Электронные подписи и инфраструктуры (esi); усовершенствованные электронные подписи cms (CAdES)
жүктеу/скачать 2.44 Mb.
|
- Бұл бет үшін навигация:
- CAdES-X Type 1 or CAdES-X Type 2
- CAdES-X Type 1 или CAdES-X Type 2
- CAdES-X Type 1
- CAdES-X Long Type 1 or CAdES-X Long Type 2
- CAdES-X Long Type 1 или CAdES-X Long Type 2
- (CAdES-X Long Type 2)
- CAdES-X Long Type 1
- CAdES-X Long Type 1 и CAdES-X Long Type 2
| Time-Marking Authority;<}0{>время, представленное атрибутом signature-timestamp, как определено в пункте 6.1.1, или меткой времени, которой управляет служба меток времени;<0}
{0>complete-certificate-references, as defined in clause 6.2.1;<}0{>атрибут complete-certificate-references, как определено в пункте 6.2.1;<0} {0>complete-revocation-references, as defined in clause 6.2.2.<}87{>атрибут complete-revocation-references, как определено в пункте 6.2.2.<0} 6.2.1 {0>complete-certificate-references Attribute Definition<}100{>Определение атрибута complete-certificate-references<0} {0>The complete-certificate-references attribute is an unsigned attribute.<}0{>complete-certificate-references – это неподписанный атрибут.<0} {0>It references the full set of CA certificates that have been used to validate an ES with Complete validation data up to (but not including) the signer's certificate.<}0{>Он ссылается на полный набор сертификатов центра сертификации, используемые для проверки электронной подписи с полными проверочными данными вплоть до сертификата подписывающей стороны (но не включая его).<0} {0>Only a single instance of this attribute shall occur with an electronic signature.<}0{>Только один экземпляр этого атрибута должен быть включен в электронную подпись.<0} {0>NOTE 1:<}100{>ПРИМЕЧАНИЕ 1.<0} {0>The signer's certificate is referenced in the signing certificate attribute (see clause 5.7.3).<}0{>Сертификат подписывающей стороны указывается в атрибуте сертификата подписывающей стороны (см. пункт 5.7.3).<0} id-aa-ets-certificateRefs OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 21}
CompleteCertificateRefs ::= SEQUENCE OF OtherCertID {0>OtherCertID is defined in clause 5.7.3.3.<}0{>Тип OtherCertID определен в пункте 5.7.3.3.<0} {0>The IssuerSerial that shall be present in OtherCertID.<}0{>IssuerSerial должен присутствовать в OtherCertID.<0} {0>The certHash shall match the hash of the certificate referenced.<}0{>Значение certHash должно совпадать с хэш-значением указанного сертификата.<0} {0>NOTE 2:<}100{>ПРИМЕЧАНИЕ 2.<0} {0>Copies of the certificate values may be held using the certificate-values attribute, defined in clause 6.3.3.<}0{>Копии значений сертификатов могут храниться в атрибуте certificate-values, определенном в пункте 6.3.3.<0} {0>This attribute may include references to the certification chain for any TSU that provides time-stamp tokens.<}0{>Этот атрибут может содержать ссылки на цепочку сертификации для любого модуля штампов времени, который предоставляет штампы времени.<0} {0>In this case, the unsigned attribute shall be added to the signedData of the relevant time-stamp token as an unsignedAttrs in the signerInfos field.<}0{>В этом случае неподписанный атрибут добавляется к структуре signedData соответствующего штампа времени как атрибут unsignedAttrs в поле signerInfos.<0} 6.2.2 {0>complete-revocation-references Attribute Definition<}100{>Определение атрибута complete-revocation-references<0} {0>The complete-revocation-references attribute is an unsigned attribute.<}92{>complete-revocation-references – это неподписанный атрибут.<0} {0>Only a single instance of this attribute shall occur with an electronic signature.<}100{>Только один экземпляр этого атрибута должен быть включен в электронную подпись.<0} {0>It references the full set of the CRL, ACRL, or OCSP responses that have been used in the validation of the signer, and CA certificates used in ES with Complete validation data.<}0{>Он ссылается на полный набор списков отзыва сертификатов, списков отзыва атрибутных сертификатов и ответов OCSP, которые использовались для проверки подписывающей стороной, и сертификатов центра сертификации, используемых в подписи с полными проверочными данными.<0} {0>This attribute indicates that the verifier has taken due diligence to gather the available revocation information.<}0{>Этот атрибут показывает, что проверяющая сторона со всей ответственностью собрала доступные сведения об отозванных сертификатах.<0} {0>The references stored in this attribute can be used to retrieve the referenced information, if not stored in the CMS structure, but somewhere else.<}0{>Ссылки, хранимые в этом атрибуте, можно использовать для получения информации, на которую он ссылается, если она хранится не в структуре CMS, а в другом месте.<0} {0>The following object identifier identifies the complete-revocation-references attribute:<}77{>Следующий идентификатор объекта определяет атрибут complete-revocation-references:<0} id-aa-ets-revocationRefs OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 22}
