Электронные подписи и инфраструктуры (esi); усовершенствованные электронные подписи cms (CAdES)
жүктеу/скачать 2.44 Mb.
|
- Бұл бет үшін навигация:
- CAdES-X Long , ES X-Long Type 1, and CAdES-X Long Type 2
- CAdES-X Type 1 and CAdES-X Long Type 1
- Time-Marking Authority;
- CAdES-X Type 2 and CAdES-X Long Type 2
- CAdES-A
| CAdES-X Long, ES X-Long Type 1, and CAdES-X Long Type 2, see clause B.1.1 for an illustration of this form of electronic signature.<}0{>CAdES-X Long, CAdES X-Long Type 1 и CAdES-X Long Type 2 (пример такой формы электронной подписи см. в пункте Б.1.1).<0}
{0>The certificate-values attribute is an unsigned attribute.<}78{>certificate-values – это неподписанный атрибут.<0} {0>Only a single instance of this attribute shall occur with an electronic signature.<}100{>Только один экземпляр этого атрибута должен быть включен в электронную подпись.<0} {0>It holds the values of certificates referenced in the complete-certificate-references attribute.<}0{>Он содержит значения сертификатов, указанных в атрибуте complete-certificate-references.<0} {0>NOTE:<}100{>ПРИМЕЧАНИЕ.<0} {0>If an attribute certificate is used, it is not provided in this structure but will be provided by the signer as a signer-attributes attribute (see clause 5.11.3).<}0{>Если используется атрибутный сертификат, он не предоставляется в этой структуре, а предоставляется подписывающей стороной как атрибут signer-attributes (см. пункт 5.11.3).<0} {0>The following object identifier identifies the certificate-values attribute:<}82{>Следующий идентификатор объекта определяет атрибут certificate-values:<0} id-aa-ets-certValues OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 23}
CertificateValues ::= SEQUENCE OF Certificate {0>Certificate is defined in clause 7.1 (which is as defined in ITU-T Recommendation X.509 [1]).<}0{>Тип Certificate определен в пункте 7.1 (и соответствует рекомендации МСЭ-Т X.509 [1]).<0} {0>This attribute may include the certification information for any TSUs that have provided the time-stamp tokens, if these certificates are not already included in the TSTs as part of the TSUs signatures.<}0{>Этот атрибут может содержать информацию о сертификатах для любых модулей штампов времени, предоставляющих штампы времени, если эти сертификаты еще не включены в них как часть подписей модулей штампов времени.<0} {0>In this case, the unsigned attribute shall be added to the signedData of the relevant time-stamp token.<}67{>В этом случае неподписанный атрибут добавляется к структуре signedData соответствующего штампа времени.<0} 6.3.4 {0>revocation-values Attribute Definition<}100{>Определение атрибута revocation-values<0} {0>This attribute is used to contain the revocation information required for the following forms of extended electronic signature:<}83{>Этот атрибут используется для хранения информации об отозванных сертификатах, необходимой для следующих форм расширенных электронных подписей:<0} {0>CAdES-X Long, ES X-Long Type 1, and CAdES-X Long Type 2, see clause B.1.1 for an illustration of this form of electronic signature.<}99{>CAdES-X Long, CAdES X-Long Type 1 и CAdES-X Long Type 2 (пример такой формы электронной подписи см. в пункте Б.1.1).<0} {0>The revocation-values attribute is an unsigned attribute.<}90{>revocation-values – это неподписанный атрибут.<0} {0>Only a single instance of this attribute shall occur with an electronic signature.<}100{>Только один экземпляр этого атрибута должен быть включен в электронную подпись.<0} {0>It holds the values of CRLs and OCSP referenced in the complete-revocation-references attribute.<}77{>Он содержит значения списков отзыва сертификатов и ответов OCSP, указанных в атрибуте complete-revocation-references.<0} {0>NOTE:<}100{>ПРИМЕЧАНИЕ.<0} {0>It is recommended that this attribute be used in preference to the OtherRevocationInfoFormat specified in RFC 3852 [4] to maintain backwards compatibility with the earlier version of the present document.<}93{>Рекомендуется использовать данный атрибут вместо атрибута OtherRevocationInfoFormat, определенного в документе RFC 3852 [4], для обеспечения обратной совместимости с предыдущими версиями данного документа.<0} {0>The following object identifier identifies the revocation-values attribute:<}91{>Следующий идентификатор объекта определяет атрибут revocation-values:<0} id-aa-ets-revocationValues OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 24}
RevocationValues ::= SEQUENCE { crlVals [0] SEQUENCE OF CertificateList OPTIONAL, ocspVals [1] SEQUENCE OF BasicOCSPResponse OPTIONAL, otherRevVals [2] OtherRevVals OPTIONAL} OtherRevVals ::= SEQUENCE { otherRevValType OtherRevValType, otherRevVals ANY DEFINED BY OtherRevValType } OtherRevValType ::= OBJECT IDENTIFIER {0>The syntax and semantics of the other revocation values (OtherRevVals) are outside the scope of the present document.<}85{>Синтаксис и семантика других значений отозванных сертификатов (OtherRevVals) выходят за рамки данного документа.<0} {0>The definition of the syntax of the other form of revocation information is as identified by OtherRevRefType.<}100{>Определение синтаксиса другой формы информации об отозванных сертификатах соответствует синтаксису OtherRevRefType.<0} {0>CertificateList is defined in clause 7.2 (which is as defined in ITU-T Recommendation X.509 [1]).<}100{>Поле CertificateList определено в пункте 7.2 (и соответствует рекомендации МСЭ-Т X.509 [1]).<0} {0>BasicOCSPResponse is defined in clause 7.3 (which is as defined in RFC 2560 [3]).<}0{>Поле BasicOCSPResponse определено в пункте 7.3 (и соответствует документу RFC 2560 [3]).<0} {0>This attribute may include the values of revocation data including CRLs and OCSPs for any TSUs that have provided the time-stamp tokens, if these certificates are not already included in the TSTs as part of the TSUs signatures.<}83{>Этот атрибут может содержать значения данных отозванных сертификатов, включая списки отзыва сертификатов и ответы OCSP, для любых модулей штампов времени, предоставляющих штампы времени, если эти сертификаты еще не включены в них как часть подписей модулей штампов времени.<0} {0>In this case, the unsigned attribute shall be added to the signedData of the relevant time-stamp token.<}100{>В этом случае неподписанный атрибут добавляется к структуре signedData соответствующего штампа времени.<0} 6.3.5 {0>CAdES-C-time-stamp Attribute Definition<}100{>Определение атрибута CAdES-C-time-stamp<0} {0>This attribute is used to protect against CA key compromise.<}0{>Этот атрибут используется для защиты от компрометации ключа центра сертификации.<0} {0>This attribute is used for the time-stamping of the complete electronic signature (CAdES-C).<}0{>Он используется для добавления штампов времени полной электронной подписи (CAdES-C).<0} {0>It is used in the following forms of extended electronic signature; CAdES-X Type 1 and CAdES-X Long Type 1; see clause B.1.2 for an illustration of this form of electronic signature.<}0{>Данный атрибут используется в следующих формах расширенных электронных подписей: CAdES-X Type 1 и CAdES-X Long Type 1 (пример такой формы электронной подписи см. в пункте Б.1.2).<0} {0>The CAdES-C-time-stamp attribute is an unsigned attribute.