Network Working Group C. Wallace
Request for Comments: 4810 Cygnacom Solutions
Category: Informational U. Pordesch
Fraunhofer Gesellschaft
R. Brandner
InterComponentWare AG
March 2007
Long-Term Archive Service Requirements
Status of This Memo
このメモのステータス
This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited.
このメモはインターネットコミュニティのための情報を提供します。それはどんな種類のインターネット標準を指定しません。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The IETF Trust (2007).
著作権(C)IETFトラスト(2007)。
Abstract
抽象
There are many scenarios in which users must be able to prove the existence of data at a specific point in time and be able to demonstrate the integrity of data since that time, even when the duration from time of existence to time of demonstration spans a large period of time. Additionally, users must be able to verify signatures on digitally signed data many years after the generation of the signature. This document describes a class of long-term archive services to support such scenarios and the technical requirements for interacting with such services.
ユーザーが特定の時点でのデータの存在を証明し、存在の時からデモの時に期間が大型にまたがる場合でも、その時以来、データの整合性を証明することができることができなければなりませんここで多くのシナリオがあります。期間。さらに、ユーザーが何年もの署名を生成した後、デジタル署名されたデータに署名を検証できなければなりません。この文書では、このようなシナリオと、そのようなサービスと対話するための技術的要件をサポートするために、長期的なアーカイブ・サービスのクラスを記述しています。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . 3
2. Terminology . . . . . . . . . . . . . . . . . . . . . . . . . 4
3. General Principles . . . . . . . . . . . . . . . . . . . . . . 5
4. Technical Requirements . . . . . . . . . . . . . . . . . . . . 6
4.1. Enable Submission, Retrieval, and Deletion of Archived
Data Objects . . . . . . . . . . . . . . . . . . . . . . . 6
4.1.1. Functional Requirements . . . . . . . . . . . . . . . 7
4.1.2. Rationale . . . . . . . . . . . . . . . . . . . . . . 7
4.2. Operate in accordance with a long-term archive policy . . 8
4.2.1. Functional Requirements . . . . . . . . . . . . . . . 8
4.2.2. Rationale . . . . . . . . . . . . . . . . . . . . . . 9
4.3. Enable Management of Archived Data Objects . . . . . . . . 9
4.3.1. Functional Requirements . . . . . . . . . . . . . . . 9
4.3.2. Rationale . . . . . . . . . . . . . . . . . . . . . . 9
4.4. Provide Evidence Records that Support Demonstration of
Data Integrity . . . . . . . . . . . . . . . . . . . . . . 10
4.4.1. Functional Requirements . . . . . . . . . . . . . . . 10
4.4.2. Rationale . . . . . . . . . . . . . . . . . . . . . . 10
4.5. Support Data Confidentiality . . . . . . . . . . . . . . . 11
4.5.1. Functional Requirements . . . . . . . . . . . . . . . 11
4.5.2. Rationale . . . . . . . . . . . . . . . . . . . . . . 11
4.6. Provide Means to Transfer Data and Evidence from One
Service to Another . . . . . . . . . . . . . . . . . . . . 11
4.6.1. Functional Requirements . . . . . . . . . . . . . . . 11
4.6.2. Rationale . . . . . . . . . . . . . . . . . . . . . . 11
4.7. Support Operations on Groups of Data Objects . . . . . . . 12
4.7.1. Functional Requirements . . . . . . . . . . . . . . . 12
4.7.2. Rationale . . . . . . . . . . . . . . . . . . . . . . 12
5. Operational Considerations . . . . . . . . . . . . . . . . . . 12
6. Security Considerations . . . . . . . . . . . . . . . . . . . 13
7. Acknowledgements . . . . . . . . . . . . . . . . . . . . . . . 14
8. Informative References . . . . . . . . . . . . . . . . . . . . 14
Appendix A. Application Scenarios . . . . . . . . . . . . . . . . 15
A.1. Archive Service Supporting Long-Term Non-Repudiation . . . 15
A.2. Pure Long-Term Non-Repudiation Service . . . . . . . . . . 15
A.3. Long-Term Archive Service as Part of an Internal
Network . . . . . . . . . . . . . . . . . . . . . . . . . 15
A.4. Long-Term Archive External Service . . . . . . . . . . . . 15
Digital data durability is undermined by continual progress and change on a number of fronts. The useful lifetime of data may exceed the life span of formats and mechanisms used to store the data. The lifetime of digitally signed data may exceed the validity periods of public-key certificates used to verify signatures or the cryptanalysis period of the cryptographic algorithms used to generate the signatures, i.e., the time after which an algorithm no longer provides the intended security properties. Technical and operational means are required to mitigate these issues. A solution must address issues such as storage media lifetime, disaster planning, advances in cryptanalysis or computational capabilities, changes in software technology, and legal issues.
デジタルデータの耐久性は前線の数の継続的な進歩と変化により、損なわれています。データの有効寿命は、データを格納するために使用されるフォーマットおよび機構の寿命を超えてもよいです。デジタル署名されたデータの寿命は、公開鍵署名を検証するために使用される証明書又は署名を生成するために使用される暗号アルゴリズムの暗号解読期間、即ち、アルゴリズムは、もはや意図セキュリティ特性を提供する後の時間の有効期間を超えてもよいです。技術と運用の手段は、これらの問題を軽減するために必要とされています。ソリューションは、ストレージメディアの寿命、防災計画、暗号解読や計算能力の進歩、ソフトウェア技術の変化、および法的な問題などの問題に対処しなければなりません。
A long-term archive service aids in the preservation of data over long periods of time through a regimen of technical and procedural mechanisms designed to support claims regarding a data object. For example, it might periodically perform activities to preserve data integrity and the non-repudiability of data existence by a particular point in time or take actions to ensure the availability of data. Examples of periodic activities include refreshing time stamps or transferring data to a new storage medium.