CompleteRevocationRefs ::= SEQUENCE OF CrlOcspRef CrlOcspRef ::= SEQUENCE { crlids [0] CRLListID OPTIONAL, ocspids [1] OcspListID OPTIONAL, otherRev [2] OtherRevRefs OPTIONAL } {0>CompleteRevocationRefs shall contain one CrlOcspRef for the signing-certificate, followed by one for each OtherCertID in the CompleteCertificateRefs attribute.<}0{>Атрибут CompleteRevocationRefs должен содержать одно поле CrlOcspRef для signing-certificate и одно такое же поле для каждого OtherCertID в этом атрибуте.<0} {0>The second and subsequent CrlOcspRef fields shall be in the same order as the OtherCertID to which they relate.<}0{>Второе и последующие поля CrlOcspRef должны быть указаны в том же порядке, как и для OtherCertID, к которому они относятся.<0} {0>At least one of CRLListID or OcspListID or OtherRevRefs should be present for all but the "trusted" CA of the certificate path.<}0{>По крайней мере одно поле CRLListID, OcspListID или OtherRevRefs должно присутствовать для всех доверенных центров сертификации пути сертификации.<0} CRLListID ::= SEQUENCE { crls SEQUENCE OF CrlValidatedID } CrlValidatedID ::= SEQUENCE { crlHash OtherHash, crlIdentifier CrlIdentifier OPTIONAL } CrlIdentifier ::= SEQUENCE { crlissuer Name, crlIssuedTime UTCTime, crlNumber INTEGER OPTIONAL } OcspListID ::= SEQUENCE { ocspResponses SEQUENCE OF OcspResponsesID } OcspResponsesID ::= SEQUENCE { ocspIdentifier OcspIdentifier, ocspRepHash OtherHash OPTIONAL } OcspIdentifier ::= SEQUENCE { ocspResponderID ResponderID, -- As in OCSP response data producedAt GeneralizedTime -- As in OCSP response data } OtherRevRefs ::= SEQUENCE { otherRevRefType OtherRevRefType, otherRevRefs ANY DEFINED BY otherRevRefType } OtherRevRefType ::= OBJECT IDENTIFIER {0>When creating a crlValidatedID, the crlHash is computed over the entire DER encoded CRL including the signature.<}0{>При создании crlValidatedID значение crlHash вычисляется по всему списку отзыва сертификатов, закодированному в формате DER, включая и подпись.<0} {0>The crlIdentifier would normally be present unless the CRL can be inferred from other information.<}0{>crlIdentifier обычно присутствует, если список отзыва сертификатов нельзя получить из других данных.<0} {0>The crlIdentifier is to identify the CRL using the issuer name and the CRL issued time, which shall correspond to the time thisUpdate contained in the issued CRL, and if present, the crlNumber.<}0{>crlIdentifier используется для идентификации списка отзыва сертификатов с использованием имени издателя и времени выпуска списка, которое должно соответствовать времени в поле thisUpdate, содержащемся в выпущенном списке отзыва сертификатов, и поле crlNumber, если оно задано.<0} {0>The crlListID attribute is an unsigned attribute.<}64{>crlListID – это неподписанный атрибут.<0} {0>In the case that the identified CRL is a Delta CRL, then references to the set of CRLs to provide a complete revocation list shall be included.<}0{>Если идентифицированный список отзыва сертификатов является списком изменений, то этот атрибут ссылается на набор списков отзыва сертификатов для предоставления полного списка отзыва, включаемого в проверочные данные.<0} {0>The OcspIdentifier is to identify the OCSP response using the issuer name and the time of issue of the OCSP response, which shall correspond to the time produced as contained in the issued OCSP response.<}0{>Поле OcspIdentifier используется для идентификации ответа OCSP с помощью имени издателя и времени выдачи ответа OCSP, которое должно соответствовать времени в выданном ответе OCSP.<0} {0>In previous versions of the standard, the ocspRefHash element was optional.<}0{>В предыдущих версиях данного стандарта элемент ocspRefHash был необязательным.<0} {0>In order to provide backward compatibility, the ASN.1 structure is not changed, however, it is strongly recommended that implementations include this element.<}0{>Для обеспечения обратной совместимости структура ASN.1 не была изменена, при этом настоятельно рекомендуется включать данный элемент в свои реализации стандарта.<0} {0>Implementations verifying a signature may choose to accept signatures without this element, but should be warned that its absence makes OCSP responses substitutions attacks possible, if for instance OCSP responder keys are compromised.<}0{>Реализации, проверяющие подпись, могут принимать подписи без этого элемента. Но следует помнить, что его отсутствие позволяет применять атаки с заменой ответов OCSP, например, при компрометации ключей службы OCSP.