この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである各国団体は、特定の技術活動分野に対処するためにそれぞれの組織によって設立された技術委員会を通じて国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力します。政府および非政府の他の国際機関も、ISO および IEC と連携してこの作業に参加しています。情報技術の分野では、ISO と IEC は共同技術委員会 ISO/IEC JTC 1 を設立しました。
国際規格は、ISO/IEC 指令Part 2 部に規定されている規則に従って草案されています。
合同技術委員会の主な任務は、国際規格を作成することです。合同技術委員会によって採択された国際規格草案は、投票のために各国機関に配布されます。国際規格として発行するには、投票を行っている国家機関の少なくとも 75% による承認が必要です。
この文書の要素の一部が特許権の対象となる可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。
ISO/IEC 14888-1 は、合同技術委員会 ISO/IEC JTC 1, 情報技術、分科会 SC 27, IT セキュリティ技術によって作成されました。
この第 2 版は、技術的に改訂された第 1 版 (ISO/IEC 14888-1:1998) を廃止し、置き換えるものです。
ISO/IEC 14888 は、 「情報技術 - セキュリティ技術 - 付録付きデジタル署名」という一般タイトルのもと、次の部分で構成されています。
- Part 1: 一般
- Part 2: 整数因数分解ベースのメカニズム
- Part 3: 離散対数ベースのメカニズム
導入
デジタル署名メカニズムは、エンティティ認証、データ発信元認証、データ完全性、および否認防止サービスを提供するために使用できる非対称暗号化技術です。デジタル署名メカニズムには次の 2 種類があります。
- 検証プロセスで入力の一部としてメッセージが必要な場合、そのメカニズムは「付録付き署名メカニズム」と呼ばれます。付録の計算にはハッシュ関数が使用されます。
- 検証プロセスによってメッセージの全部または一部が明らかになった場合、そのメカニズムは「メッセージ回復を与える署名メカニズム」と呼ばれます。これらの署名の生成と検証にはハッシュ関数も使用されます。
付録付きの署名メカニズムは ISO/IEC 14888 で指定されています。メッセージ回復を行う署名メカニズムは ISO/IEC 9796 で指定されています。ハッシュ関数は ISO/IEC 10118 で指定されています。
1 スコープ
ISO/IEC 14888 では、任意の長さのメッセージに対する付録付きのいくつかのデジタル署名メカニズムを指定しています。
ISO/IEC 14888 のこの部分には、デジタル署名の一般原則と要件が付録とともに含まれています。 ISO/IEC 14888 のすべての部分で使用される定義と記号も含まれています。
公開鍵証明書など、公開検証鍵の信頼できるコピーを取得するには、さまざまな手段が利用できます。キーと証明書を管理する技術は ISO/IEC 14888 の範囲外です。詳細については、ISO/IEC 9594-8 [4], ISO/IEC 11770-3 [3], および ISO/IEC 15945 [5] を参照してください。
2 規範的参照
この文書を適用するためには、以下の参照文書が不可欠です。日付が記載された参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
なし。
3 用語と定義
この文書の目的上、次の用語と定義が適用されます。
3.1
付録
署名とオプションのテキストフィールドによって形成されるビットの文字列
3.2
衝突耐性のあるハッシュ関数
次の特性を満たすハッシュ関数: 同じ出力にマッピングされる 2 つの異なる入力を見つけることは計算上不可能です。
注記 1:計算上の実現可能性は、特定のセキュリティ要件および環境によって異なります。
[出典:ISO/IEC 10118-1]
3.3
データ要素
整数、ビット文字列、整数のセット、またはビット文字列のセット
3.4
ドメイン
単一のセキュリティ ポリシーの下で動作する一連のエンティティ
例:
単一の認証局、または同じセキュリティ ポリシーを使用する一連の認証局によって作成された公開キー証明書
3.5
ドメインパラメータ
ドメイン内のすべてのエンティティに共通で、既知であるか、アクセス可能なデータ要素
3.6
ハッシュコード
ハッシュ関数の出力であるビット列
[出典:ISO/IEC 10118-1]
3.7
ハッシュ関数
- 特定の出力に対して、この出力にマップする入力を見つけることは計算上不可能です。
- 特定の入力に対して、同じ出力にマッピングされる 2 番目の入力を見つけることは計算上不可能です。
注記 1:計算上の実現可能性は、特定のセキュリティ要件および環境によって異なります。
注記 2:このハッシュ関数の定義は、一方向ハッシュ関数と呼ばれます。
[出典:ISO/IEC 10118-1]
3.8
識別データ
エンティティに割り当てられ、エンティティを識別するために使用される、エンティティの識別識別子を含むデータ要素のシーケンス
注1: 識別データには、署名プロセスの識別子、署名鍵の識別子、署名鍵の有効期間、鍵使用の制限、関連するセキュリティ・ポリシー・パラメータ、鍵のシリアル番号、またはドメイン・パラメータなどのデータ要素がさらに含まれる場合があります。
3.9
キーペア
- 署名者のみが使用できるように、全体的または部分的に秘密にされる一連のデータ要素。
- 完全に公開でき、あらゆる検証者が使用できるデータ要素のセット
3.10
メッセージ
任意の長さのビット列
3.11
パラメータ
整数、ビット文字列、またはハッシュ関数
3.12
サイン
署名プロセスから得られる 1 つ以上のデータ要素
3.13
署名キー