データ・オブジェクトに関する主張をサポートするように設計された技術および手順機構のレジメンを介して長期間にわたるデータの保存における長期アーカイブサービスを助けます。例えば、それは定期的に、特定の時点でデータの整合性と存在の非repudiabilityを保存するか、データの可用性を確保するための措置をとるための活動を行う可能性があります。定期的な活動の例としては、さわやかなタイムスタンプを含めるか、新しい記憶媒体にデータを転送します。
A long-term archive service may be used to provide evidence that supports validation of the existence of documents or assertions of agreements that were originally asserted with digital signatures. Validation may occur at times in the future well beyond the validity period of the private key originally used to generate the signature, or even beyond the time when the algorithms available for digital signatures, message digesting, or data encryption cease to offer effective protection because of improvements in computing speeds and methods.
長期アーカイブサービスは、文書や、もともとデジタル署名でアサートされた契約のアサーションの存在の検証をサポートしている証拠を提供するために使用することができます。検証が理由でも元々の署名を生成するために使用される秘密鍵の有効期間を超えた、あるいはデジタル署名、メッセージダイジェスト、またはデータ暗号化中止のために利用可能なアルゴリズムは、効果的な保護を提供するための時間を超えて、将来的に時間で行うことができます計算速度および方法の改良。
A long-term archive service may be located within an enterprise network, communicating with local storage mechanisms and other applications, or a long-term archive service may be implemented as an external service accessible via the Internet. A long-term archive service may use functionality, e.g., time stamping, provided by independent service providers.
長期アーカイブサービスは、ローカルストレージメカニズムと他のアプリケーションと通信し、企業ネットワーク内に配置することができる、または長期アーカイブサービスは、インターネットを介してアクセス可能な外部サービスとして実装することができます。長期アーカイブサービスは、例えば、タイムスタンプは、独立したサービスプロバイダによって提供される、機能を使用することができます。
A primary goal of a long-term archive service is to support the credible assertion of a claim that is currently asserted, at points well into the future. A long-term archive service may support a range of applications, including: wills, land records, medical data, criminal case files, personnel files, and contracts. A long-term archive service may be used by any type of entity, e.g., organizations, citizens, notaries. Examples of long-term archive service usage by submitters include:
長期アーカイブサービスの主な目的は、現在、今後もポイントで、アサートされた請求の信憑性の主張をサポートすることです。遺言、土地の記録、医療データ、刑事事件ファイル、人事ファイル、および契約:長期アーカイブサービスを含むアプリケーションの範囲をサポートすることができます。長期アーカイブサービスは、例えば、団体、市民、公証人のエンティティのいずれかの種類によって使用することができます。投稿者によって長期アーカイブサービスの使用例は次のとおりです。
- A company stores contracts using a third party service.
- 同社は、サードパーティのサービスを使用して契約を格納します。
- A hospital stores medical data using an internal service.
- 病院は内部サービスを利用した医療データを格納します。
- An individual wants to generate evidence of data possession at a particular point in time, e.g., for intellectual property purposes or endorsement of a contract.
- 個々のは、知的財産の目的や契約の承認のために、例えば、特定の時点でのデータ所持の証拠を生成したいと考えています。
- A law enforcement officer wants to store criminal data such that integrity of the data can be demonstrated years later.
- 法の執行役員は、データの整合性が年後に立証することができるような犯罪者のデータを保存したいと考えています。
For each of the above examples, there is a corresponding example involving retrievers, e.g., a company retrieves a contract in the case of a dispute or a law enforcement officer prepares information for a criminal trial.
上記の例のそれぞれについて、レトリバーを含む対応する例があり、例えば、会社が刑事裁判のための情報を準備紛争や法執行役員の場合は契約を取得します。
This document addresses the technical requirements for a long-term archive service.
この文書では、長期アーカイブサービスのための技術的な要件に対応しています。
We define the following terms based on their usage in the archiving community, in order to provide a vocabulary for describing requirements and the standards around them.
私たちは、要件およびそれらの周りの基準を記述するための語彙を提供するために、アーカイブコミュニティにおけるその使用法に基づいて、次の用語を定義します。
Arbitrator: Principal for whom the validity of archived data characteristics, e.g., origin, integrity or time of existence, must be demonstrated.
仲裁:アーカイブされたデータの特性、例えば、起源、整合性や存在の時間の有効性が実証されなければならない誰のために校長。
Archival Period: The period during which an archived data object is preserved by a long-term archive service.
アーカイブ期間:アーカイブされたデータオブジェクトが長期アーカイブサービスによって保存されている期間。
Archived Data Object: Data unit to be preserved by a long-term archive service.
アーカイブされたデータオブジェクト:データユニットは、長期アーカイブサービスによって保存されます。
Archive Package: Collection of information including archived data objects and associated Evidence Record.
アーカイブパッケージ:アーカイブされたデータオブジェクトを含む情報の収集及び関連する証拠を記録。
Cryptographic Maintenance Policy: A set of rules that defines how to maintain the validity of digitally signed objects should one of the hash or asymmetric algorithms used to create a digital signature become weak, or one of the private keys used to create a digital signature be compromised or become weak.
暗号保守ポリシー:デジタル弱くなっ署名、またはデジタル署名を作成するために使用される秘密鍵のいずれかを作成するために使用されるハッシュまたは非対称アルゴリズムの一つは妥協しなければならないデジタル署名されたオブジェクトの有効性を維持する方法を定義するルールのセットまたは弱くなります。
Evidence: Information that may be used to demonstrate the validity of an archived data object or related attestations.
証拠:アーカイブされたデータオブジェクトまたは関連アテステーションの有効性を実証するために使用することができる情報。
Evidence Record: Collection of evidence compiled for one or more archived data objects. An Evidence Record may include acknowledgements from a long-term archive service, time stamps and verification data, such as public-key certificates, revocation information, trust anchors, policy details and role information.
証拠レコード:1つの以上のアーカイブデータオブジェクト用にコンパイルされた証拠の収集。証拠の録音は、このような公開鍵証明書、失効情報、トラストアンカー、ポリシーの詳細やロール情報として長期アーカイブサービスからの確認応答、タイムスタンプと、検証データを含むことができます。
Long-Term Archive Policy: A set of rules that define operational characteristics of a long-term archive service.