<0} {0>Implementations choosing to accept signatures without this element may use out-of-band mechanisms to ensure that none of the OCSP responder keys have been compromised at the time of validation.<}0{>Реализации, принимающие подписи без этого элемента, могут использовать сторонние механизмы для гарантии того, что ни один из ключей службы OCSP не был скомпрометирован на время проверки.<0} {0>NOTE 1:<}100{>ПРИМЕЧАНИЕ 1.<0} {0>Copies of the CRL and OCSP responses values may be held using the revocation-values attribute defined in clause 6.3.4.<}75{>Копии списка отзыва сертификатов и ответов OCSP могут храниться в атрибуте revocation-values, определенном в пункте 6.3.4.<0} {0>NOTE 2:<}100{>ПРИМЕЧАНИЕ 2.<0} {0>It is recommended that this attribute be used in preference to the OtherRevocationInfoFormat specified in RFC 3852 [4] to maintain backwards compatibility with the earlier version of this specification.<}0{>Рекомендуется использовать данный атрибут вместо атрибута OtherRevocationInfoFormat, определенного в документе RFC 3852 [4], для обеспечения обратной совместимости с предыдущими версиями этого стандарта.<0} {0>The syntax and semantics of other revocation references are outside the scope of the present document.<}0{>Синтаксис и семантика других ссылок на списки отзыва выходят за рамки данного документа.<0} {0>The definition of the syntax of the other form of revocation information is as identified by OtherRevRefType.<}0{>Определение синтаксиса другой формы информации об отозванных сертификатах соответствует синтаксису OtherRevRefType.<0} {0>This attribute may include the references to the full set of the CRL, ACRL, or OCSP responses that have been used to verify the certification chain for any TSUs that provide time-stamp tokens.<}0{>Данный атрибут может содержать ссылки на полный набор списков отзыва сертификатов, списков отзыва атрибутных сертификатов и ответов OCSP, которые использовались для проверки пути сертификации любого модуля штампов времени, предоставляющего штампы времени.<0} {0>In this case, the unsigned attribute shall be added to the signedData of the relevant time-stamp token as an unsignedAttrs in the signerInfos field.<}100{>В этом случае неподписанный атрибут добавляется к структуре signedData соответствующего штампа времени как атрибут unsignedAttrs в поле signerInfos.<0} 6.2.3 {0>attribute-certificate-references Attribute Definition<}100{>Определение атрибута attribute-certificate-references<0} {0>This attribute is only used when a user attribute certificate is present in the electronic signature.<}0{>Этот атрибут используется только при наличии атрибутного сертификата пользователя в электронной подписи.<0} {0>The attribute-certificate-references attribute is an unsigned attribute.<}78{>attribute-certificate-references – это неподписанный атрибут.<0} {0>It references the full set of AA certificates that have been used to validate the attribute certificate.<}0{>Он ссылается на полный набор сертификатов атрибутного центра, используемых для проверки атрибутного сертификата.<0} {0>Only a single instance of this attribute shall occur with an electronic signature.<}100{>Только один экземпляр этого атрибута должен быть включен в электронную подпись.<0} id-aa-ets-attrCertificateRefs OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 44}
AttributeCertificateRefs ::= SEQUENCE OF OtherCertID {0>OtherCertID is defined in clause 5.7.3.3.<}100{>Тип OtherCertID определен в пункте 5.7.3.3.<0} {0>NOTE:<}100{>ПРИМЕЧАНИЕ.<0} {0>Copies of the certificate values may be held using the certificate-values attribute defined in clause 6.3.3.<}99{>Копии значений сертификатов могут храниться в атрибуте certificate-values, определенном в пункте 6.3.3.<0} 6.2.4 {0>attribute-revocation-references Attribute Definition<}100{>Определение атрибута attribute-revocation-references<0} {0>This attribute is only used when a user attribute certificate is present in the electronic signature and when that attribute certificate can be revoked.<}69{>Этот атрибут используется только при наличии атрибутного сертификата пользователя в электронной подписи и только при возможности отзыва атрибутного сертификата.<0} {0>The attribute-revocation-references attribute is an unsigned attribute.<}92{>attribute-revocation-references – это неподписанный атрибут.<0} {0>Only a single instance of this attribute shall occur with an electronic signature.<}100{>Только один экземпляр этого атрибута должен быть включен в электронную подпись.<0} {0>It references the full set of the ACRL or OCSP responses that have been used in the validation of the attribute certificate.<}63{>Он ссылается на полный набор списков отзыва атрибутных сертификатов и ответов OCSP, используемых для проверки атрибутного сертификата.<0} {0>This attribute can be used to illustrate that the verifier has taken due diligence of the available revocation information.<}65{>Этот атрибут можно использовать для того, чтобы показать, что проверяющая сторона со всей ответственностью собрала доступные сведения об отозванных сертификатах.<0} {0>The following object identifier identifies the attribute-revocation-references attribute:<}83{>Следующий идентификатор объекта определяет атрибут attribute-revocation-references:<0} id-aa-ets-attrRevocationRefs OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2) 45}