<}0{>CAdES-C-time-stamp – это неподписанный атрибут.<0} {0>It is a time-stamp token of the hash of the electronic signature and the complete validation data (CAdES-C).<}0{>Это штамп времени хэш-значения электронной подписи и полных проверочных данных (CAdES-C).<0} {0>It is a special-purpose TimeStampToken Attribute that time-stamps the CAdES-C. Several instances of this attribute may occur with an electronic signature from different TSAs.<}0{>Он является специализированным атрибутом TimeStampToken, который применяет штамп времени к CAdES-C. В электронной подписи может быть несколько экземпляров этого атрибута от разных служб штампов времени.<0} {0>NOTE 1:<}100{>ПРИМЕЧАНИЕ 1.<0} {0>It is recommended that the attributes being time-stamped be encoded in DER.<}0{>Рекомендуется кодировать атрибуты, к которым применяется штамп времени в формате DER.<0} {0>If DER is not employed, then the binary encoding of the ASN.1structures being time-stamped should be preserved to ensure that the recalculation of the data hash is consistent.<}0{>Если DER не используется, двоичное кодирование структур ASN.1, к которым применяется штамп времени, должно быть сохранено с целью обеспечения согласованного повторного вычисления хэш-значения данных.<0} {0>NOTE 2:<}100{>ПРИМЕЧАНИЕ 2.<0} {0>Each attribute is included in the hash with the attrType and attrValues (including type and length) but without the type and length of the outer SEQUENCE.<}0{>Каждый атрибут включается в хэш-значение с полями attrType и attrValues (с типом и длиной), но без типа и длины внешней последовательности (SEQUENCE).<0} {0>The following object identifier identifies the CAdES-C-Timestamp attribute:<}81{>Следующий идентификатор объекта определяет атрибут CAdES-C-Timestamp:<0} id-aa-ets-escTimeStamp OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 25}
ESCTimeStampToken ::= TimeStampToken {0>The value of the messageImprint field within TimeStampToken shall be a hash of the concatenated values (without the type or length encoding for that value) of the following data objects:<}0{>Значение поля messageImprint в TimeStampToken должно быть хэш-значением объединенных значений (без кодирования типа или длины этого значения) следующих объектов данных:<0}
{0>For further information and definition of the TimeStampToken see clause 7.4.<}100{>Дополнительные сведения о типе TimeStampToken и его определение см. в пункте 7.4.<0} 6.3.6 {0>time-stamped-certs-crls-references Attribute Definition<}100{>Определение атрибута time-stamped-certs-crls-references<0} {0>This attribute is used to protect against CA key compromise.<}100{>Этот атрибут используется для защиты от компрометации ключа центра сертификации.<0} {0>This attribute is used for the time-stamping certificate and revocation references.<}0{>Он применяется для добавления штампа времени к ссылкам на сертификаты и списки отзыва сертификатов.<0} {0>It is used in the following forms of extended electronic signature:<}0{>Атрибут используется в следующих формах расширенной электронной подписи:<0} {0>CAdES-X Type 2 and CAdES-X Long Type 2; see clause B.1.3 for an illustration of this form of electronic signature.<}74{>CAdES-X Type 2 и CAdES X-Long Type 2 (пример такой формы электронной подписи см. в пункте Б.1.3).<0} {0>A time-stamped-certs-crls-references attribute is an unsigned attribute.<}0{>Атрибут time-stamped-certs-crls-references является неподписанным атрибутом.<0} {0>It is a time-stamp token issued for a list of referenced certificates and OCSP responses and/or CRLs to protect against certain CA compromises.<}0{>Это штамп времени, выданный для списка указанных сертификатов и ответов OCSP, а также списков отзыва сертификатов для защиты от определенных видов компрометации центра сертификации.<0} {0>Its syntax is as follows:<}0{>Он использует следующий синтаксис:<0} {0>NOTE 1:<}100{>ПРИМЕЧАНИЕ 1.<0} {0>It is recommended that the attributes being time-stamped be encoded in DER.<}100{>Рекомендуется кодировать атрибуты, к которым применяется штамп времени в формате DER.<0} {0>If DER is not employed, then the binary encoding of the ASN.1 structures being time-stamped should be preserved to ensure that the recalculation of the data hash is consistent.<}95{>Если DER не используется, двоичное кодирование структур ASN.1, к которым применяется штамп времени, должно быть сохранено с целью обеспечения согласованного повторного вычисления хэш-значения данных.<0} {0>NOTE 2:<}100{>ПРИМЕЧАНИЕ 2.<0} {0>Each attribute is included in the hash with the attrType and attrValues (including type and length) but without the type and length of the outer SEQUENCE.<}100{>Каждый атрибут включается в хэш-значение с полями attrType и attrValues (с типом и длиной), но без типа и длины внешней последовательности (SEQUENCE).<0} {0>The following object identifier identifies the time-stamped-certs-crls-references attribute:<}76{>Следующий идентификатор объекта определяет атрибут time-stamped-certs-crls-references:<0} id-aa-ets-certCRLTimestamp OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 26}
TimestampedCertsCRLs ::= TimeStampToken {0>The value of the messageImprint field within the TimeStampToken shall be a hash of the concatenated values (without the type or length encoding for that value) of the following data objects, as present in the ES with Complete validation data (CAdES-C):<}74{>Значение поля messageImprint в TimeStampToken является хэш-значением объединенных значений (без кодирования типа или длины этого значения) следующих объектов данных, присутствующих в электронной подписи с полными проверочными данными (CAdES-C):<0}
6.4 {0>Archive Validation Data<}100{>Архивные проверочные данные<0} {0>Where an electronic signature is required to last for a very long time, and the time-stamp token on an electronic signature is in danger of being invalidated due to algorithm weakness or limits in the validity period of the TSA certificate, it may be required to time-stamp the electronic signature several times.<}0{>Если электронная подпись должна оставаться действительной в течение очень долгого времени, а штамп времени электронной подписи может перестать быть действительным из-за слабости алгоритма или ограничений периода действия сертификата службы штампов времени, то может потребоваться неоднократное применение штампа времени к электронной подписи.<0} {0>When this is required, an archive time-stamp attribute may be required for the archive form of the electronic signature (CAdES-A).<}0{>В этом случае для архивной формы электронной подписи (CAdES-A) может понадобиться атрибут архивного штампа времени.<0} {0>This archive time-stamp attribute may be repeatedly applied over a period of time.<}0{>Этот атрибут можно применять повторно.<0} 6.4.1 {0>archive-time-stamp Attribute Definition<}100{>Определение атрибута archive-time-stamp<0} {0>The archive-time-stamp attribute is a time-stamp token of many of the elements of the signedData in the electronic signature.<}100{>Атрибут archive-time-stamp – это штамп времени многих элементов структуры signedData в электронной подписи.<0} {0>If the certificate-values and revocation-values attributes are not present in the CAdES-BES or CAdES-EPES, then they shall be added to the electronic signature prior to computing the archive time-stamp token.<}0{>Если атрибуты certificate-values и revocation-values отсутствуют в CAdES-BES или CAdES-EPES, они должны быть добавлены в электронную подпись до вычисления штампа времени архива.<0} {0>The archive-time-stamp attribute is an unsigned attribute.<}80{>archive-time-stamp – это неподписанный атрибут.<0} {0>Several instances of this attribute may occur with an electronic signature both over time and from different TSUs.<}78{>В электронной подписи может быть несколько экземпляров этого атрибута, добавленных в разное время и от разных служб штампов времени.<0} {0>The following object identifier identifies the nested archive-time-stamp attribute:<}87{>Следующий идентификатор объекта определяет атрибут archive-time-stamp:<0} id-aa-ets-archiveTimestampV2 OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 48}