長期アーカイブポリシー:長期アーカイブサービスの動作特性を定義する一連の規則。
Long-Term Archive Service (LTA): A service that is responsible for preserving data for long periods.
長期アーカイブサービス(LTA):長期間データを保存する責任があるサービス。
Modifier: Principal who modifies attributes associated with an archived data object and/or Evidence Record held by a long-term archive service.
修飾子:長期アーカイブサービスによって保持されたアーカイブされたデータオブジェクトおよび/または証拠レコードに関連付けられた属性を変更校長。
Originator: Principal who produces, and possibly digitally signs, an archived data object. The Originator does not necessarily have any relationship with a long-term archive service or any awareness of an Evidence Record associated with the archived data object.
発信:、アーカイブされたデータオブジェクトを生成し、そしておそらくデジタル署名校長。発信者は、必ずしも長期アーカイブサービスまたはアーカイブされたデータオブジェクトに関連付けられたエビデンスレコードのいずれかの意識との一切の関係を持ちません。
Retriever: Principal who retrieves archived data objects and/or Evidence Records from a long-term archive service.
レトリーバー:長期アーカイブサービスからアーカイブされたデータオブジェクトを取得元本および/または証拠レコード。
Submitter: Principal who submits data objects for archiving.
投稿者:アーカイブ用のデータ・オブジェクトを提出校長。
Time Stamp: An attestation generated by a Time Stamping Authority (TSA) that a data item existed at a certain time. For example, [RFC3161] specifies a structure for signed time stamp tokens as part of a protocol for communicating with a TSA.
タイムスタンプ:データ項目は、ある時点で存在したことをタイムスタンプ局(TSA)によって生成された認証。例えば、[RFC3161]はTSAと通信するためのプロトコルの一部として署名タイムスタンプトークンの構造を指定します。
Time Stamping Authority (TSA): A trusted service that provides attestations of existence of data at particular points in time. For example, [RFC3161] defines protocol elements for interacting with a TSA.
タイムスタンプ局(TSA):時間に特定のポイントでのデータの存在のアテステーションを提供し、信頼できるサービス。例えば、[RFC3161]はTSAと対話するためのプロトコル要素を定義します。
A long-term archive service may accept any type of data for preservation. The data might be in any format, whether textual data, images, documents, applications, or compound packages of multiple components. The data may be digitally signed, time stamped, encrypted, or not subject to any cryptographic processing.
長期アーカイブサービスは、保存のための任意のタイプのデータを受け入れることができます。データは、テキストデータ、画像、ドキュメント、アプリケーション、または複数の成分の化合物のパッケージかどうか、どのような形式であるかもしれません。データは、任意の暗号処理の対象と暗号化された、またはしないデジタル署名、タイムスタンプであってもよいです。
A long-term archive service may preserve archived data objects as opaque collections of bytes with the primary aim of data integrity.
長期アーカイブサービスは、データの整合性を主な目的とバイトの不透明なコレクションとしてアーカイブされたデータオブジェクトを保存することができます。
A long-term archive service is not required to operate upon evidence related to the content of archived data objects. Content-focused operations, including data format migration or translation, may be performed by another service. However, an LTA may incorporate support for such services.
長期アーカイブサービスは、アーカイブされたデータオブジェクトのコンテンツに関連する証拠に動作する必要はありません。データ形式の移行や翻訳などのコンテンツに焦点を当てた操作は、別のサービスによって実行することができます。しかし、LTAは、そのようなサービスのサポートを組み込むことができます。
Different long-term archive services may establish policies and procedures for archiving data objects over different lengths of time. For example, an LTA may refuse to preserve archived data objects for periods longer than 30 years. Similarly, LTAs may establish policies that limit the types of data that will be accepted for deposit by a particular LTA.
別の長期アーカイブサービスは、時間の異なる長さの上にデータオブジェクトをアーカイブするためのポリシーと手順を確立することができます。例えば、LTAは30年よりも長い期間のためにアーカイブされたデータオブジェクトを保存することを拒否することがあります。同様に、LTAs特定LTAによりデポジットのために受理されるデータの種類を制限するポリシーを確立することができます。
A long-term archive service provides evidence that may be used to demonstrate the existence of an archived data object at a given time and the integrity of the archived data object since that time. Additionally, the evidence identifies the LTA(s) that have participated in the preservation of the archived data object. If the archived data object itself contains digitally signed data, authentication of the signer is also possible.
長期アーカイブサービスは、その時以来、与えられた時点でアーカイブされたデータオブジェクトおよびアーカイブされたデータオブジェクトの完全性の存在を実証するために使用することができる証拠を提供します。また、証拠は、アーカイブされたデータオブジェクトの保存に参加しているLTA(複数可)を識別する。アーカイブされたデータオブジェクト自体がデジタル署名されたデータが含まれている場合は、署名者の認証も可能です。
A long-term archive service may be an adjunct component of a document management system. In such cases, the Evidence Record generated and maintained by the LTA is a property of data that is otherwise managed by the document management system.
長期アーカイブサービスは、文書管理システムの補助剤成分であってもよいです。このような場合には、LTAにより生成され、維持証拠レコードは、そうでなければ、文書管理システムによって管理されるデータの特性です。
This section describes the requirements for the protocol for accessing a long-term archive system and for the data formats associated with data preservation.
このセクションでは、長期アーカイブシステムにアクセスするため、データ保存に関連するデータ・フォーマットのためのプロトコルのための要件を記述する。
4.1. Enable Submission, Retrieval, and Deletion of Archived Data Objects
4.1. 提出、検索、およびアーカイブデータオブジェクトの削除を有効にします
A long-term archive service must permit clients to request the following basic operations:
長期アーカイブサービスは、次の基本的な操作を要求するクライアントを許可する必要があります:
- submit data objects for archive
- アーカイブのためのデータオブジェクトを提出
- retrieve archived data objects
- アーカイブされたデータオブジェクトを取得
- delete archived data objects
- アーカイブされたデータオブジェクトを削除
Following submission, the service must provide an identifier that can be used to retrieve the archived data and/or associated evidence. For example, it may be possible to retrieve archive packages by using a hash value of an archived data object. Possession of this value is not necessarily an authorization to access the associated archived data object or evidence record.