AttributeRevocationRefs ::= SEQUENCE OF CrlOcspRef 6.3 {0>Extended Validation Data (CAdES-X)<}100{>Расширенные проверочные данные (CAdES-X)<0}
6.3.1 {0>Time-Stamped Validation Data (CAdES-X Type 1 or Type 2)<}88{>Проверочные данные со штампом времени (CAdES-X Type 1 или Type 2)<0} {0>The extended validation data may include one of the following additional attributes, forming a CAdES-X Time-Stamp validation data (CAdES-X Type 1 or CAdES-X Type 2), to provide additional protection against later CA compromis and provide integrity of the validation data used:<}0{>Расширенные проверочные данные могут включать один из следующих дополнительных атрибутов, формируя проверочные данные штампа времени CAdES-X Time-Stamp (CAdES-X Type 1 или CAdES-X Type 2), для обеспечения дополнительной защиты от компрометации центра сертификации в дальнейшем и обеспечения целостности используемых проверочных данных:<0}
6.3.2 {0>Long Validation Data (CAdES-X Long, CAdES-X Long Type 1 or 2)<}100{>Долгосрочные проверочные данные (CAdES-X Long, CAdES-X Long Type 1 или 2)<0} {0>The extended validation data may also include the following additional information, forming a CAdES-X Long, for us if later validation processes may not have access to this information:<}0{>Расширенные проверочные данные также могут содержать следующие дополнительные сведения, формируя подпись CAdES-X Long, если у последующих процессов не будет доступа к этой информации:<0}
{0>The extended validation data may, in addition to certificate-values and revocation-values as defined in clauses 6.3.3 and 6.3.4, include one of the following additional attributes, forming a CAdES-X Long Type 1 or CAdES-X Long Type 2.<}0{>Помимо атрибутов certificate-values и revocation-values, определенных в пунктах 6.3.3 и 6.3.4, расширенные проверочные данные могут содержать один из следующих дополнительных атрибутов, формируя CAdES-X Long Type 1 или CAdES-X Long Type 2.<0}
{0>The CAdES-X Long Type 1 or CAdES-X Long Type 2 provides additional protection against later CA compromise and provides integrity of the validation data used.<}0{>Форматы CAdES-X Long Type 1 и CAdES-X Long Type 2 обеспечивают дополнительную защиту от компрометации центра сертификации в дальнейшем и обеспечивают целостность используемых проверочных данных.<0} {0>NOTE 1:<}100{>ПРИМЕЧАНИЕ 1.<0} {0>The CAdES-X Long signature provides long-term proof of the validity of the signature for as long as the CA keys, CRL Issuers keys, and OCSP responder keys are not compromised and are resistant to cryptographic attacks.<}0{>Подпись CAdES-X Long предоставляет долгосрочное доказательство действительности подписи, до тех пор пока ключи центра сертификации, ключи издатели списка отзыва сертификатов и ключи службы OCSP не скомпрометированы и являются стойкими к криптографическим атакам.<0} {0>NOTE 2:<}100{>ПРИМЕЧАНИЕ 2.<0} {0>As long as the time-stamp data remains valid, the CAdES-X Long Type 1 and the CAdES-X Long Type 2 provide the following important property for long-standing signatures; that having been found once to be valid, it will continue to be so months or years later, long after the validity period of the certificates has expired, or after the user key has been compromised.<}0{>Пока данные штампов времени действительны, подписи типа CAdES-X Long Type 1 и CAdES-X Long Type 2 обеспечивают следующую характеристику для долгосрочных подписей: если подпись была признана действительной, она будет оставаться действительной через несколько месяцев и даже лет после истечения срока действия сертификатов или компрометации пользовательского ключа.<0} 6.3.3 {0>certificate-values Attribute Definition<}100{>Определение атрибута certificate-values<0} {0>This attribute may be used to contain the certificate information required for the following forms of extended electronic signature:<}0{>Этот атрибут может использоваться для хранения информации о сертификате, необходимой для следующих форм расширенных электронных подписей:<0} {0> жүктеу/скачать 2.44 Mb. Достарыңызбен бөлісу:
|