エンティティに固有であり、署名プロセスでこのエンティティのみが使用できるプライベート データ要素のセット
注記 1: ISO/IEC 9796-2, ISO/IEC 9796-3, ISO/IEC 9798-3 など、他の規格では秘密署名鍵と呼ばれることもあります。
3.14
署名プロセス
メッセージ、署名キー、ドメインパラメータを入力として受け取り、出力として署名を与えるプロセス
3.15
署名付きメッセージ
署名、署名から復元できないメッセージの部分、およびオプションのテキスト フィールドで構成されるデータ要素のセット
注記 1: ISO/IEC 14888 のこの部分のコンテキストでは、メッセージ全体が署名されたメッセージに含まれており、メッセージの一部は署名から復元されません。
3.16
検証キー
エンティティの署名キーに数学的に関連付けられ、検証プロセスで検証者によって使用される公開データ要素のセット
注記 1:他の規格 (ISO/IEC 9796-2, ISO/IEC 9796-3, ISO/IEC 9798-3 など) では公開検証鍵と呼ばれることもあります。
3.17
検証プロセス
署名されたメッセージ、検証キー、およびドメイン パラメーターを入力として受け取り、署名検証の結果 (有効または無効) を出力として返すプロセス
参考文献
| 1 | B. Kaliski, 「署名スキームのハッシュ関数ファイアウォールについて」 、Proc. Cryptographers' Track RSA Conference 2002, B. Preneel 編、Lecture Notes in Computer Science, Vol. 2271, 1–16 ページ、ベルリン、シュプリンガー版、2002 年 |
| 2 | ISO/IEC 979, 情報技術 - セキュリティ技術 - メッセージ回復を提供するデジタル署名方式 |
| 3 | ISO/IEC 11770-3, 情報技術 - セキュリティ技術 - 鍵管理 - Part 3: 非対称技術を使用したメカニズム |
| 4 | ISO/IEC 9594-8:2001, 情報技術 — オープン システム相互接続 — ディレクトリ: 公開キーと属性証明書のフレームワーク |
| 5 | ISO/IEC 15945:2002, 情報技術 - セキュリティ技術 - デジタル署名の適用をサポートする TTP サービスの仕様 |
| 6 | ISO/IEC 1011, 情報技術 - セキュリティ技術 - ハッシュ関数 |
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of the joint technical committee is to prepare International Standards. Draft International Standards adopted by the joint technical committee are circulated to national bodies for voting. Publication as an International Standard requires approval by at least 75 % of the national bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
ISO/IEC 14888-1 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, IT Security techniques.
This second edition cancels and replaces the first edition (ISO/IEC 14888-1:1998), which has been technically revised.
ISO/IEC 14888 consists of the following parts, under the general title Information technology — Security techniques — Digital signatures with appendix:
- Part 1: General
- Part 2: Integer factorization based mechanisms
- Part 3: Discrete logarithm based mechanisms
Introduction
Digital signature mechanisms are asymmetric cryptographic techniques which can be used to provide entity authentication, data origin authentication, data integrity and non-repudiation services. There are two types of digital signature mechanisms:
- When the verification process needs the message as part of the input, the mechanism is called a “signature mechanism with appendix”. A hash-function is used in the calculation of the appendix.
- When the verification process reveals all or part of the message, the mechanism is called a “signature mechanism giving message recovery”. A hash-function is also used in the generation and verification of these signatures.
