この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
3 用語と定義
この文書の目的上、次の用語と定義が適用されます。
ISO と IEC は、標準化に使用する用語データベースを次のアドレスで維持しています。
3.1
アクセスルール
アクションを参照するアクセス モードと、アクションを実行する前に満たすセキュリティ条件を含む データ要素 (3.15)
3.2
ファイルをリセットするための回答
情報ファイル
EF.ATR/情報
カードの動作特性を示すオプションの EF (3.22)
3.3
応用
特定の機能を実行するために必要な 構造体 (3.55) 、 データ要素 (3.15) 、およびプログラム モジュール
3.4
アプリケーションDF
カード内で アプリケーション (3.3) をホストする専用ファイル ( DF (3.18) )
3.5
アプリケーション識別子
援助
アプリケーション (3.3) を識別する データ要素 (3.15) (最大 16 バイト)
3.6
アプリケーションラベル
マンマシンインターフェースで使用する データ要素 (3.15)
3.7
アプリケーションプロバイダー
カード内の アプリケーション (3.3) を構成するコンポーネントを提供するエンティティ
3.8
アプリケーションテンプレート
1 つのアプリケーション 識別子 (3.5 ) データ オブジェクト (3.16) を含むアプリケーション関連 データ オブジェクト (3.16) のセット
3.9
非対称暗号技術
2 つの関連する操作を使用する暗号化技術: 公開番号または 公開キーによって定義されるパブリック操作 (3.41) と、秘密番号または 秘密キーによって定義されるプライベート操作 (3.39)
注記 1: 2 つの操作には、パブリック操作を前提としてプライベート操作を導出することが計算上不可能であるという特性があります。
3.10
ベーステンプレート
間接参照の解決に起因する DO を除く、構築された データ オブジェクト (3.16) の値フィールド
3.11
証明書
特定の人物または オブジェクト (3.32) とそれに関連付けられた 公開鍵 (3.41) をバインドする デジタル署名 (3.20 )
注記 1:証明書を発行するエンティティは、証明書内のデータ要素に関するタグ割り当て機関としても機能します。
3.12
コマンドと応答のペア
C-RP
インターフェイスでの 2 つのメッセージのセット: コマンド APDU とそれに続く逆方向の応答 APDU
3.13
コマンドチェーン
一連の連続する コマンドと応答のペア (3.12) のコマンド データが一緒に処理されるべきであることをカードに伝えるために外部の世界によって使用される手段
3.14
コンテキスト固有のクラス
最初のバイトまたは唯一のバイトが「80」から「BF」までのタグのクラス
3.15
データ要素
名前、論理内容の説明、形式、およびコーディングが指定されている、インターフェースで表示される情報の項目
3.16
データオブジェクト
必須のタグフィールド、必須の長さフィールド、および条件付き値フィールドの連結で構成されるインターフェイスで表示される情報
3.17
データユニット
データ単位をサポートする EF (3.22) 内で明確に参照できるビットの最小セット
3.18
専用ファイル
DF
ファイル制御情報と、オプションで割り当て可能なメモリを含む 構造体 (3.55)
3.19
DF名
カード内の DF (3.18) を 一意に識別する データ要素 (3.15) (最大 16 バイト)
3.20
デジタル署名
データ文字列の起源と完全性を証明し、例えばデータ文字列の受信者による偽造を防ぐデータ文字列に追加されるデータ、またはデータ文字列の暗号変換
3.21
ディレクトリファイル
EF.DIR
カードによってサポートされる アプリケーション (3.3) のリストとオプションの関連 データ要素 (3.15) を含むオプションの EF (3.22 )
3.22
基本ファイル
EF
同じ ファイル識別子 (3.26) を共有する データユニット (3.17) or レコード (3.42 ) or データオブジェクト (3.16) のセット
3.23
拡張ヘッダー
構築された DO 内の 1 つまたは複数の DO を参照する データ要素 (3.15)
3.24
拡張ヘッダーリスト
拡張ヘッダーの連結 (3.23)
3.25
ファイル
コマンド処理時にインターフェイスで見られる、 アプリケーション (3.3) および/またはカード内のデータの 構造 (3.55)
3.26
ファイル識別子
ファイル (3.25) の アドレス指定に使用される データ要素 (3.15) (2 バイト)
3.27
ヘッダーリスト
タグフィールドと長さフィールドのペアを区切り文字なしで連結したもの
3.28
業界間
ISO/IEC 7816 [ 4] シリーズで規定される項目
3.29
内部EF
カードによって解釈されたデータを保存するための EF (3.22)
3.30
鍵
暗号操作を制御する一連のシンボル
例:
暗号化、解読、動的認証におけるプライベートまたはパブリックの操作、署名の生成、署名の検証。
3.31
マスターファイル
MF
DF の階層 (3.18) を使用してカード内のルートを表す一意の DF (3.18)
3.32
物体
構造体 (3.55) と セキュリティ オブジェクト (3.52)
3.33
オフセット
データ単位 (3.17) を サポートする EF (3.22) 内の データ単位 (3.17) を 順番に参照する番号、または レコード (3.42) 内のバイト
3.34
