4. 証明の処理
English受信エージェントは、デジタル エンベロープ受信者に対する証明へのアクセスを獲得するため、何らかの証明検索メカニズムを提供しなければなりません(MUST)。このメモでは、S/MIME エージェントが証明をどう処理するかについては触れず、証明が検証もしくは拒否された後に、S/MIME エージェントが何をするのかについてだけ説明しています。S/MIME の証明問題は他の文書が扱っています。
少なくとも初期の S/MIME 展開に関しては、ユーザ エージェントは、目的の受信者へのメッセージを自動的に生成し、その受信者の証明を署名付き返信メッセージに要求することができます。受信および送信エージェントはまた、ユーザが後に検索できるような方法で証明を「記憶、保護」できるメカニズムを提供する必要があります(SHOULD)。
S/MIME エージェントもしくは関連する管理用のユーティリティや機能は、ユーザに代って対になった RSA 鍵を生成することができなければなりません(MUST)。対鍵はそれぞれ、非決定的なランダム入力の良好なソースから生成され、安全な方法で保護されなければなりません(MUST)。
ユーザ エージェントは、最小 768ビット、最大 1024 ビットの範囲内で RSA 対鍵を生成する必要があります(SHOULD)。ユーザ エージェントは、長さが 512 ビット以下の RSA 対鍵を生成してはなりません(MUST NOT)。米国製のエージェントの中には、より有利な輸出認可を得るために 512 ビット鍵の作成を選択したものがあります。しかし、512 ビット鍵は多くの人々に暗号的に危険と見なされています。
実装者は複数の(アクティブな)対鍵が単一の個人と結び付けられる可能性があることを自覚する必要があります。たとえば、ある対鍵は機密性をサポートするのに使い、別の対鍵は認証のために使うといったケースが考えられます。