ArchiveTimeStampToken ::= TimeStampToken {0>The value of the messageImprint field within TimeStampToken shall be a hash of the concatenation of:<}0{>Значение поля messageImprint в TimeStampToken является хэш-значением объединения следующих элементов:<0}
{0>NOTE 1:<}100{>ПРИМЕЧАНИЕ 1.<0} {0>An alternative archiveTimestamp attribute, identified by an object identifier { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 27, is defined in prior versions of TS 101 733. The archiveTimestamp attribute, defined in versions of TS 101 733 prior to 1.5.1, is not compatible with the attribute defined in the current document.<}100{>Альтернативный атрибут archiveTimestamp, заданный идентификатором объекта { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 27, определен в предыдущих версиях TS 101 733. Атрибут archiveTimestamp, определенный в версиях TS 101 733 до 1.5.1, несовместим с атрибутом, определенном в настоящем документе.<0} {0>The archiveTimestamp attribute, defined in versions 1.5.1 to 1.6.3 of TS 101 733, is compatible with the current document if the content is internal to encapContentInfo.<}100{>Атрибут archiveTimestamp, определенный в версиях 1.5.1-1.6.3 документа TS 101 733, совместим с настоящим документом, если содержимое является внутренним для encapContentInfo.<0} {0>Unless the version of TS 101 733 employed by the signing party is known by all recipients, use of the archiveTimestamp attribute defined in prior versions of TS 101 733 is deprecated.<}100{>Если версия TS 101 733, используемая подписывающей стороной, известна всем получателям, использование атрибута archiveTimestamp, определенного в предыдущих версиях TS 101 733, не рекомендуется.<0} {0>NOTE 2:<}100{>ПРИМЕЧАНИЕ 2.<0} {0>Counter signatures held as countersignature attributes do not require independent archive time-stamps as they are protected by the archive time-stamp against the containing SignedData structure.<}0{>Для удостоверяющих подписей, хранимых как атрибуты countersignature, не требуются независимые архивные штампы времени, так как они защищены архивным штампом времени для структуры SignedData.<0} {0>NOTE 3:<}100{>ПРИМЕЧАНИЕ 3.<0} {0>Unless DER is used throughout, it is recommended that the binary encoding of the ASN.1 structures being time-stamped be preserved when being archived to ensure that the recalculation of the data hash is consistent.<}71{>Если используется кодирование в формате DER, рекомендуется сохранить двоичное кодирование структур ASN.1, к которым применяется штамп времени, при архивации с целью обеспечения согласованного повторного вычисления хэш-значения данных.<0} {0>NOTE 4:<}100{>ПРИМЕЧАНИЕ 4.<0} {0>The hash is calculated over the concatenated data elements as received /stored including the Type and Length encoding.<}0{>Хэш-значение вычисляется для полученных или сохраненных объединенных элементов данных, включая кодирование типа и длины.<0} {0>NOTE 5:<}100{>ПРИМЕЧАНИЕ 5.<0} {0>Whilst it is recommended that unsigned attributes be DER encoded, it cannot generally be so guaranteed except by prior arrangement.<}0{>Хотя рекомендуется кодировать неподписанные атрибуты в формате DER, нельзя гарантировать, что они закодированы в формате DER без предварительной договоренности.<0} {0>For further information and definition of TimeStampToken, see clause 7.4.<}97{>Дополнительные сведения о типе TimeStampToken и его определение см. в пункте 7.4.<0} {0>The timestamp should be created using stronger algorithms (or longer key lengths) than in the original electronic signatures and weak algorithm (key length) timestamps.<}0{>Штамп времени должен создаваться с помощью надежных алгоритмов (или с помощью более длинных ключей), более стойких, чем алгоритмы в исходных электронных подписях и штампах времени со слабыми алгоритмами (с малой длиной ключа).<0} {0>NOTE 6:<}100{>ПРИМЕЧАНИЕ 6.<0} {0>This form of ES also provides protection against a TSP key compromise.<}0{>Такая форма электронной подписи также обеспечивает защиту от компрометации ключа поставщика доверенных услуг.<0} {0>The ArchiveTimeStamp will be added as an unsigned attribute in the SignerInfo sequence.<}0{>ArchiveTimeStamp добавляется как неподписанный атрибут в последовательность SignerInfo.<0} {0>For the validation of one ArchiveTimeStamp, the data elements of the SignerInfo must be concatenated, excluding all later ArchivTimeStampToken attributes.<}0{>Для проверки одного атрибута ArchiveTimeStamp элементы данных SignerInfo должны быть объединены (кроме всех атрибутов ArchivTimeStampToken, добавленных позднее).<0} {0>Certificates and revocation information required to validate the ArchiveTimeStamp shall be provided by one of the following methods:<}0{>Данные о сертификатах и списках отзыва сертификатов, необходимые для проверки ArchiveTimeStamp, должны предоставляться с помощью одного из следующих методов:<0}
7 {0>Other Standard Data Structures<}100{>Другие стандартные структуры данных<0} 7.1 {0>Public Key Certificate Format<}100{>Формат сертификата открытого ключа<0}
7.2 {0>Certificate Revocation List Format<}100{>Формат списка отзыва сертификатов<0} {0>The X.509 v2 CRL syntax is defined in ITU-T Recommendation X.509 [1].<}82{>Синтаксис списка отзыва сертификатов X.509 версии 2 определен в рекомендации МСЭ-Т X.509 [1].<0} {0>A profile of the X.509 v2 CRL is defined in RFC 3280 [2].<}88{>Профиль списка отзыва сертификатов X.509 версии 2 определен в документе RFC 3280 [2].<0} 7.3 {0>OCSP Response Format<}100{>Формат ответа OCSP<0} {0>The format of an OCSP token is defined in RFC 2560 [3].<}0{>Формат ответа OCSP определен в документе RFC 2560 [3].<0} 7.4 {0>Time-Stamp Token Format<}100{>Формат штампа времени<0} {0>The format of a TimeStampToken type is defined in RFC 3161 [7] and profiled in TS 101 861 [i.9].<}0{>Формат типа TimeStampToken определен в документе RFC 3161 [7] и описан в документе TS 101 861 [i.9].<0} {0>Implementations of the present document shall support the usage of both the signing-certificate attribute and the signing-certificate-v2 attribute, within timestamp tokens, in accordance with RFC 5035 [15].<}100{>Реализации данного документа должны поддерживать использование как атрибута signing-certificate, так и атрибута signing-certificate-v2 в штампах времени в соответствии с документом RFC 5035 [15].