特大のペイロード
APDU の現在のサイズ制約を超える ペイロード (3.38)
3.35
親ファイル
DF (3.18) の 階層内の特定の ファイル (3.25) の直前の DF (3.18)
3.36
パスワード
認証目的で ユーザー (3.63) がカードに提示するため にアプリケーション (3.3) によって要求される可能性のあるデータ
3.37
パス
区切り文字なしの ファイル識別子 (3.26) の連結
3.38
ペイロード
一緒に処理するために、カードまたはカードによって送信される任意の長さのデータ
3.39
秘密鍵
エンティティの非対称キー ペアの キー (3.30) そのエンティティのみが使用する必要があります。
3.40
プロバイダー.プロバイダー
カード内に DF (3.18) を作成する権利を持っている、または取得した当局
3.41
公開鍵
公開できるエンティティの非対称鍵ペアの 鍵 (3.30)
3.42
記録
レコードをサポートする EF (3.22) 内のカードによって参照および処理されるバイト文字列
3.43
レコード識別子
レコードをサポートする EF (3.22) 内の 1 つ以上の レコード (3.42) を参照するために使用される番号
3.44
レコード番号
レコードをサポートする EF (3.22) 内の各 レコード (3.42) を 一意に識別する連続番号
3.45
登録されたアプリケーションプロバイダーの識別子
取り除く
アプリケーションプロバイダー (3.7) を 一意に識別する データ要素 (3.15) (5 バイト)
3.46
コードをリセットする
カウンタの値を変更するためにカードに提示されるデータ
3.47
応答連鎖
任意のコマンドと応答のペア (3.12) の応答データに続いて、一連のget responseコマンドと応答のペアの応答データを一緒に処理する必要があることを外部に伝えるためにカードが使用する手段。
3.48
秘密鍵
指定されたエンティティのセットによって 対称暗号化技術 (3.56) とともに使用される キー (3.30)
3.49
安全なメッセージング
sm
コマンドと応答のペア(の一部)を暗号化して保護するための一連の手段(3.12)
3.50
セキュリティ属性
1 つまたは複数の アクセス ルール (3.1) を含む データ要素 (3.15) として表現される、保存されたデータおよびデータ処理機能を含むカード内の オブジェクト (3.32) の使用条件。
3.51
セキュリティ環境
se
安全なメッセージング (3.49) またはセキュリティ操作のためにカード内の アプリケーション (3.3) に必要なコンポーネントのセット
3.52
セキュリティオブジェクト
このドキュメントに従ってセキュリティ処理を承認する 、EF (3.22) 、 レコード (3.42) 、 データ オブジェクト (3.16) 、DataString またはそれらの組み合わせにネストされたスタンドアロン オブジェクト
例:
パスワード、パスワードの種類、生体認証を含む参照データ、参照データの種類、 証明書 (3.11) 、証明書の種類または キー (3.30) 。
3.53
自己管理型DO
少なくとも DO'62' ネスト セキュリティ属性をネストする構築された DO (3.50)
3.54
短いEF識別子
基本ファイルのアドレス指定に使用される データ要素 (3.15) (5 ビット)
3.55
構造
DF (3.18) 、 EF (3.22) 、 レコード (3.42) 、 DataString または DO
3.56
対称暗号技術
発信者と受信者の両方の操作に同じ 秘密鍵 (3.48) を使用する暗号化技術 (秘密鍵がなければ、どちらの操作も計算上不可能です)
3.57
タグリスト
区切り文字を使用しないタグフィールドの連結
3.58
タグ付きラッパー
ラッパー (3.67) は、参照する DO のローカル アドレス指定用のタグを提供します。
3.59
テンプレート
ber-tlv データ オブジェクト (3.16) を連結し、構築されたber-tlv データ オブジェクト (3.16) の値フィールドを形成します。
3.60
テンプレート拡張子
間接参照の自動解決によって生成される、構築された DO の値フィールドの一部
3.61
一時的な選択
C-RP (3.12) を実行するときに必要な 構造 (3.55) の 選択。成功しても現在の 有効領域 (3.64) は 変更されません。
3.62
一時的なVA
DO を処理するコマンドの実行中に一時的に設定される 有効領域 (3.64)
3.63
ユーザー.ユーザー
カードのユーザー、カード所有者とも呼ばれる
3.64
有効範囲
バージニア州
論理チャネル上で実行されたすべての成功した選択の結果
3.65
仮想ルート DO
ファイル (3.25) 、 レコード (3.42) または DO 処理をサポートする DataString の選択によって現在作成される仮想構築 DO'7F70'
3.66
ワーキングEF
カードによって解釈されないデータを保存するための EF (3.22)
3.67
ラッパー
DO を参照する DO の連結
参考文献
| 1 | EN 41921, 電子識別、認証、および信頼できるサービスのためのセキュア エレメントのアプリケーション インターフェイス |
| 2 | ISO 3166-1, 国名とその下位区分の表現に関するコード — Part 1: 国コード |
| 3 | ISO/IEC 7812-1, ID カード — 発行者の識別 — Part 1: 番号付けシステム |
| 4 | ISO/IEC 781, ID カード - 集積回路カード |