提出後、サービスは、アーカイブされたデータおよび/または関連する証拠を取得するために使用可能な識別子を提供する必要があります。例えば、アーカイブされたデータオブジェクトのハッシュ値を使用して、アーカイブパッケージを取得することも可能です。この値の所持は、必ずしも関連するアーカイブされたデータオブジェクトまたは証拠レコードにアクセスする権限はありません。
It must be possible to authenticate requests and responses, e.g., to enable LTAs to render an authorization decision. This may be accomplished by using transport security mechanisms. Requests, in particular retrieval or deletion requests, may be rejected if the requestor is not authorized. An authorization policy must be defined and observed by the long-term archive service. An LTA may disallow deletion as a matter of policy.
承認決定をレンダリングするLTAsを可能にするために、例えば、要求と応答を認証することが可能でなければなりません。これは、トランスポート・セキュリティ・メカニズムを使用することによって達成することができます。要求者が許可されていない場合には要求は、特定の検索や削除の要求で、拒否することができます。認可ポリシーを定義し、長期アーカイブサービスによって観察されなければなりません。 LTAは、政策の問題として削除を許可しないことがあります。
The format for the acknowledgements must allow the identification of the archiving provider and the participating client.
確認応答の形式はアーカイブプロバイダと参加するクライアントの識別を可能にしなければなりません。
The LTA must provide an acknowledgement of the deposit that permits the submitter to confirm the correct data was accepted by the LTA. This proof need not be provided immediately.
LTAは、LTAに受け入れられた正しいデータを確認するために提出を許可入金の確認応答を提供しなければなりません。この証明はすぐに提供する必要はありません。
Submission, retrieval, query state, and deletion of archived data objects are necessary basic functions of a long-term archive service.
提出、検索、クエリの状態、およびアーカイブされたデータオブジェクトの削除は、長期アーカイブサービスの必要な基本的な機能です。
Deletion may be disallowed due to procedural difficulties in fulfilling the request. For example, an archived data object may be stored on write-once media, along with other records that are not subject to deletion.
削除が原因の要求を満たすことで、手続きの困難に禁止することができます。たとえば、アーカイブされたデータオブジェクトは削除対象ではない他のレコードと一緒に、ライトワンスメディアに格納されてもよいです。
Acknowledgements may not be provided immediately due to implementation of a grace period. A generic query state mechanism should be provided to address such situations. For example, a submission response may indicate that a submission has been accepted and a subsequent query state response may indicate a submission has completed all necessary preservation steps.
謝辞による猶予期間の実装にすぐに提供されない場合があります。一般的なクエリ状態機構は、このような状況に対処するために提供されるべきです。例えば、提出応答が提出を受け付けたことを示すことができるとその後のクエリ状態応答は、送信が必要なすべての保存手順を完了したことを示すことができます。
A long-term archive service must operate in accordance with a long-term archive service policy that defines characteristics of the implementation of the long-term archive service. A long-term archive service policy contains several components, including:
長期アーカイブサービスは、長期アーカイブサービスの実装の特性を定義し、長期アーカイブサービスポリシーに従って動作しなければなりません。長期アーカイブサービスポリシーは、を含むいくつかのコンポーネントが含まれています。
- Archived data object maintenance policy
- アーカイブデータオブジェクト保守ポリシー
- Authorization policy
- 認可ポリシー
- Service policy
- サービスポリシー
A long-term archive service policy must include specifications of the preservation activities performed for archived data objects subject to the policy. A maintenance policy should define rules for the following operational aspects: preservation activity triggers, default archival period, and default handling upon expiration of archival period.
長期アーカイブサービスポリシーは、アーカイブされたデータは、ポリシーの対象オブジェクトに対して行わ保全活動の仕様を含める必要があります。 、保全活動は、トリガーアーカイブ期間をデフォルト、デフォルトはアーカイブ期間の満了時に取り扱い:保守ポリシーは、以下の運用面のルールを定義する必要があります。
Maintenance policies should include mechanism-specific details describing LTA operation. For example, where cryptographic mechanisms are employed, a cryptographic maintenance policy ought to be defined.
メンテナンスポリシーは、LTAの動作を説明するメカニズム固有の詳細を含める必要があります。暗号メカニズムが使用される場合、例えば、暗号保守ポリシーが定義されるべきです。
An authorization policy should define the entities permitted to exercise services provided by the LTA, including who is permitted to submit, retrieve, or manage specific archived data objects.
エンティティを定義する必要があり、認可ポリシーは、提出検索、または特定のアーカイブされたデータオブジェクトを管理することが許可された人を含め、LTAが提供するサービスを行使することを許可しました。
A service policy defines the types of services provided by an LTA, including acceptable data types, description of requests that may be accepted, and deletion procedures.
サービスポリシーは、許容可能なデータの種類、受け入れられる要求の説明、および削除手順を含むLTAによって提供されるサービスの種類を定義します。
Policies must be unambiguously identified, e.g., by an object identifier. Alternatively, an LTA may support a protocol that permits clients to specify policy parameters explicitly instead of by reference to a policy.
ポリシーは、明確にオブジェクト識別子によって、例えば、特定されなければなりません。あるいは、LTAは、クライアントが、ポリシーを参照することにより明示的に代わりのポリシーパラメータを指定することを可能にするプロトコルをサポートすることができます。
A long-term archive service must be able to provide information identifying the policies relevant for a given archived data object.
長期アーカイブサービスは、指定されたアーカイブされたデータオブジェクトに関連するポリシーを特定する情報を提供することができなければなりません。
Similar to a certificate policies [RFC3647], which are identified using object identifiers, a long-term archive policy provides a shorthand means of technically identifying a set of rules that govern the operation of a long-term archive service.
