8. データ検証・認証リクエスト English
DVC (Data Validation and Certification)リクエストは、[RFC2630] において規定されている ContentInfo である。
(準備中)
これは、 contenttype id-ct- DVCSRequestData signalling a DVCSRequestData
をもった [RFC2630] 中身から成る可能性がある。id-ct-DVCSRequestData OBJECT IDENTIFIER ::= {iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) ct(1) 7}
これらのデータは、オプションとして、認証、かつ/または、守秘のために提供する contenttypes によってカプセル化される。
本書は、[RFC2630] の SignedData 構造体の用法を記述する。これは、
the contenttype indicated in the eContentType of the encapContentInfo が
id-ct-DVCSRequestData であり、
the eContent of the encapContentInfo,
carried as an octet string,
が DVCSRequestData 構造体を含むものである。SignedData 構造を使うとき、Data Validation and Certification リクエストは、
several SignerInfo 構造s,
and countersignature attributes depending on operational environments
を含むことができる(MAY )。エンドユーザ クライアントがリクエストを作成するとき、
there is 1 or 0 SignerInfo.
依存する DVCS は、追加的署名または countersignature 属性を追加することができ(MAY)、あるいは、
MAY use another encapsulation from [RFC2630] that provides for authentication and/or confidentiality.The content of a request consists of a description of the desired service and 追加的な parameters,
検証されるべきデータ、および、リクエストのオプションとしての識別子。DVCSRequest ::= SEQUENCE {
requestInformation DVCSRequestInformation,
data Data,
transactionIdentifier GeneralName OPTIONAL}
'DVCSRequest.requestInformation' 要素は、リクエストについての一般的な情報を含む。これは、要求者によって次のように埋められる。:
- 'version' フィールドは、
is set to 1 or the フィールド is absent in this version of the プロトコル。'service' フィールドは、要求されたサービスを含む。
- 'nonce' フィールドは、リプレイ攻撃またはコンテンツ推測攻撃に対する追加的な防護を提供するために使われる可能性がある(MAY)。
- 'requestTime' フィールドは、
the time for which the requested service should be performed
を示すために使うことができる(MAY)。
For a vsd and cpkc service,
it specifies the time for which the validity of a signed document or certicates is to be asserted.
For the other service,
このフィールドは、
is ignored by the DVCS. If the フィールド is absent,
the current time is assumed.
- '要求者' フィールドの値は、要求している主体を示す。
このフィールドの実装と用法は、DVCS ポリシーによって規定されなければならない(MUST)。
用法の例を示す。:
このフィールドがあり、かつ、リクエストが署名されている場合、 DVCS は、「このフィールドが 対応する署名証明書の身元(subjectName または subjectAltName 拡張)と合致しなければならない(MUST)こと」を要求する可能性がある。
リクエストは、
when relaying it to another DVCS
DVCS によって署名される可能性がある(MAY)。When acting as a relay,
a DVCS MAY add its own identity in the request relayed to another service provider,
and it MAY remove the initial value.
- 'requestPolicy' フィールドは、
SHOULD indicate the policy under which the 検証 is requested.
このフィールドは、
MUST be checked by the DVCS to verify agreement with its own policy.
このフィールドが無いことは、「いかなるポリシーも許容可能であること」を示す。
- 'dvcs' フィールドは、
MAY be used
to indicate a list of DVCS which can be contacted to provide (追加的)情報 or
to perform additional operations necessary to produce the response.It is up to the DVCS policy whether to honor this フィールド or not,
and to define which choice of a general name is acceptable。
(例: URL または DN。)
- 'dataLocations' フィールド は、
MAY be used to indicate where a copy of the 'data' フィールド of the request or supplementary 情報 can be obtained。
DVCS は、
does not use このフィールド for its own operation,
the exact interpretation of このフィールド is defined by applications.
- 'requestTime' フィールド は、
MAY be used to indicate the time for which the requested service should be performed.
For a vsd and cpkc service,
it specifies the time for which the validity of a signed document or certicates is to be asserted.
For the other service,
the フィールド is ignored by the DVCS.
このフィールドが無い場合、現在時刻は、
is assumed。
DVCS サービスは、
may have a time limit or a delta time limit regarding current time
which are specified in the local policy of the DVCS service.
- 'extensions' フィールド は、追加的情報を含めるために使われる可能性がある(MAY)。
Extensions may be marked critical or not in order to indicate whether the DVCS is supposed to understand them.
本書は、拡張(extensions)を規定しない。DVCSRequest.data は、
contains service-specific content,
defined by each particular service provided by the DVCS。Depending on the requested service type,
the フィールド may contain a signed document,
a list of 証明書s,
a message digest or arbitrary データ。次のタイプが使われる。:
Data ::= CHOICE {
message OCTET STRING ,
messageImprint DigestInfo,
certs SEQUENCE SIZE (1..MAX) OF TargetEtcChain}
要求者は、次のように 'data' 要素を埋める。:
- For a vsd service request, the requestor encapsulates a CMS SignedData object in the value octets of the 'message' choice.
It is up to the 要求者 to decide
whether and how to provide any 証明書 that may be needed to verify the 署名(s) in the signedData object.
A 要求者 MAY add 証明書s to the encapsulated signedData object or in the 証明書 list of the request.
- For a cpkc service request the 'certs' choice is used.
検証されるべき各証明書は、
MUST be included in a separate instance of TargetEtcChain.
'TargetEtcChain.chain' フィールドがあれば、これは、
indicates one or more chains of trust that can be used to validate the 証明書。
DVCS は、
MAY choose to select a subset of 証明書s as certification path,
or to ignore this フィールド.
'TargetEtcChain.pathProcInput' フィールドがある場合、これは、
indicates the acceptable policy set and initial settings for explicit-policy-indicator and inhibit-policy-mapping indicators to be used in X.509 公開鍵証明書パス検証。
([RFC2459] 参照。)Only the Certificate,
ESSCertId, CertId or Extension choices of the TargetEtcChain
のみが、リクエスト中において使うことができる。要求者は、対応する証明書を識別するために DVCS に十分な情報を提供することについて責任を負う。
- ccpd サービスについて、'messageImprint' choice が使われる。
hashAlgorithm フィールド中に示されたハッシュアルゴリズムは、「強い」ハッシュ アルゴリズムである必要がある(SHOULD)。(すなわち、これは、一方向性があり、かつ、衝突困難性があるものである必要がある(SHOULD)。)
It is up to the Data Certification Server to decide whether or not the given hash アルゴリズム is sufficiently "strong"
(based on the current state of knowledge in 暗号解析s and the current state of the art in 計算資源s, for example).
- cpd サービスについて、'message' choice が使われる。
このフィールドは、
要求者固有データ with any type of content
を含む。 DVCS は、
does not inspect, modify, or take
any particular action based on the particular content of the 'message' フィールド。'DVCSRequest.transactionIdentifier' フィールドは、エラーメッセージを含むDVCS レスポンスをリクエストに関連づけるために使うことができる(MAY)。例えば、
in a mail based environment,
the parameter could be a copy of a messageid.
「the transactionIdentifier は、
is not necessary for associating a request with a 有効なデータ検証証明書」ことに注意。