| 5 | ISO/IEC TR 9577, 情報技術 - ネットワーク層のプロトコル識別 |
| 6 | ISO/IEC 979, 情報技術 - セキュリティ技術 - メッセージ回復を行うデジタル署名スキーム |
| 7 | ISO/IEC 979, 情報技術 - セキュリティ技術 - メッセージ認証コード (MAC) |
| 8 | ISO/IEC 979, IT セキュリティ技術 - エンティティ認証 |
| 9 | ISO/IEC 10116, 情報技術 - セキュリティ技術 - n ビット ブロック暗号の動作モード |
| 10 | ISO/IEC 1011, IT セキュリティ技術 - ハッシュ関数 |
| 11 | ISO/IEC 1053, ID カード — 非接触集積回路カード — 密接結合カード |
| 12 | ISO/IEC 10646, 情報技術 - Universal Coded Character Set (UCS) |
| 13 | ISO/IEC 1177, IT セキュリティ技術 - キー管理 |
| 14 | ISO/IEC 1444, 個人識別用のカードおよびセキュリティ デバイス — 非接触近接物体 |
| 15 | ISO/IEC 1488, IT セキュリティ技術 - 付録付きのデジタル署名 |
| 16 | ISO/IEC 1569, 個人識別用のカードおよびセキュリティ デバイス — 非接触近接物体 |
| 17 | ISO/IEC 18013-3, 情報技術 - 個人識別 - ISO 準拠の運転免許証 - Part 3: アクセス制御、認証、完全性検証 |
| 18 | ISO/IEC 1803, IT セキュリティ技術 - 暗号化アルゴリズム |
| 19 | ISO/IEC 18092, 情報技術 - システム間の電気通信および情報交換 - 近距離無線通信 - インターフェイスおよびプロトコル (NFCIP-1) |
| 20 | ISO/IEC 1832, ID カード - ICC 管理デバイス |
| 21 | ISO/IEC 2472, ID カード — 集積回路カード プログラミング インターフェイス |
| 22 | ISO/IEC 29192-4, 情報技術 - セキュリティ技術 - 軽量暗号化 - Part 4: 非対称技術を使用したメカニズム |
| 23 | IETF RFC 1738, ユニフォーム リソース ロケーター (URL) |
| 24 | IETF RFC 2396, Uniform Resource Locators (URL): 一般的な構文 |
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
3.1
access rule
data element (3.15) containing an access mode referring to an action and security conditions to fulfil before acting
3.2
Answer-to-Reset file
information file
EF.ATR/INFO
optional EF (3.22) indicating operating characteristics of the card
3.3
application
structures (3.55) , data elements (3.15) and program modules needed for performing a specific functionality
3.4
application DF
dedicated file ( DF (3.18) ) hosting an application (3.3) in a card
3.5
application identifier
AID
data element (3.15) (up to sixteen bytes) that identifies an application (3.3)
3.6
application label
data element (3.15) for use at the man-machine interface
3.7
application provider
entity providing the components that make up an application (3.3) in the card
3.8
application template
set of application-relevant data objects (3.16) including one application identifier (3.5) data object (3.16)
3.9
asymmetric cryptographic technique
cryptographic technique that uses two related operations: a public operation defined by public numbers or by a public key (3.41) and a private operation defined by private numbers or by a private key (3.39)
Note 1 to entry: The two operations have the property that, given the public operation, it is computationally infeasible to derive the private operation.