Signature mechanisms with appendix are specified in ISO/IEC 14888. Signature mechanisms giving message recovery are specified in ISO/IEC 9796. Hash-functions are specified in ISO/IEC 10118.
1 Scope
ISO/IEC 14888 specifies several digital signature mechanisms with appendix for messages of arbitrary length.
This part of ISO/IEC 14888 contains general principles and requirements for digital signatures with appendix. It also contains definitions and symbols which are used in all parts of ISO/IEC 14888.
Various means are available to obtain a reliable copy of the public verification key, e.g., a public key certificate. Techniques for managing keys and certificates are outside the scope of ISO/IEC 14888. For further information, see ISO/IEC 9594-8 [4], ISO/IEC 11770-3 [3] and ISO/IEC 15945 [5].
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
None.
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
3.1
appendix
string of bits formed by the signature and an optional text field
3.2
collision-resistant hash-function
hash-function satisfying the following property: it is computationally infeasible to find any two distinct inputs which map to the same output
Note 1 to entry: Computational feasibility depends on the specific security requirements and environment.
[SOURCE:ISO/IEC 10118-1]
3.3
data element
integer, bit string, set of integers or set of bit strings
3.4
domain
set of entities operating under a single security policy
EXAMPLE:
public key certificates created by a single authority or by a set of authorities using the same security policy
3.5
domain parameter
data element which is common to and known by or accessible to all entities within the domain
3.6
hash-code
string of bits which is the output of a hash-function
[SOURCE:ISO/IEC 10118-1]
3.7
hash-function
- for a given output, it is computationally infeasible to find an input which maps to this output;
- for a given input, it is computationally infeasible to find a second input which maps to the same output
Note 1 to entry: Computational feasibility depends on the specific security requirements and environment.
Note 2 to entry: This definition of hash-function is referred to as one-way hash-function.
[SOURCE:ISO/IEC 10118-1]
3.8
identification data
sequence of data elements, including the distinguishing identifier for an entity, assigned to an entity and used to identify it
Note 1 to entry: The identification data may additionally contain data elements such as identifier of the signature process, identifier of the signature key, validity period of the signature key, restrictions on key usage, associated security policy parameters, key serial number, or domain parameters.
3.9
key pair
- a set of data elements that shall be totally or partially kept secret, to be used only by the signer;
- a set of data elements that can be totally made public, to be used by any verifier
3.10
message
string of bits of any length
3.11
parameter
integer, bit string or hash-function
3.12
signature
one or more data elements resulting from the signature process
3.13
signature key
set of private data elements specific to an entity and usable only by this entity in the signature process
Note 1 to entry: Sometimes called a private signature key in other standards, e.g. ISO/IEC 9796-2, ISO/IEC 9796-3 and ISO/IEC 9798-3.
3.14
signature process
process which takes as inputs the message, the signature key and the domain parameters, and which gives as output the signature
3.15
signed message
set of data elements consisting of the signature, the part of the message which cannot be recovered from the signature, and an optional text field
Note 1 to entry: In the context of this part of ISO/IEC 14888, the entire message is included in the signed message and no part of the message is recovered from the signature.
3.16
verification key
set of public data elements which is mathematically related to an entity's signature key and which is used by the verifier in the verification process
Note 1 to entry: Sometimes called a public verification key in other standards, e.g. ISO/IEC 9796-2, ISO/IEC 9796-3 and ISO/IEC 9798-3.
3.17
verification process
process which takes as input the signed message, the verification key and the domain parameters, and which gives as output the result of the signature verification: valid or invalid
Bibliography
| 1 | B. Kaliski, On hash function firewalls in signature schemes, in Proc. Cryptographers’ Track RSA Conference 2002, B. Preneel, Ed, Lecture Notes in Computer Science, Vol. 2271, pp. 1–16, Berlin, Springer-Verlag, 2002 |
| 2 | ISO/IEC 9796 (all parts), Information technology — Security techniques — Digital signature scheme giving message recovery |
| 3 | ISO/IEC 11770-3, Information technology — Security techniques — Key management — Part 3: Mechanisms using asymmetric techniques |
| 4 | ISO/IEC 9594-8:2001, Information technology — Open Systems Interconnection — The Directory: Public-key and attribute certificate frameworks |
| 5 | ISO/IEC 15945:2002, Information technology — Security techniques — Specification of TTP services to support the application of digital signatures |
| 6 | ISO/IEC 10118 (all parts), Information technology — Security techniques — Hash-functions |