<0} 7.5 {0>Name and Attribute Formats<}100{>Формат имени и атрибута<0} {0>The syntax of the naming and other attributes is defined in ITU-T Recommendation X.509 [1].<}62{>Синтаксис имен и других атрибутов определен в рекомендации МСЭ-Т X.509 [1].<0} {0>NOTE 1:<}100{>ПРИМЕЧАНИЕ 1.<0} {0>The name used by the signer, held as the subject in the signer's certificate, is allocated and verified on registration with the Certification Authority, either directly or indirectly through a Registration Authority, before being issued with a Certificate.<}0{>Имя, используемое подписывающей стороной и хранящееся в виде субъекта в сертификате подписывающей стороны, выделяется и проверяется при регистрации в центре сертификации напрямую или косвенно через центр регистрации до выдачи сертификата.<0} {0>The present document places no restrictions on the form of the name.<}0{>Данный документ не налагает ограничений на формат имени.<0} {0>The subject's name may be a distinguished name, as defined in ITU-T Recommendation X.500 [12], held in the subject field of the certificate, or any other name form held in the subjectAltName certificate extension field, as defined in ITU-T Recommendation X.509 [1].<}0{>Именем субъекта может быть отличительное имя, как определено в рекомендации МСЭ-Т X.500 [12], которое хранится в поле субъекта сертификата, или любое другое имя из поля расширения сертификата subjectAltName, как определено в рекомендации МСЭ-Т X.509 [1].<0} {0>In the case that the subject has no distinguished name, the subject name can be an empty sequence and the subjectAltName extension shall be critical.<}0{>Если у субъекта нет отличительного имени, его именем может быть пустая последовательность, при этом расширение subjectAltName должно быть критичным.<0} {0>All Certification Authorities, Attribute Authorities, and Time-Stamping Authorities shall use distinguished names in the subject field of their certificate.<}0{>Все центры сертификации, атрибутные центры и службы штампов времени должны использовать отличительные имена в поле subject своих сертификатов.<0} {0>The distinguished name shall include identifiers for the organization providing the service and the legal jurisdiction (e.g. country) under which it operates.<}0{>Отличительное имя должно включать идентификаторы организации, предоставляющей услуги, и юрисдикцию (например, страну), в пределах которой она работает.<0} {0>Where a signer signs as an individual, but wishes to also identify him/herself as acting on behalf of an organization, it may be necessary to provide two independent forms of identification.<}0{>Если подписывающая сторона подписывается как физическое лицо, но также желает идентифицировать себя как сторону, действующую от лица организации, ей может потребоваться предоставить две независимые формы идентификации.<0} {0>The first identity, which is directly associated with the signing key, identifies him/her as an individual.<}0{>Первое удостоверение, которое напрямую связано с ключом подписи, определяет подписывающую сторону как физическое лицо.<0} {0>The second, which is managed independently, identifies that person acting as part of the organization, possibly with a given role.<}0{>Второе удостоверение, управляемое независимо, указывает, что человек действует от лица организации, возможно, с заданной ролью.<0} {0>In this case, one of the two identities is carried in the subject/subjectAltName field of the signer's certificate as described above.<}0{>В этом случае одно из двух удостоверений передается в поле subject/subjectAltName сертификата подписывающей стороны, как описано выше.<0} {0>The present document does not specify the format of the signer's attribute that may be included in public key certificates.<}0{>В настоящем документе не указывается формат атрибута подписывающей стороны, который может быть включен в сертификаты открытых ключей.<0} {0>NOTE 2:<}100{>ПРИМЕЧАНИЕ 2.<0} {0>The signer's attribute may be supported by using a claimed role in the CMS signed attributes field or by placing an attribute certificate containing a certified role in the CMS signed attributes field; see clause 7.6.<}0{>Атрибут подписывающей стороны может поддерживаться с помощью заявленной роли в поле подписанных атрибутов CMS или за счет размещения атрибутного сертификата, содержащего сертифицированную роль в поле подписанных атрибутов CMS (см. пункт 7.6).<0} 7.6 {0>Attribute Certificate<}100{>Атрибутный сертификат<0} {0>The syntax of the AttributeCertificate type is defined in RFC 3281 [13].<}0{>Синтаксис типа AttributeCertificate определен в документе RFC 3281 [13].<0} 8 {0>Conformance Requirements<}100{>Требования соответствия<0} {0>For implementations supporting signature generation, the present document defines conformance requirements for the generation of two forms of basic electronic signature, one of the two forms must be implemented.<}0{>Для реализаций, поддерживающих создание подписей, настоящий документ определяет требования по соответствию для создания двух форм простой электронной подписи, одна из которых должна быть реализована.<0} {0>For implementations supporting signature verification, the present document defines conformance requirements for the verification of two forms of basic electronic signature, one of the two forms must be implemented.<}94{>Для реализаций, поддерживающих проверку подписей, настоящий документ определяет требования по соответствию для проверки двух форм простой электронной подписи, одна из которых должна быть реализована.<0} {0>The present document only defines conformance requirements up to an ES with Complete validation data (CAdES-C).<}0{>В настоящем документе определяются только требования соответствию вплоть до электронной подписи с полными проверочными данными (CAdES-C).<0} {0>This means that none of the extended and archive forms of the electronic signature (CAdES-X, CAdES-A) need to be implemented to get conformance to the present document.<}72{>Это значит, что не требуется реализовывать расширенные и архивные формы электронной подписи (CAdES-X, CAdES-A) для совместимости с данным документом.<0} {0>On verification the inclusion of optional signed and unsigned attributes must be supported only to the extent that the signature is verifiable.<}0{>При проверке включение необязательных подписанных и неподписанных атрибутов должно поддерживаться только для обеспечения возможности проверки подписи.<0} {0>The semantics of optional attributes may be unsupported, unless specified otherwise by a signature policy.<}0{>Семантика необязательных атрибутов может не поддерживаться, если иное не указано регламентом подписи.<0} 8.1 {0>CAdES-Basic Electronic Signature (CAdES-BES)<}100{>Простая электронная подпись CAdES (CAdES-BES)<0} {0>A system supporting CAdES-BES signers, according to the present document, shall, at a minimum, support generation of an electronic signature consisting of the following components:<}0{>Согласно данному документу система, поддерживающая подписывающие стороны CAdES-BES, должна, как минимум, поддерживать создание электронной подписи, состоящей из следующих компонентов:<0}