3.10
base template
value field of constructed data object (3.16) excluding DOs resulting from resolution of indirect referencing
3.11
certificate
digital signature (3.20) binding a particular person or object (3.32) and its associated public key (3.41)
Note 1 to entry: The entity issuing the certificate also acts as tag allocation authority with respect to the data elements in the certificate.
3.12
command-response pair
C-RP
set of two messages at the interface: a command APDU followed by a response APDU in the opposite direction
3.13
command chaining
means used by the outside world to tell the card that the command data of a sequence of successive command-response pairs (3.12) shall be processed together
3.14
context-specific class
class of a tag with its first or only byte from '80' to 'BF'
3.15
data element
item of information seen at the interface for which are specified a name, a description of logical content, a format and a coding
3.16
data object
information seen at the interface consisting of the concatenation of a mandatory tag field, a mandatory length field and a conditional value field
3.17
data unit
smallest set of bits that can be unambiguously referenced within an EF (3.22) supporting data units
3.18
dedicated file
DF
structure (3.55) containing file control information and, optionally, memory available for allocation
3.19
DF name
data element (3.15) (up to sixteen bytes) that uniquely identifies a DF (3.18) in the card
3.20
digital signature
data appended to, or cryptographic transformation of, a data string that proves the origin and the integrity of the data string and protects against forgery, e.g. by the recipient of the data string
3.21
directory file
EF.DIR
optional EF (3.22) containing a list of applications (3.3) supported by the card and optional related data elements (3.15)
3.22
elementary file
EF
set of data units (3.17) or records (3.42) or data objects (3.16) sharing the same file identifier (3.26)
3.23
extended header
data element (3.15) referencing one or several DOs in a constructed DO
3.24
extended header list
concatenation of extended headers (3.23)
3.25
file
structure (3.55) for application (3.3) and/or data in the card, as seen at the interface when processing commands
3.26
file identifier
data element (3.15) (two bytes) used to address a file (3.25)
3.27
header list
concatenation of pairs of tag field and length field without delimiter
3.28
interindustry
items specified in the ISO/IEC 7816 [4] series
3.29
internal EF
EF (3.22) for storing data interpreted by the card
3.30
key
sequence of symbols controlling a cryptographic operation
EXAMPLE:
Encipherment, decipherment, a private or a public operation in a dynamic authentication, signature generation, signature verification.
3.31
master file
MF
unique DF (3.18) representing the root in a card using a hierarchy of DFs (3.18)
3.32
object
structure (3.55) plus security object (3.52)
3.33
offset
number sequentially referencing a data unit (3.17) in an EF (3.22) supporting data units (3.17) , or a byte in a record (3.42)
3.34
oversize payload
payload (3.38) which exceeds the current size constraints of the APDU
3.35
parent file
DF (3.18) immediately preceding a given file (3.25) within a hierarchy of DFs (3.18)
3.36
password
data that may be required by the application (3.3) to be presented to the card by its user (3.63) for authentication purpose
3.37
path
concatenation of file identifiers (3.26) without delimiter
3.38
payload
data of arbitrary length, to be sent to the card or by the card, in order to be processed together
3.39
private key
key (3.30) of an entity's asymmetric key pair which should only be used by that entity
3.40
provider
authority who has or who obtained the right to create a DF (3.18) in the card
3.41
public key
key (3.30) of an entity's asymmetric key pair that can be made public
3.42
record
string of bytes referenced and handled by the card within an EF (3.22) supporting records
3.43
record identifier
number used to reference one or more records (3.42) within an EF (3.22) supporting records
3.44
record number
sequential number that uniquely identifies each records (3.42) within an EF (3.22) supporting records
3.45
registered application provider identifier
RID
data element (3.15) (five bytes) that uniquely identifies an application provider (3.7)
3.46
resetting code
data to be presented to a card in order to modify the value of a counter
3.47
response chaining
means used by the card to tell the outside world that the response data of any command-response pair (3.12) followed by the response data of a sequence of get response command-response pairs should be processed together
3.48
secret key
key (3.30) used with symmetric cryptographic techniques (3.56) by a set of specified entities
3.49
secure messaging
sm
set of means for cryptographic protection of (parts of) command-response pairs (3.12)
3.50
security attribute
condition of use of objects (3.32) in the card including stored data and data processing functions, expressed as a data element (3.15) containing one or more access rules (3.1)
3.51
security environment
se
set of components required by an application (3.3) in the card for secure messaging (3.49) or for security operations
3.52
security object
standalone object nested in an EF (3.22) , a record (3.42) , a data object (3.16) , a DataString or a combination thereof that endorses security handling according to this document
EXAMPLE:
Password, password type, reference data including biometric, reference data type, certificate (3.11) , certificate type or key (3.30) .
