAYDVQQHEwVQYXJpczEQMA4GA1UEChMHRWRlbFdlYjEYMBYGA1UEAxMPUGV0ZXIg
U3lsdmVzdGVyoQwGCisGAQQBqT0BAgGidKRyMHAxCzAJBgNVBAYTAkZSMRUwEwYD
VQQKEwxFZGVsV2ViIFMuQS4xKDAmBgNVBAsTH0NsZXBzeWRyZSBEZW1vbnN0cmF0
aW9uIFNlcnZpY2UxIDAeBgNVBAMTF1RpbWUgU3RhbXBpbmcgQXV0aG9yaXR5MB8w
BwYFKw4DAhoEFHW2ha9viUZ96AcVJR5Fl4/NH6VmAgcBeAoeyogjGA8yMDAwMDQx
NzE3MTYxN1qgggPgMIID3DCCAsSgAwIBAgIIAJSIFxdkNzIwDQYJKoZIhvcNAQEE
BQAwcDELMAkGA1UEBhMCRlIxFTATBgNVBAoTDEVkZWxXZWIgUy5BLjEoMCYGA1UE
CxMfQ2xlcHN5ZHJlIERlbW9uc3RyYXRpb24gU2VydmljZTEgMB4GA1UEAxMXVGlt
ZSBTdGFtcGluZyBBdXRob3JpdHkwHhcNMDAwMTI1MTYxOTM4WhcNMjAwMTIwMTYx
OTM4WjBwMQswCQYDVQQGEwJGUjEVMBMGA1UEChMMRWRlbFdlYiBTLkEuMSgwJgYD
VQQLEx9DbGVwc3lkcmUgRGVtb25zdHJhdGlvbiBTZXJ2aWNlMSAwHgYDVQQDExdU
aW1lIFN0YW1waW5nIEF1dGhvcml0eTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCC
AQoCggEBAPrDF67rt53rq70FfjlDbQRFWHQFpczzbC+Mjnd+wp8SEVx9274jKJqQ
0qvGorq9o36ZppkhpdiQuc+nI06gVqDBCkaJjjyRZzf9m6tJF/xKpfLkTG7jahyS lwRvfwxc+3TLlX5Mw1gS6KnW8N0SRBXniy6vUcAMX6hl/EehyZgf1OHqvBwaJ7uL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-----END PKCS7-----
Appendix G - Acknowledgements
付録G - 謝辞
This document is based on two initial works from Robert Zuccherato and Carlisle Adams, both at Entrust Technologies, for time stamping and for notary and data certification services.
この文書は、ロバートZuccheratoとカーライルアダムスから、両方のEntrust Technologies社で、タイムスタンプのためと公証人とデータ認証サービスのための2つの初期作品に基づいています。
Thanks to Denis Pinkas, Bull and Bruno Salgueiro, SIBS for valuable comments.
貴重なコメントについてデニスピンカス、ブルとブルーノSalgueiro、SIBSに感謝します。
Full Copyright Statement
完全な著作権声明
Copyright (C) The Internet Society (2001). All Rights Reserved.
著作権(C)インターネット協会(2001)。全著作権所有。
This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.
この文書とその翻訳は、コピーして他の人に提供し、それ以外についてはコメントまたは派生物は、いかなる種類の制限もなく、全体的にまたは部分的に、準備コピーし、公表して配布することができることを説明したり、その実装を支援することができます、上記の著作権表示とこの段落は、すべてのそのようなコピーや派生物に含まれていることを条件とします。しかし、この文書自体は著作権のための手順はで定義されている場合には、インターネット標準を開発するために必要なものを除き、インターネットソサエティもしくは他のインターネット関連団体に著作権情報や参照を取り除くなど、どのような方法で変更されないかもしれませんインターネット標準化プロセスが続く、または英語以外の言語に翻訳するために、必要に応じなければなりません。
The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.
上記の制限は永久で、インターネット学会やその後継者や譲渡者によって取り消されることはありません。
This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
この文書とここに含まれている情報は、基礎とインターネットソサエティおよびインターネットエンジニアリングタスクフォースはすべての保証を否認し、明示または黙示、その情報の利用がない任意の保証を含むがこれらに限定されない「として、」上に設けられています特定の目的への権利または商品性または適合性の黙示の保証を侵害します。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能のための基金は現在、インターネット協会によって提供されます。