• {0>One of the following attributes, as defined in the present document:<}62{>один следующих атрибутов, определенных в настоящем документе:<0}
{0>NOTE 1:<}100{>ПРИМЕЧАНИЕ 1.<0} {0>Earlier versions of the current document used the other signing-certificate attribute (see clause 5.7.3.3).<}100{>В предыдущих версиях настоящего документа использовался другой атрибут signing-certificate (см. пункт 5.7.3.3).<0} {0>Its use is now deprecated, since the structure of the signing-certificate v2 attribute is simpler than the other signing-certificate attribute.<}100{>Теперь этот атрибут не рекомендуется к использованию, так как структура signing-certificate-v2 проще другого атрибута signing-certificate.<0} {0>Implementations of the basic electronic signature form conforming to all the above requirements except the last one (e.g. without the signing-certificate or the signing-certificate v2) may use all verification attributes defined in the present document to support CMS variants of CAdES-T, CAdES-C, CAdES-X, etc. Such signatures may be referred to as CMS-T, CMS-C, CMS-X, etc.<}0{>Реализации формы простой электронной подписи, соответствующей всем указанным выше требованиям кроме последнего (например, без атрибута signing-certificate или signing-certificate v2), могут использовать все атрибуты проверки, определенные в данном документе, для поддержки CMS-вариантов CAdES-T, CAdES-C, CAdES-X и т. д. Такие подписи могут называться CMS-T, CMS-C, CMS-X и т. д.<0} {0>NOTE 2:<}100{>ПРИМЕЧАНИЕ 2.<0} {0>Such electronic signatures can be vulnerable to certificate substitution attacks, as described in Clause C.3.3.<}0{>Такие электронные подписи могут быть уязвимы для атак с заменой сертификатов, как описано в пункте В.3.3.<0} {0>NOTE 3:<}100{>ПРИМЕЧАНИЕ 3.<0} {0>Section 5.1 of RFC 3852 [4] requires that, the CMS SignedData version be set to 3 if certificates from SignedData is present AND (any version 1 attribute certificates are present OR any SignerInfo structures are version 3 OR eContentType from encapContentInfo is other than id-data).<}0{>В разделе 5.1 документа RFC 3852 [4] указано требование, в соответствии с которым версия CMS SignedData должна быть задана как 3, если присутствуют сертификаты из структуры SignedData и выполняется следующее условие: присутствуют какие-либо атрибутные сертификаты версии 1 ИЛИ версия какой-либо из структур SignerInfo задана как 3 ИЛИ значение eContentType из поля encapContentInfo отличается от id-data.<0} {0>Otherwise, the CMS SignedData version is required to be set to 1.<}0{>В противном случае версия CMS SignedData должна быть задана как 1.<0} 8.2 {0>CAdES-Explicit Policy-based Electronic Signature<}100{>Электронная подпись CAdES с явно указанным регламентом<0} {0>A system supporting Policy-based signers, according to the present document, shall, at a minimum, support the generation of an electronic signature consisting of the previous components defined for the basic signer, plus:<}75{>Согласно данному документу, система, поддерживающая подписывающие стороны на основе регламента, должна, как минимум, поддерживать создание электронной подписи, состоящей из предыдущих компонентов, заданных для простой подписывающей стороны, и следующих компонентов:<0} • {0>The following attributes, as defined in clause 5.9:<}64{>следующие атрибуты, определенные в пункте 5.9:<0} - {0>signature-policy-identifier; this shall always be present (see clause 5.8.1).<}79{>signature-policy-identifier; этот атрибут должен присутствовать всегда (см. пункт 5.8.1).<0} 8.3 {0>Verification Using Time-Stamping<}100{>Проверка с помощью штампов времени<0} {0>A system supporting verifiers, according to the present document, with time-stamping facilities shall, at a minimum, support:<}0{>Согласно настоящему документу, система, поддерживающая проверяющие стороны, со средствами для применения штампов времени, как минимум, должна поддерживать:<0}
8.4 {0>Verification Using Secure Records<}100{>Проверка с помощью безопасных записей<0} {0>A system supporting verifiers, according to the present document, shall, at a minimum, support:<}78{>Согласно данному документу, система, поддерживающая проверяющие стороны, как минимум, должна поддерживать:<0}
{0>Annex A (normative):<}100{>Приложение A (нормативное).<0} {0>ASN.1 Definitions<}84{>Определения ASN.1<0} {0>This annex provides a summary of all the ASN.1 syntax definitions for new syntax defined in the present document.<}0{>В данном приложении представлена сводка по всем определениям синтаксиса ASN.1 для нового синтаксиса, определенного в данном документе.<0} {0>A.1<}89{>А.1<0} {0>Signature Format Definitions Using X.208 ASN.1 Syntax<}80{>Определения формата подписи с использованием синтаксиса X.208 ASN.1<0} {0>NOTE:<}100{>ПРИМЕЧАНИЕ.<0} {0>The ASN.1 module defined in clause A.1 using syntax defined in ITU-T Recommendation X.208 [14] has precedence over that defined in clause A.2 in the case of any conflict.<}0{>Модуль ASN.1, определенный в пункте А.1, использующий синтаксис, заданный в рекомендации МСЭ-Т X.208 [14], имеет бóльший приоритет, чем синтаксис, определенный в пункте А.2, в случае конфликта.<0} ETS-ElectronicSignatureFormats-ExplicitSyntax88 { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-mod(0) eSignature-explicit88(28)} DEFINITIONS EXPLICIT TAGS ::= BEGIN
IMPORTS
{0>-- Cryptographic Message Syntax (CMS):<}0{>-- Синтаксис криптографических сообщений (CMS):<0} {0>RFC 3852<}0{>RFC 3852.<0} ContentInfo, ContentType, id-data, id-signedData, SignedData, EncapsulatedContentInfo, SignerInfo, id-contentType, id-messageDigest, MessageDigest, id-signingTime, SigningTime, id-countersignature, Countersignature FROM CryptographicMessageSyntax2004 { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) modules(0) cms-2004(24) } {0>-- ESS Defined attributes:<}0{>-- Атрибуты, определенные ESS:<0} {0>ESS Update<}0{>обновление ESS.<0} {0>-- RFC 5035 (Adding CertID Algorithm Agility)<}0{>-- RFC 5035 (добавление взаимозаменяемости алгоритмов CertID).<0} id-aa-signingCertificate, SigningCertificate, IssuerSerial, id-aa-contentReference, ContentReference, id-aa-contentIdentifier, ContentIdentifier, id-aa-signingCertificateV2 FROM ExtendedSecurityServices-2006 { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) modules(0) id-mod-ess-2006(30) } {0>-- Internet X.509 Public Key Infrastructure - Certificate and CRL Profile:<}0{>-- Инфраструктура открытых ключей Интернет X.509 — профиль сертификатов и списков отзыва сертификатов:<0} {0>RFC 3280<}100{>RFC 3280.<0} Certificate, AlgorithmIdentifier, CertificateList, Name, DirectoryString, Attribute, BMPString, UTF8String FROM PKIX1Explicit88 {iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) id-pkix1-explicit (18)} GeneralNames, GeneralName, PolicyInformation FROM PKIX1Implicit88 {iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) id-pkix1-implicit (19)} {0>-- Internet Attribute Certificate Profile for Authorization:<}0{>-- Профиль атрибутного сертификата Интернет для авторизации:<0} {0>RFC 3281<}100{>RFC 3281.<0} AttributeCertificate FROM PKIXAttributeCertificate {iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) id-mod-attribute-cert(12)}