3.53
self-controlled DO
constructed DO which nests at least a DO'62' nesting security attributes (3.50)
3.54
short EF identifier
data element (3.15) (five bits) used to address an elementary file
3.55
structure
DF (3.18) , EF (3.22) , record (3.42) , DataString or DO
3.56
symmetric cryptographic technique
cryptographic technique using the same secret key (3.48) for both the originator's and the recipient's operation (without the secret key, it is computationally infeasible to compute either operation)
3.57
tag list
concatenation of tag fields without delimiter
3.58
tagged wrapper
wrapper (3.67) which provides a tag for local addressing of the DO it references
3.59
template
concatenation of ber-tlv data objects (3.16) , forming the value field of a constructed ber-tlv data object (3.16)
3.60
template extension
part of the value field of a constructed DO resulting from automatic resolution of indirect referencing
3.61
transient selection
structure (3.55) selection needed when performing a C-RP (3.12) , the success of which will not modify the current validity area (3.64)
3.62
transient VA
validity area (3.64) set transiently during execution of a command which handles DOs
3.63
user
user of the card, also known as cardholder
3.64
validity area
VA
result of all successful selections performed on a logical channel
3.65
virtual root DO
virtual constructed DO'7F70' made current by the selection of a file (3.25) , a record (3.42) or a DataString supporting DO handling
3.66
working EF
EF (3.22) for storing data not interpreted by the card
3.67
wrapper
concatenation of DOs referencing a DO
Bibliography
| 1 | EN 419212 (all parts), Application Interface for Secure Elements for Electronic Identification, Authentication and Trusted Services |
| 2 | ISO 3166-1, Codes for the representation of names of countries and their subdivisions — Part 1: Country codes |
| 3 | ISO/IEC 7812-1, Identification cards — Identification of issuers — Part 1: Numbering system |
| 4 | ISO/IEC 7816 (all parts), Identification cards — Integrated circuit cards |
| 5 | ISO/IEC/TR 9577, Information technology — Protocol identification in the network layer |
| 6 | ISO/IEC 9796 (all parts), Information technology — Security techniques — Digital signature schemes giving message recovery |
| 7 | ISO/IEC 9797 (all parts), Information technology — Security techniques — Message Authentication Codes (MACs) |
| 8 | ISO/IEC 9798 (all parts), IT Security techniques — Entity authentication |
| 9 | ISO/IEC 10116, Information technology — Security techniques — Modes of operation for an n-bit block cipher |
| 10 | ISO/IEC 10118 (all parts), IT Security techniques — Hash-functions |
| 11 | ISO/IEC 10536 (all parts), Identification cards — Contactless integrated circuit(s) cards — Close-coupled cards |
| 12 | ISO/IEC 10646, Information technology — Universal Coded Character Set (UCS) |
| 13 | ISO/IEC 11770 (all parts), IT Security techniques — Key management |
| 14 | ISO/IEC 14443 (all parts), Cards and security devices for personal identification — Contactless proximity objects |
| 15 | ISO/IEC 14888 (all parts), IT Security techniques — Digital signatures with appendix |
| 16 | ISO/IEC 15693 (all parts), Cards and security devices for personal identification — Contactless vicinity objects |
| 17 | ISO/IEC 18013-3, Information technology — Personal identification — ISO-compliant driving licence — Part 3: Access control, authentication and integrity validation |
| 18 | ISO/IEC 18033 (all parts), IT Security techniques — Encryption algorithms |
| 19 | ISO/IEC 18092, Information technology — Telecommunications and information exchange between systems — Near Field Communication — Interface and Protocol (NFCIP-1) |
| 20 | ISO/IEC 18328 (all parts), Identification cards — ICC-managed devices |
| 21 | ISO/IEC 24727 (all parts), Identification cards — Integrated circuit card programming interfaces |
| 22 | ISO/IEC 29192-4, Information technology — Security techniques — Lightweight cryptography — Part 4: Mechanisms using asymmetric techniques |
| 23 | IETF RFC 1738, Uniform Resource Locators (URL) |
| 24 | IETF RFC 2396, Uniform Resource Locators (URL): Generic Syntax |