この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
1 スコープ
このドキュメントは、自動識別サービスの ISO/IEC 9594-8 (公開鍵インフラストラクチャ: デジタル署名および証明書) アプリケーション仕様です。これは、バーコードおよび/または RFID タグ内に保存されたデータを構造化し、エンコードし、デジタル署名する方法を指定します。 ISO/IEC 9594-8 は、キーおよびデータ記述の管理と配布のための標準的な方法を提供するために使用されます。自動識別データキャリアのデータ容量および/またはデータ転送容量には制限があることに注意してください。これにより、自動識別サービス内での ISO/IEC 9594-8 で指定されているデジタル署名の通常の使用が制限されます。
このドキュメントの目的は、自動識別サービスとデータ キャリア間のオープンで相互運用可能な方法を提供し、オフラインのユース ケースでデータを読み取り、データの独自性と完全性を検証することです。
この文書は、
- デジタル署名とエンコードされた構造化データを含むメタデータ構造、DigSig
- 公開鍵証明書のパラメーターと拡張機能の使用、認定された関連付けられた公開鍵を含む DigSig 証明書、構造化データの説明、読み取りメソッド、およびプライベート コンテナー、
- 構造化データを指定、読み取り、記述、署名、検証、エンコード、およびデコードする方法、DigSig Data Description,
- 関連する非対称鍵ペアを生成し、秘密鍵を秘密に保ち、DigSig を生成する DigSig EncoderGenerator, および
- DigSig DecoderVerifier は、DigSig 証明書を使用してデータ キャリアのセットから DigSig を読み取り、DigSig を検証し、DigSig から構造化データを抽出します。
DigSig の検証が成功すると、次のことを意味します。
- データは改ざんされていません。
- データのソースは、DigSig の検証に使用される DigSig 証明書に示されているとおりです。
- データキャリアの保護された識別子が含まれるDigSigに含まれている場合、データキャリアに保存されているデータは、データの元の発行されたコピーと見なすことができます。安全な識別子は、データキャリアが本物であることを保証できます。
このドキュメントは指定しません
- 暗号化方法も
- キー管理方法。
この文書は、使用環境の標準的なリスク評価と併せて使用されます。
1 Scope
This document is an ISO/IEC 9594-8 (Public Key Infrastructure: digital signatures and certificates) application specification for automated identification services. It specifies a method whereby data stored within a barcode and/or RFID tag are structured, encoded and digitally signed. ISO/IEC 9594-8 is used to provide a standard method for key and data description management and distribution. It is worth noting that the data capacity and/or data transfer capacity of Automated Identification Data Carriers are restricted. This restricts the normal use of a Digital Signature as specified in ISO/IEC 9594-8 within automated identification services.
The purpose of this document is to provide an open and interoperable method, between automated identification services and data carriers, to read data, verify data originality and data integrity in an offline use case.
This document specifies
- the meta data structure, the DigSig, which contains the Digital Signature and encoded structured data,
- the public key certificate parameter and extension use, the DigSig Certificate, which contains the certified associated public key, the structured data description, the read methods and private containers,
- the method to specify, read, describe, sign, verify, encode and decode the structured data, the DigSig Data Description,
- the DigSig EncoderGenerator which generates the relevant asymmetric key pairs, keeps the Private Key secret and generates the DigSigs, and
- the DigSig DecoderVerifier which, by using to the DigSig Certificate, reads the DigSig from the set of Data Carriers, verifies the DigSig and extracts the structured data from the DigSig.
A successful verification of the DigSig signifies the following:
- the data was not tampered with;
- the source of the data is as indicated on the DigSig Certificate used to verify the DigSig with;
- if a secured identifier of the data carrier is included in the DigSig it contains, then the data stored on the data carrier can be considered as the original issued copy of the data; the secure identifier will be able to guarantee that the data carrier is authentic.
This document does not specify
- cryptographic methods, nor
- key management methods.
This document is used in conjunction with standard risk assessments of the use environment.