BasicOCSPResponse, ResponderID FROM OCSP {iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) id-mod-ocsp(14)} {0>-- Time Stamp Protocol RFC 3161 TimeStampToken<}0{>-- Штамп времени (TimeStampToken) по протоколу TSP, RFC 3161.<0} FROM PKIXTSP {iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) id-mod-tsp(13)} ;
id-etsi-es-IDUP-Mechanism-v1 OBJECT IDENTIFIER ::= { itu-t(0) identified-organization(4) etsi(0) electronic-signature-standard (1733) part1 (1) idupMechanism (4) etsiESv1(1) }
-- ======================================================= {0>-- OtherSigningCertificate - deprecated<}0{>-- OtherSigningCertificate – Не рекомендуется к использованию.<0} id-aa-ets-otherSigCert OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs9(9) smime(16) id-aa(2) 19 } OtherSigningCertificate ::= SEQUENCE { certs SEQUENCE OF OtherCertID, policies SEQUENCE OF PolicyInformation OPTIONAL -- NOT USED IN THE PRESENT DOCUMENT } OtherCertID ::= SEQUENCE { otherCertHash OtherHash, issuerSerial IssuerSerial OPTIONAL } OtherHash ::= CHOICE { sha1Hash OtherHashValue, -- This contains a SHA-1 hash otherHash OtherHashAlgAndValue} {0>-- Policy ES Attributes Defined in the present document<}100{>-- Атрибуты регламента электронной подписи, определенные в настоящем документе.<0} -- ================================================= {0>-- Mandatory Basic Electronic Signature Attributes as above, plus in addition.<}0{>-- Обязательные атрибуты простой электронной подписи (как указано выше) и дополнение.<0} {0>-- Signature-policy-identifier attribute<}0{>-- Атрибут Signature-policy-identifier.<0} id-aa-ets-sigPolicyId OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs9(9) smime(16) id-aa(2) 15 } SignaturePolicyIdentifier ::= CHOICE { signaturePolicyId SignaturePolicyId, signaturePolicyImplied SignaturePolicyImplied -- not used in this version } SignaturePolicyId ::= SEQUENCE { sigPolicyId SigPolicyId, sigPolicyHash SigPolicyHash, sigPolicyQualifiers SEQUENCE SIZE (1..MAX) OF SigPolicyQualifierInfo OPTIONAL } SignaturePolicyImplied ::= NULL SigPolicyId ::= OBJECT IDENTIFIER SigPolicyHash ::= OtherHashAlgAndValue OtherHashAlgAndValue ::= SEQUENCE { hashAlgorithm AlgorithmIdentifier, hashValue OtherHashValue } OtherHashValue ::= OCTET STRING SigPolicyQualifierInfo ::= SEQUENCE { sigPolicyQualifierId SigPolicyQualifierId, sigQualifier ANY DEFINED BY sigPolicyQualifierId } SigPolicyQualifierId ::= OBJECT IDENTIFIER id-spq-ets-uri OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs9(9) smime(16) id-spq(5) 1 } SPuri ::= IA5String id-spq-ets-unotice OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs9(9) smime(16) id-spq(5) 2 } SPUserNotice ::= SEQUENCE { noticeRef NoticeReference OPTIONAL, explicitText DisplayText OPTIONAL} NoticeReference ::= SEQUENCE { organization DisplayText, noticeNumbers SEQUENCE OF INTEGER } DisplayText ::= CHOICE { visibleString VisibleString (SIZE (1..200)), bmpString BMPString (SIZE (1..200)), utf8String UTF8String (SIZE (1..200)) }
id-aa-ets-commitmentType OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 16} CommitmentTypeIndication ::= SEQUENCE { commitmentTypeId CommitmentTypeIdentifier, commitmentTypeQualifier SEQUENCE SIZE (1..MAX) OF CommitmentTypeQualifier OPTIONAL} CommitmentTypeIdentifier ::= OBJECT IDENTIFIER CommitmentTypeQualifier ::= SEQUENCE { commitmentTypeIdentifier CommitmentTypeIdentifier, qualifier ANY DEFINED BY commitmentTypeIdentifier } id-cti-ets-proofOfOrigin OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) cti(6) 1} id-cti-ets-proofOfReceipt OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) cti(6) 2} id-cti-ets-proofOfDelivery OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) cti(6) 3} id-cti-ets-proofOfSender OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) cti(6) 4} id-cti-ets-proofOfApproval OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) cti(6) 5} id-cti-ets-proofOfCreation OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) cti(6) 6} {0>-- Signer-location attribute<}0{>-- Атрибут Signer-location.<0} id-aa-ets-signerLocation OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 17} SignerLocation ::= SEQUENCE { -- at least one of the following shall be present countryName [0] DirectoryString OPTIONAL, -- As used to name a Country in X.500 localityName [1] DirectoryString OPTIONAL, -- As used to name a locality in X.500 postalAdddress [2] PostalAddress OPTIONAL } PostalAddress ::= SEQUENCE SIZE(1..6) OF DirectoryString {0>-- Signer-attributes attribute<}0{>-- Атрибут Signer-attributes.<0} id-aa-ets-signerAttr OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 18} SignerAttribute ::= SEQUENCE OF CHOICE { claimedAttributes [0] ClaimedAttributes, certifiedAttributes [1] CertifiedAttributes } ClaimedAttributes ::= SEQUENCE OF Attribute CertifiedAttributes ::= AttributeCertificate -- as defined in RFC 3281: see clause 4.1 {0>-- Content-timestamp attribute<}0{>-- Атрибут Content-timestamp.<0} id-aa-ets-contentTimestamp OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 20} ContentTimestamp::= TimeStampToken {0>-- Signature-timestamp attribute<}0{>-- Атрибут Signature-timestamp.<0} id-aa-signatureTimeStampToken OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 14} SignatureTimeStampToken ::= TimeStampToken {0>-- Complete-certificate-references attribute<}0{>-- Атрибут Complete-certificate-references.<0} id-aa-ets-certificateRefs OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 21} CompleteCertificateRefs ::= SEQUENCE OF OtherCertID {0>-- Complete-revocation-references attribute<}0{>-- Атрибут Complete-revocation-references.<0} id-aa-ets-revocationRefs OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 22} CompleteRevocationRefs ::= SEQUENCE OF CrlOcspRef CrlOcspRef ::= SEQUENCE { crlids [0] CRLListID OPTIONAL, ocspids [1] OcspListID OPTIONAL, otherRev [2] OtherRevRefs OPTIONAL } CRLListID ::= SEQUENCE { crls SEQUENCE OF CrlValidatedID} CrlValidatedID ::= SEQUENCE { crlHash OtherHash, crlIdentifier CrlIdentifier OPTIONAL} CrlIdentifier ::= SEQUENCE { crlissuer Name, crlIssuedTime UTCTime, crlNumber INTEGER OPTIONAL } OcspListID ::= SEQUENCE { ocspResponses SEQUENCE OF OcspResponsesID} OcspResponsesID ::= SEQUENCE { ocspIdentifier OcspIdentifier, ocspRepHash OtherHash OPTIONAL } OcspIdentifier ::= SEQUENCE { ocspResponderID ResponderID, -- As in OCSP response data producedAt GeneralizedTime -- As in OCSP response data } OtherRevRefs ::= SEQUENCE { otherRevRefType OtherRevRefType, otherRevRefs ANY DEFINED BY otherRevRefType } OtherRevRefType ::= OBJECT IDENTIFIER
id-aa-ets-certValues OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 23} CertificateValues ::= SEQUENCE OF Certificate {0>-- Certificate-revocation-values attribute<}0{>-- Атрибут Certificate-revocation-values.<0} id-aa-ets-revocationValues OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 24} RevocationValues ::= SEQUENCE { crlVals [0] SEQUENCE OF CertificateList OPTIONAL, ocspVals [1] SEQUENCE OF BasicOCSPResponse OPTIONAL, otherRevVals [2] OtherRevVals OPTIONAL} OtherRevVals ::= SEQUENCE { otherRevValType OtherRevValType, otherRevVals ANY DEFINED BY otherRevValType } OtherRevValType ::= OBJECT IDENTIFIER