オブジェクト識別子を使用して同定された証明書ポリシー[RFC3647]と同様、長期アーカイブ・ポリシーは、技術的、長期アーカイブサービスの動作を制御する規則のセットを識別する速記手段を提供します。
Over the course of many years, the policies under which an LTA operates may undergo modification. Thus, an evidence record may feature multiple indications of policies active at various points during the life of an archived data object.
長年にわたって、LTAが動作するポリシーが変更を受けることがあります。したがって、証拠の記録はアーカイブされたデータオブジェクトの実行中にさまざまなポイントでアクティブなポリシーの複数の適応症を特徴とすることができます。
A long-term archive service must permit clients to request the following basic operations:
長期アーカイブサービスは、次の基本的な操作を要求するクライアントを許可する必要があります:
- specify an archival period for submitted data objects
- 提出されたデータ・オブジェクトのアーカイブ期間を指定します
- extend or shorten the archival period for an archived data object
- アーカイブされたデータオブジェクトのアーカイブ期間を延長または短縮
- specify metadata associated with an archived data object
- アーカイブされたデータオブジェクトに関連付けられたメタデータを指定
- specify an archive policy under which the submitted data should be handled
- 提出されたデータを処理する必要があり、その下アーカイブポリシーを指定
It should be possible to express an archival period in terms of time, an event or a combination of time and event.
時間、事象又は時間とイベントの組み合わせの点でアーカイブ期間を表現することが可能であるべきです。
Submitters should be able to specify metadata that, for example, can be used to enable retrievers to render the data correctly, to locate data in an archive or to place data in a particular context. Examples include, classification codes, type of format, contributors, title, author, and date. Alternatively, such information may be included in the content of an archived data object.
提出者は、例えば、アーカイブ内のデータを検索したり、特定のコンテキストにデータを配置するために、データを正しくレンダリングするためにレトリバーを可能にするために使用できるメタデータを指定することができるはずです。例としては、分類コード、フォーマット、貢献者、タイトル、著者、日付の種類を含みます。あるいは、そのような情報は、アーカイブされたデータオブジェクトの内容に含まれていてもよいです。
If a long-term archive service does not support a requested policy, it must return an error indication. A service must provide an indication of the archive policy enforced by the service.
長期アーカイブサービスは、要求されたポリシーをサポートしていない場合は、エラー表示を返す必要があります。サービスは、サービスによって強制アーカイブポリシーの表示を提供しなければなりません。
Submission, retrieval, and deletion of archived data objects are necessary basic functions of a long-term archive service.
提出、検索、およびアーカイブされたデータオブジェクトの削除は、長期アーカイブサービスの必要な基本的な機能です。
Specification and management of the archival period is necessary to avoid unnecessary preservation activities.
アーカイブ期間の指定及び管理が不要な保全活動を避ける必要があります。
4.4. Provide Evidence Records that Support Demonstration of Data Integrity
4.4. データ整合性の実証を支援証拠レコードを提供
A long-term archive service must be capable of providing evidence that can be used to demonstrate the integrity of data for which it is responsible, from the time it received the data until the expiration of the archival period of the data.
長期アーカイブサービスは、それがデータのアーカイブ期間の満了までデータを受信した時刻から、担当するデータの整合性を実証するために使用することができる証拠を提供することが可能でなければなりません。
This may be achieved by providing evidence records that support the long-term non-repudiation of data existence at a point in time, e.g., in the case of legal disputes. The evidence record should contain sufficient information to enable the validity of an archived data object's characteristics to be demonstrated to an arbitrator. The characteristics subject to verification will vary. For example, authentication of an originator may not be possible in all cases, e.g., where the object submitted to the archive is not signed or where the object does not include the necessary information to authenticate the object's signer.
これは、法的紛争の場合には、例えば、ある時点でデータ有無の長期的な否認防止をサポートする証拠の記録を提供することによって達成することができます。証拠の記録はアーカイブされたデータオブジェクトの特性の妥当性が仲裁に立証することを可能にするために十分な情報が含まれている必要があります。検証の対象特性が異なります。オブジェクトは、オブジェクトの署名者を認証するために必要な情報が含まれていない場合、例えば、発信者の認証は、すべての場合において、例えば、アーカイブに提出オブジェクトが署名されていない可能な場合であってもなくてもよいです。
Evidence records must be structured such that modifications to an archived data object or its evidence record can be detected, including modifications made by administrators of an LTA.
証拠レコードは、アーカイブされたデータオブジェクトまたはその証拠レコードへの変更は、LTAの管理者によって行われた変更を含む、検出することができるように構成されなければなりません。
Supporting non-repudiation of data existence, integrity, and origin is a primary purpose of a long-term archive service. Evidence may be generated, or otherwise obtained, by the service providing the evidence to a retriever. A long-term archive service need not be capable of providing all evidence necessary to produce a non-repudiation proof, and in some cases, should not be trusted to provide all necessary information. For example, trust anchors [RFC3280] and algorithm security policies should be provided by other services. An LTA that is trusted to provide trust anchors could forge an evidence record verified by using those trust anchors.
データの存在、整合性、および起源の否認防止をサポートする長期アーカイブサービスの主な目的です。証拠は、生成され、または他の方法で検索者に証拠を提供するサービスによって、得ることができます。長期アーカイブサービスは、否認防止の証拠を生成するために必要なすべての証拠を提供することが可能である必要はなく、いくつかのケースでは、すべての必要な情報を提供するために信頼すべきではありません。例えば、信頼アンカー[RFC3280]とアルゴリズムのセキュリティポリシーは、他のサービスによって提供されるべきです。トラストアンカーを提供するために、信頼されるLTAは、これらのトラストアンカーを用いて検証証拠の記録を偽造する可能性があります。
Demonstration that data has not been altered while in the care of a long-term archive service is a first step towards supporting non-repudiation of data. Certification services support cases in which data must be modified, e.g., translation or format migration. An LTA may provide certification services.
長期アーカイブサービスのケアにデータの否認防止をサポートするための第一歩である一方で、データが変更されていないことを実証。認定サービスサポートデータは、例えば、変更されなければならない場合、翻訳またはフォーマットの移行。 LTAは、認証サービスを提供することができます。
A long-term archive service must provide means to ensure confidentiality of archived data objects, including confidentiality between the submitter and the long-term archive service. An LTA must provide a means for accepting encrypted data such that future preservation activities apply to the original, unencrypted data. Encryption, or other methods of providing confidentiality, must not pose a risk to the associated evidence record.
長期アーカイブサービスは、提出者と長期アーカイブサービスとの間の機密保持を含むアーカイブされたデータオブジェクトの機密性を確保するための手段を提供しなければなりません。 LTAは、今後の保全活動は、元の、暗号化されていないデータに適用するように、暗号化されたデータを受け入れるための手段を提供しなければなりません。暗号化、または機密性を提供する他の方法は、関連する証拠記録に危険をもたらすてはいけません。
A long-term archive service should maintain contact information for the parties responsible for each archived data object so warning messages can be sent when encryption algorithms require maintenance.
長期アーカイブサービスはそう警告メッセージを各アーカイブされたデータオブジェクトを担当する関係者の連絡先情報を維持すべき暗号化アルゴリズムは、メンテナンスを必要としたときに送信することができます。
Individuals may wish to use the services of a commercial long-term service without disclosing data to the commercial service. However, access to the original data may be necessary to perform some preservation activities.
個人が商用サービスにデータを開示することなく、市販の長期的なサービスのサービスを使用することもできます。しかし、元のデータへのアクセスは、いくつかの保全活動を行う必要があるかもしれません。
4.6. Provide Means to Transfer Data and Evidence from One Service to Another
4.6. 別のサービスからのデータや証拠を転送するための手段を提供
It must be possible to submit data along with previously generated evidence, i.e., to support transfer of data from one archive to another. A long-term archive service must support the transfer of archived data objects, evidence and evidence records from one service to another. It must be possible for evidence records to span multiple providers over the course of time, without losing value as evidence.
別のアーカイブからのデータの転送をサポートするために、すなわち、以前に生成された証拠と一緒にデータを提出することが可能でなければなりません。長期アーカイブサービスは、別のサービスからアーカイブされたデータオブジェクト、証拠及び証拠レコードの転送をサポートしている必要があります。証拠の記録が証拠としての価値を失うことなく、時間の経過とともに複数のプロバイダにまたがるすることが可能でなければなりません。
Before the end of an archived data object's archival period, a long-term archive service may cease operation. In such cases, it must be possible for the archived data object (and any associated evidence) to be transferred to another service that will continue preservation of the data until the end of the archival period.
アーカイブされたデータオブジェクトのアーカイブ期間の終了前に、長期アーカイブサービスは、動作を停止します。このような場合には、アーカイブ期間の終了までデータの保存を継続する別のサービスに転送するアーカイブデータオブジェクト(および関連する証拠)が可能でなければなりません。
Submitters may change service providers before the end of an archived data object's archival period. In such cases, it must be possible for the submitter to transfer an archived data object and all associated evidence from the original LTA to a new LTA.
提出者は、アーカイブされたデータオブジェクトのアーカイブ期間の終了前に、サービスプロバイダを変更することがあります。提出者は、新しいLTAにオリジナルのLTAからアーカイブされたデータオブジェクトと関連付けられたすべての証拠を転送するためにこのような場合には、それが可能でなければなりません。
An LTA should support submission of groups of data objects. Submitters should be able to indicate which data objects belong together, i.e. comprise a group, and retrievers should be able to retrieve one, some or all members of a group of data objects.
LTAは、データオブジェクトのグループの提出をサポートする必要があります。提出者は、データオブジェクトがグループを含む、すなわち、一緒に属するかを示すことができる必要があり、そしてレトリバーは、一つ、データオブジェクトのグループの一部またはすべてのメンバーを取得することができなければなりません。
It should be possible to provide evidence for groups of archived data objects. For example, it should be possible to archive a document file and a signature file together such that they are covered by the same evidence record.
アーカイブされたデータオブジェクトのグループのための証拠を提供することが可能でなければなりません。例えば、彼らが同じ証拠レコードでカバーされていることを一緒に、文書ファイルと署名ファイルをアーカイブすることが可能です。
Where an LTA operates upon groups of data objects, non-repudiation proof must still be available for each archived data object separately.
LTAは、データオブジェクトのグループに応じて動作する場合、否認防止の証拠はまだ個別アーカイブされたデータオブジェクトのために利用可能でなければなりません。
In many cases data objects belong together. Examples include:
多くの場合、データ・オブジェクトが一緒に属しています。例としては、
- a document file and an associated signature file, which are two separate objects
- 二つの別々のオブジェクトであり、文書ファイルと関連する署名ファイル、
- TIF-files representing pages of a document
- 文書のページを表すTIF-ファイル
- a document file and an evidence file (possibly generated by another LTA)
- 文書ファイルと(おそらく別のLTAによって生成された)証拠ファイル
- a document and its translation to another format or language
- 別の形式や言語への文書とその翻訳
In these cases, it is to the best advantage to handle these data objects as a group.
これらのケースでは、それはグループとして、これらのデータ・オブジェクトを処理するために最善の利点にあります。
A long-term archive service must be able to work efficiently even for large amounts of archived data objects. In order to limit expenses and to achieve high performance, it may be desirable to minimize the use of trusted third parties, e.g., LTA operations should be designed to limit the number of time stamps required to provide the desired level of service.
長期アーカイブサービスは、アーカイブされたデータオブジェクトの大量のためにも、効率的に作業することができなければなりません。経費を制限するために、高性能を達成するためには、信頼できるサードパーティの使用を最小限にすることが望ましいかもしれない、例えば、LTA動作は、サービスの所望のレベルを提供するために必要なタイムスタンプの数を制限するように設計されるべきです。
Necessity to access archived data objects should be minimized. It may only be necessary to access the archived data objects if the archived data objects are requested by users, or if hash algorithms used for indexing, or evidence record generation become insecure.