id-aa-ets-escTimeStamp OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 25} ESCTimeStampToken ::= TimeStampToken {0>-- Time-Stamped Certificates and CRLs<}0{>-- Сертификаты и списки отзыва сертификатов со штампом времени.<0} id-aa-ets-certCRLTimestamp OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 26} TimestampedCertsCRLs ::= TimeStampToken {0>-- Archive time-stamp attribute<}71{>-- Атрибут архивного штампа времени.<0} id-aa-ets-archiveTimestampV2 OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 48} ArchiveTimeStampToken ::= TimeStampToken {0>-- Attribute-certificate-references attribute<}0{>-- Атрибут Attribute-certificate-references.<0} id-aa-ets-attrCertificateRefs OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 44} AttributeCertificateRefs ::= SEQUENCE OF OtherCertID {0>-- Attribute-revocation-references attribute<}0{>-- Атрибут Attribute-revocation-references.<0} id-aa-ets-attrRevocationRefs OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 45} AttributeRevocationRefs ::= SEQUENCE OF CrlOcspRef END
ETS-ElectronicSignatureFormats-ExplicitSyntax97 { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-mod(0) eSignature-explicit97(29)} DEFINITIONS EXPLICIT TAGS ::= BEGIN
IMPORTS
{0>-- Cryptographic Message Syntax (CMS):<}100{>-- Синтаксис криптографических сообщений (CMS):<0} {0>RFC 3852<}100{>RFC 3852.<0} ContentInfo, ContentType, id-data, id-signedData, SignedData, EncapsulatedContentInfo, SignerInfo, id-contentType, id-messageDigest, MessageDigest, id-signingTime, SigningTime, id-countersignature, Countersignature FROM CryptographicMessageSyntax2004 { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) modules(0) cms-2004(24) } {0>-- ESS Defined attributes:<}100{>-- Атрибуты, определенные ESS:<0} {0>ESS Update<}100{>обновление ESS<0} {0>-- RFC 5035 (Adding CertID Algorithm Agility)<}100{>-- RFC 5035 (добавление взаимозаменяемости алгоритмов CertID).<0} id-aa-signingCertificate, SigningCertificate, IssuerSerial, id-aa-contentReference, ContentReference, id-aa-contentIdentifier, ContentIdentifier, id-aa-signingCertificateV2 FROM ExtendedSecurityServices-2006 { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) modules(0) id-mod-ess-2006(30) }
Certificate, AlgorithmIdentifier, CertificateList, Name, Attribute FROM PKIX1Explicit88 {iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) id-pkix1-explicit(18)} GeneralNames, GeneralName, PolicyInformation FROM PKIX1Implicit88 {iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) id-pkix1-implicit(19)} {0>-- Internet Attribute Certificate Profile for Authorization:<}100{>-- Профиль атрибутного сертификата Интернет для авторизации:<0} {0>RFC 3281<}100{>RFC 3281.<0} AttributeCertificate FROM PKIXAttributeCertificate {iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) id-mod-attribute-cert(12)}
BasicOCSPResponse, ResponderID FROM OCSP {iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) id-mod-ocsp(14)} {0>-- RFC 3161 Internet X.509 Public Key Infrastructure<}67{>-- RFC 3161, инфраструктура открытых ключей X.509 Интернет.<0} {0>-- Time-Stamp Protocol<}0{>-- Протокол TSP.<0} TimeStampToken FROM PKIXTSP {iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) id-mod-tsp(13)} {0>-- X.520<}0{>-- X.520<0} DirectoryString {} FROM SelectedAttributeTypes {joint-iso-itu-t ds(5) module(1) selectedAttributeTypes(5) 4} ;
-- ================================================================== {0>-- OID used referencing electronic signature mechanisms based on the present document<}100{>-- Используемый идентификатор объекта, ссылающийся на механизмы электронной подписи, основанные на настоящем документе.<0} {0>-- for use with the IDUP API (see Annex D)<}67{>-- Для использования с программным интерфейсом IDUP API (см. приложение Г).<0} id-etsi-es-IDUP-Mechanism-v1 OBJECT IDENTIFIER ::= { itu-t(0) identified-organization(4) etsi(0) electronic-signature-standard (1733) part1 (1) idupMechanism (4) etsiESv1(1) } {0>-- Basic ES Attributes Defined in the present document<}90{>-- Атрибуты простой электронной подписи, определенные в настоящем документе.<0} -- =================================================== {0>-- CMS Attributes defined in the present document<}79{>-- Атрибуты CMS, определенные в настоящем документе.<0} {0>-- OtherSigningCertificate - deprecated<}100{>-- OtherSigningCertificate – не рекомендуется к использованию.<0} id-aa-ets-otherSigCert OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs9(9) smime(16) id-aa(2) 19 } OtherSigningCertificate ::= SEQUENCE { certs SEQUENCE OF OtherCertID, policies SEQUENCE OF PolicyInformation OPTIONAL -- NOT USED IN THE PRESENT DOCUMENT } OtherCertID ::= SEQUENCE { otherCertHash OtherHash, issuerSerial IssuerSerial OPTIONAL } OtherHash ::= CHOICE { sha1Hash OtherHashValue, -- This contains a SHA-1 hash otherHash OtherHashAlgAndValue} {0>-- Policy ES Attributes Defined in the present document<}100{>-- Атрибуты регламента электронной подписи, определенные в настоящем документе.<0} -- ==================================================== {0>-- Mandatory Basic Electronic Signature Attributes, plus in addition.<}83{>-- Обязательные атрибуты простой электронной подписи и дополнение.<0} {0>-- Signature Policy Identifier<}0{>-- Идентификатор регламента подписи.<0} id-aa-ets-sigPolicyId OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs9(9) smime(16) id-aa(2) 15 } SignaturePolicyIdentifier ::= CHOICE { signaturePolicyId SignaturePolicyId, signaturePolicyImplied SignaturePolicyImplied -- not used in this version } SignaturePolicyId ::= SEQUENCE { sigPolicyId SigPolicyId, sigPolicyHash SigPolicyHash, sigPolicyQualifiers SEQUENCE SIZE (1..MAX) OF SigPolicyQualifierInfo OPTIONAL } SignaturePolicyImplied ::= NULL SigPolicyId ::= OBJECT IDENTIFIER SigPolicyHash ::= OtherHashAlgAndValue OtherHashAlgAndValue ::= SEQUENCE { hashAlgorithm AlgorithmIdentifier, hashValue OtherHashValue } OtherHashValue ::= OCTET STRING SigPolicyQualifierInfo ::= SEQUENCE { sigPolicyQualifierId SIG-POLICY-QUALIFIER.&id ({SupportedSigPolicyQualifiers}), qualifier SIG-POLICY-QUALIFIER.&Qualifier ({SupportedSigPolicyQualifiers} {@sigPolicyQualifierId})OPTIONAL } SupportedSigPolicyQualifiers SIG-POLICY-QUALIFIER ::= { noticeToUser | pointerToSigPolSpec } SIG-POLICY-QUALIFIER ::= CLASS { &id OBJECT IDENTIFIER UNIQUE, &Qualifier OPTIONAL } WITH SYNTAX { SIG-POLICY-QUALIFIER-ID &id [SIG-QUALIFIER-TYPE &Qualifier] } noticeToUser SIG-POLICY-QUALIFIER ::= { SIG-POLICY-QUALIFIER-ID id-spq-ets-unotice SIG-QUALIFIER-TYPE SPUserNotice } pointerToSigPolSpec SIG-POLICY-QUALIFIER ::= { SIG-POLICY-QUALIFIER-ID id-spq-ets-uri SIG-QUALIFIER-TYPE SPuri } id-spq-ets-uri OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs9(9) smime(16) id-spq(5) 1 } SPuri ::= IA5String id-spq-ets-unotice OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs9(9) smime(16) id-spq(5) 2 } SPUserNotice ::= SEQUENCE { noticeRef NoticeReference OPTIONAL, explicitText DisplayText OPTIONAL} NoticeReference ::= SEQUENCE { organization DisplayText, noticeNumbers SEQUENCE OF INTEGER } DisplayText ::= CHOICE { visibleString VisibleString (SIZE (1..200)), bmpString BMPString (SIZE (1..200)), utf8String UTF8String (SIZE (1..200)) } {0>-- Optional Electronic Signature Attributes<}100{>-- Необязательные атрибуты электронной подписи.