アーカイブされたデータオブジェクトにアクセスする必要が最小化されなければなりません。アーカイブされたデータオブジェクトがユーザーによって要求された場合、またはハッシュアルゴリズムは、インデックス、または安全でないとなっ証拠レコードの生成に使用される場合にのみアーカイブされたデータオブジェクトにアクセスする必要があるかもしれません。
An LTA must be capable of operating in accordance with any applicable legal regime. For example, an LTA may be required to reject a deletion request from an authorized requestor if the target of the request has been subpoenaed by law enforcement authorities.
LTAは、適用可能な法制度に従って動作することが可能でなければなりません。例えば、LTAは、要求のターゲットは、法執行当局によって召喚された場合、許可要求者からの削除要求を拒否するために必要とすることができます。
Some applications may require processing of a chain of archive policies present in an evidence record, e.g., to ensure that compatible policies were used throughout the lifetime of the archived data objects.
一部のアプリケーションでは、互換性のあるポリシーがアーカイブされたデータ・オブジェクトの寿命を通して使用されたことを確認するために、例えば、証拠のレコードに存在するアーカイブ・ポリシーのチェーンの処理を必要とするかもしれません。
Data is the principal asset protected by a long-term archive service. The principle threat that must be addressed by a long-term archive service is an undetected loss of data integrity.
データは、長期アーカイブサービスにより保護主な資産です。長期アーカイブサービスによって対処しなければならない原則脅威は、データの整合性の検出されない損失です。
In cases where signature verification relies on a PKI, certificate revocation could retroactively invalidate previously verified signatures. An LTA may implement measures to support such claims by an alleged signer, e.g., collection of revocation information after a grace period during which compromise can be reported or preservation of subsequent revocation information.
署名検証は、PKIに依存している場合には、証明書の失効は、遡及以前に検証署名を無効にできました。 LTAは、疑惑の署名者がそのような主張をサポートするための措置、例えば、妥協を報告することができ、その間、猶予期間後に失効情報の収集またはその後の失効情報の保存を実装することができます。
When selecting access control mechanisms associated with data stored by a LTA, the lifespan of the archived data object should be considered. For example, the credentials of an entity that submitted data to an archive may not be available or valid when the data needs to be retrieved.
LTAによって記憶されたデータに関連付けられたアクセス制御機構を選択する場合、アーカイブされたデータ・オブジェクトの寿命を考慮すべきです。データを取得する必要がある場合たとえば、アーカイブにデータを提出したエンティティの資格情報が利用可能であるか、または有効でない場合があります。
During the lifespan of an archived data object, formats may cease to be supported. Software components to process data, including content or signatures, may no longer be available. This could be a problem particularly if non-standard formats are used or proprietary processing is employed. The submitter should take care to avoid such problems. For example, the submitter (or other authorized entity) could periodically retrieve data, convert the data, and re-submit it in a new format. Additional mechanisms, applications, or tools may be needed to preserve the value of evidence records associated with the original archived data object.
アーカイブされたデータオブジェクトの寿命の間に、フォーマットがサポートされなくなる可能性があります。コンテンツまたは署名を含むデータを処理するためのソフトウェア・コンポーネントは、もはや利用可能でないかもしれません。これは、非標準のフォーマットが使用されるか、または独自の処理が使用される場合は特に問題となり得ます。提出者は、このような問題を避けるために注意を払う必要があります。例えば、提出者(または他の権限のある機関)は、定期的に、データを取得するデータを変換し、新しいフォーマットでそれを再提出することができます。追加のメカニズム、アプリケーション、またはツールは、元のアーカイブされたデータオブジェクトに関連付けられた証拠記録の価値を維持するために必要とされ得ます。
A long-term archive system may require correlation of different identities that represent the same entity at different points in time. For example, an individual's identity may be represented by different employers at different points in time.
長期アーカイブシステムは、異なる時点で同じエンティティを表す異なるアイデンティティの相関を必要とするかもしれません。例えば、個人のアイデンティティは、異なる時点で、異なる使用者によって表すことができます。
A long-term archive system must perform maintenance activities on a schedule that considers factors such as the strength of relevant cryptographic algorithms, lifespan of relevant certification authorities, and revocation status of relevant entities, e.g., timestamp authorities. Standards for use of cryptographic algorithms are expected to be established by organization or governmental bodies, not by individual LTAs.
長期アーカイブシステムは、関連する暗号アルゴリズムの強度、関連する認証機関の寿命、および関連するエンティティの失効状態、例えば、タイムスタンプ当局などの要因を考慮したスケジュールでの保守作業を実行する必要があります。暗号化アルゴリズムを使用するための基準はありません、個々のLTAsによって、組織や政府機関によって確立されることが期待されます。
Thanks to members of the LTANS mailing list for review of earlier drafts and many suggestions. In particular, thanks to Larry Masinter, Denis Pinkas, and Peter Sylvester for review and suggestions.
以前のドラフトと多くの提案の審査のためのLTANSメーリングリストのメンバーに感謝します。具体的には、レビューと提案のためのラリーMasinter、デニスピンカス、そしてピーター・シルベスターのおかげ。
[RFC3161] Adams, C., Cain, P., Pinkas, D., and R. Zuccherato, "Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP)", RFC 3161, August 2001.
[RFC3161]アダムス、C.、カイン、P.、ピンカス、D.、およびR. Zuccherato、 "インターネットX.509公開鍵インフラストラクチャのタイムスタンププロトコル(TSP)"、RFC 3161、2001年8月。
[RFC3280] Housley, R., Polk, W., Ford, W., and D. Solo, "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile", RFC 3280, April 2002.
[RFC3280] Housley氏、R.、ポーク、W.、フォード、W.、およびD.ソロ、 "インターネットX.509公開鍵暗号基盤証明書と証明書失効リスト(CRL)プロフィール"、RFC 3280、2002年4月。
[RFC3647] Chokhani, S., Ford, W., Sabett, R., Merrill, C., and S. Wu, "Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework", RFC 3647, November 2003.
[RFC3647] Chokhani、S.、フォード、W.、Sabett、R.、メリル、C.、およびS.ウー、 "インターネットX.509公開鍵基盤証明書ポリシーと認証実践フレームワーク"、RFC 3647、2003年11月。
Appendix A. Application Scenarios
付録A.アプリケーションシナリオ
Below are several example application scenarios demonstrating one or more of the basic service features mentioned above.
以下は、上記の基本的なサービス機能の一つ以上を証明するいくつかのサンプルアプリケーションのシナリオがあります。
A.1. Archive Service Supporting Long-Term Non-Repudiation
A.1。長期否認防止をサポートするアーカイブサービス
A long-term archive service may store data objects, such as signed or unsigned documents, for authenticated users. It may generate time stamps for these data objects and obtain verification data during the archival period or until a deletion request is received from an authorized entity.
長期アーカイブサービスは、認証されたユーザーのために、そのような符号付きまたは符号なしの文書などのデータオブジェクトを格納することができます。これは、これらのデータ・オブジェクトのタイムスタンプを生成し、アーカイブ期間中または削除要求が許可されたエンティティから受信されるまで検証データを取得してもよいです。
A.2. Pure Long-Term Non-Repudiation Service
A.2。ピュア長期否認防止サービス
A long-term archive service may only guarantee non-repudiation of existence of data by periodically generating time stamps and obtaining verification data. It stores data objects (e.g., documents and signatures) locally only for the purpose of non-repudiation and does not function as a document archive for users. It does not support retrieval and deletion of data objects.
長期アーカイブサービスは、定期的にタイムスタンプを生成し、検証データを取得することにより、データの存在を否認防止を保証することがあります。これは、否認防止を目的としたローカルのみのデータオブジェクト(例えば、文書と署名)を格納し、ユーザーのドキュメントアーカイブとして機能しません。これは、データオブジェクトの検索と削除をサポートしていません。
A.3. Long-Term Archive Service as Part of an Internal Network
A.3。内部ネットワークの一部として長期アーカイブサービス
A long-term archive service may be part of an enterprise network. The network provider and archive service may be part of the same institution. In this case, the service should obtain non-repudiation evidence from a third party. An internally generated acknowledgement may be viewed worthless.
長期アーカイブサービスは、企業ネットワークの一部であってもよいです。ネットワークプロバイダやアーカイブサービスは、同じ機関の一部であってもよいです。この場合、サービスは、第三者からの否認防止の証拠を入手する必要があります。内部で生成された確認は無益見ることができます。
A.4. Long-Term Archive External Service
A.4。長期アーカイブ外部サービス
A long-term archive service may be provided over the Internet for enterprises or consumers. In this case, archiving and providing evidence (via time stamps or other means) may be adduced by one organization and its own technical infrastructure, without using external services.
長期アーカイブサービスは、企業や消費者のためのインターネット上で提供することができます。この場合、アーカイブおよび外部サービスを使用することなく、ある組織、独自の技術インフラストラクチャによってadducedすることができる(タイムスタンプまたは他の手段を介して)証拠を提供します。
Authors' Addresses
著者のアドレス
Carl Wallace Cygnacom Solutions Suite 5200 7925 Jones Branch Drive McLean, VA 22102
カール・ウォレスCygnacomソリューションスイート5200 7925ジョーンズ支店ドライブマクリーン、VA 22102
Fax: +1(703)848-0960 EMail: cwallace@cygnacom.com
ファックス:+1(703)848-0960 Eメール:cwallace@cygnacom.com
Ulrich Pordesch Fraunhofer Gesellschaft Rheinstrasse 75 Darmstadt, Germany D-64295
ウルリッヒPordeschフラウンホーファーゲゼルシャフトレインシュトラーセ75ダルムシュタット、ドイツD-64295
EMail: ulrich.pordesch@zv.fraunhofer.de
メールアドレス:ulrich.pordesch@zv.fraunhofer.de
Ralf Brandner InterComponentWare AG Otto-Hahn-Strabe 3 Walldorf, Germany 69190
ラルフBrandner InterComponentWare AGオットー・ハーンファー通り3ヴァルドルフ、ドイツ69190
EMail: ralf.brandner@intercomponentware.com
メールアドレス:ralf.brandner@intercomponentware.com
Full Copyright Statement
完全な著作権声明
Copyright (C) The IETF Trust (2007).
著作権(C)IETFトラスト(2007)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書では、BCP 78に含まれる権利と許可と制限の適用を受けており、その中の記載を除いて、作者は彼らのすべての権利を保有します。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
この文書とここに含まれている情報は、基礎とCONTRIBUTOR「そのまま」、ORGANIZATION HE / SHEが表すまたはインターネットSOCIETY、(もしあれば)を後援し、IETF TRUST ANDインターネットエンジニアリングタスクフォース放棄ALLに設けられています。保証は、明示または黙示、この情報の利用および特定目的に対する権利または商品性または適合性の黙示の保証を侵害しない任意の保証がこれらに限定されません。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、本書またはそのような権限下で、ライセンスがたりないかもしれない程度に記載された技術の実装や使用に関係すると主張される可能性があります任意の知的財産権やその他の権利の有効性または範囲に関していかなる位置を取りません利用可能です。またそれは、それがどのような権利を確認する独自の取り組みを行ったことを示すものでもありません。 RFC文書の権利に関する手続きの情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IPRの開示のコピーが利用できるようにIETF事務局とライセンスの保証に行われた、または本仕様の実装者または利用者がそのような所有権の使用のための一般的なライセンスまたは許可を取得するために作られた試みの結果を得ることができますhttp://www.ietf.org/iprのIETFのオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、その注意にこの標準を実装するために必要とされる技術をカバーすることができる任意の著作権、特許または特許出願、またはその他の所有権を持ってすべての利害関係者を招待します。 ietf-ipr@ietf.orgのIETFに情報を記述してください。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能のための基金は現在、インターネット協会によって提供されます。