<0} {0>-- Commitment Type<}67{>-- Тип обязательства.<0} id-aa-ets-commitmentType OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 16} CommitmentTypeIndication ::= SEQUENCE { commitmentTypeId CommitmentTypeIdentifier, commitmentTypeQualifier SEQUENCE SIZE (1..MAX) OF CommitmentTypeQualifier OPTIONAL} CommitmentTypeIdentifier ::= OBJECT IDENTIFIER CommitmentTypeQualifier ::= SEQUENCE { commitmentQualifierId COMMITMENT-QUALIFIER.&id, qualifier COMMITMENT-QUALIFIER.&Qualifier OPTIONAL } COMMITMENT-QUALIFIER ::= CLASS { &id OBJECT IDENTIFIER UNIQUE, &Qualifier OPTIONAL } WITH SYNTAX { COMMITMENT-QUALIFIER-ID &id [COMMITMENT-TYPE &Qualifier] } id-cti-ets-proofOfOrigin OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) cti(6) 1} id-cti-ets-proofOfReceipt OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) cti(6) 2} id-cti-ets-proofOfDelivery OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) cti(6) 3} id-cti-ets-proofOfSender OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) cti(6) 4} id-cti-ets-proofOfApproval OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) cti(6) 5} id-cti-ets-proofOfCreation OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) cti(6) 6}
id-aa-ets-signerLocation OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 17} SignerLocation ::= SEQUENCE { {0>-- at least one of the following shall be present<}0{>-- Должен присутствовать по крайней мере один из следующих элементов.<0} countryName [0] DirectoryString OPTIONAL, {0>-- As used to name a Country in X.500<}0{>-- Аналогично использованию названия страны в стандарте X.500.<0} localityName [1] DirectoryString OPTIONAL, {0>-- As used to name a locality in X.500<}90{>-- Аналогично использованию местоположения в стандарте X.500.<0} postalAdddress [2] PostalAddress OPTIONAL } PostalAddress ::= SEQUENCE SIZE(1..6) OF DirectoryString{maxSize}
id-aa-ets-signerAttr OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 18} SignerAttribute ::= SEQUENCE OF CHOICE { claimedAttributes [0] ClaimedAttributes, certifiedAttributes [1] CertifiedAttributes } ClaimedAttributes ::= SEQUENCE OF Attribute CertifiedAttributes ::= AttributeCertificate -- as defined in RFC 3281: see clause 4.1. {0>-- Content Timestamp<}67{>-- Штамп времени содержимого.<0} id-aa-ets-contentTimestamp OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 20} ContentTimestamp::= TimeStampToken {0>-- Signature Timestamp<}75{>-- Штамп времени подписи.<0} id-aa-signatureTimeStampToken OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 14} SignatureTimeStampToken ::= TimeStampToken {0>-- Complete Certificate Refs.<}0{>-- Полные ссылки на сертификаты.<0} id-aa-ets-certificateRefs OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 21} CompleteCertificateRefs ::= SEQUENCE OF OtherCertID {0>-- Complete Revocation Refs<}79{>-- Полные ссылки на отозванные сертификаты.<0} id-aa-ets-revocationRefs OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 22} CompleteRevocationRefs ::= SEQUENCE OF CrlOcspRef CrlOcspRef ::= SEQUENCE { crlids [0] CRLListID OPTIONAL, ocspids [1] OcspListID OPTIONAL, otherRev [2] OtherRevRefs OPTIONAL } CRLListID ::= SEQUENCE { crls SEQUENCE OF CrlValidatedID} CrlValidatedID ::= SEQUENCE { crlHash OtherHash, crlIdentifier CrlIdentifier OPTIONAL} CrlIdentifier ::= SEQUENCE { crlissuer Name, crlIssuedTime UTCTime, crlNumber INTEGER OPTIONAL } OcspListID ::= SEQUENCE { ocspResponses SEQUENCE OF OcspResponsesID} OcspResponsesID ::= SEQUENCE { ocspIdentifier OcspIdentifier, ocspRepHash OtherHash OPTIONAL } OcspIdentifier ::= SEQUENCE { ocspResponderID ResponderID, -- As in OCSP response data producedAt GeneralizedTime -- As in OCSP response data } OtherRevRefs ::= SEQUENCE { otherRevRefType OTHER-REVOCATION-REF.&id, otherRevRefs SEQUENCE OF OTHER-REVOCATION-REF.&Type } OTHER-REVOCATION-REF ::= CLASS { &Type,
&id OBJECT IDENTIFIER UNIQUE } WITH SYNTAX { WITH SYNTAX &Type ID &id }
id-aa-ets-certValues OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 23} CertificateValues ::= SEQUENCE OF Certificate {0>-- Certificate Revocation Values<}82{>-- Значения отозванных сертификатов.<0} id-aa-ets-revocationValues OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 24} RevocationValues ::= SEQUENCE { crlVals [0] SEQUENCE OF CertificateList OPTIONAL, ocspVals [1] SEQUENCE OF BasicOCSPResponse OPTIONAL, otherRevVals [2] OtherRevVals OPTIONAL} OtherRevVals ::= SEQUENCE { otherRevValType OTHER-REVOCATION-VAL.&id, otherRevVals SEQUENCE OF OTHER-REVOCATION-REF.&Type } OTHER-REVOCATION-VAL ::= CLASS { &Type,
&id OBJECT IDENTIFIER UNIQUE } WITH SYNTAX { WITH SYNTAX &Type ID &id }
id-aa-ets-escTimeStamp OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 25} ESCTimeStampToken ::= TimeStampToken {0>-- Time-Stamped Certificates and CRLs<}100{>-- Сертификаты и списки отзыва сертификатов со штампом времени.<0} id-aa-ets-certCRLTimestamp OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 26} TimestampedCertsCRLs ::= TimeStampToken {0>-- Archive Timestamp<}75{>-- Архивный штамп времени.<0} id-aa-ets-archiveTimestampV2 OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 48} ArchiveTimeStampToken ::= TimeStampToken {0>-- Attribute certificate references<}77{>-- Ссылки на атрибутные сертификаты.<0} id-aa-ets-attrCertificateRefs OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 44} AttributeCertificateRefs ::= SEQUENCE OF OtherCertID {0>-- Attribute revocation references<}80{>-- Ссылки на отозванные атрибутные сертификаты.<0} id-aa-ets-attrRevocationRefs OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 45} AttributeRevocationRefs ::= SEQUENCE OF CrlOcspRef END {0>Annex B (informative):<}100{>Приложение Б (справочное).<0} {0>Extended Forms of Electronic Signatures<}100{>Расширенные формы электронных подписей<0} {0>Clause 4 provides an overview of the various formats of electronic signatures included in the present document.<}60{>В пункте 4 приведен обзор различных форматов электронных подписей, включенных в настоящий документ.<0} {0>This annex lists the attributes that need to be present in the various extended electronic signature formats and provides example validation sequences using the extended formats.<}0{>В данном приложении перечисляются атрибуты, которые должны присутствовать в различных расширенных форматах электронных подписей, и приводится пример проверяющих последовательностей с использованием расширенных форматов.<0} {0>B.1<}99{>Б.1<0} {0>Extended Forms of Validation Data<}79{>Расширенные формы проверочных данных<0} {0>The Complete validation data (CAdES-C) described in clause 4.3 and illustrated in figure 3 may be extended to create electronic signatures with extended validation data.<}0{>Полные проверочные данные (CAdES-C), описанные в пункте 4.3 и показанные на рис. 3, могут быть расширены для создания электронных подписей с расширенными проверочными данными.<0} {0>Some electronic signature forms that include extended validation are explained below.<}0{>Некоторые формы электронных подписей, включающие расширенные проверочные данные, описаны ниже.<0} {0>An X-Long electronic signature ( жүктеу/скачать 2.44 Mb. Достарыңызбен бөлісу:
|