この規格ページの目次
4
X 5093 : 2008
規格適合性の宣言は,実装者自らが,実装状況及び“要別途規定”要素に関してはその仕様を附属書A
に示す供給者適合宣言書及びその別紙に記載し,これを開示することによって行う。
注記 XAdES-Tデータの生成及び検証,並びにXAdES-Aデータの生成及び検証の位置付けについて
は,図1に示す。
5 長期署名プロファイル
5.1 定義する長期署名プロファイル
電子署名を長期にわたって検証可能にするためには,署名時刻の特定が可能であること,署名対象及び
検証情報を含む署名に関する情報の改ざん検出が可能であること,並びに相互運用性が確保されているこ
とが必要である。この規格では,XAdESに関して,次の二つのプロファイルを定義することによって,こ
れらの要求を満たす。
a) IS X 5093:2008 XAdES-Tプロファイル XAdES-Tデータの生成及び検証に関するプロファイル。
b) IS X 5093:2008 XAdES-Aプロファイル XAdES-Aデータの生成及び検証に関するプロファイル。
ここで,XAdES-TデータとXAdES-Aデータとの関係を図1に示す。
注記 XAdESのデータ構造及び構成要素の概略を附属書Bに示す。
XAdES-T XAdES-T XAdES-T
データ
データの生成 データ データの検証
(流通・保管)
XAdES-A XAdES-A XAdES-A
データの生成 データ データの検証
(保存)
2回目以降のアーカイブタイムスタンプ
図1−XAdES-TデータとXAdES-Aデータとの関係
5.2 要求レベルの表現法
この規格では,XAdES-Tデータ及びXAdES-Aデータを構成する各要素に対する,プロファイルとして
の要求レベルとして,次の表現法を定義する。
a) 必す この要求レベルをもつ要素は必ず実装しなければならない。この要求レベルの要素が,選択肢
となる下位要素をもつ場合は,少なくともその下位要素の一つを選択しなければならない。また,こ
の要求レベルの要素が,任意選択要素の下位要素の一つである場合は,その任意選択要素を選択する
ときはこの必す要素も選択しなければならない。
b) 任意選択 この要求レベルをもつ要素の実装は,任意とする。
c) 要別途規定 この要求レベルをもつ要素の実装は任意とするが,その処理に関して,別途に詳細な仕
様を規定しなければならない。
なお,5.5及び5.6における各要素の要素名と,ETSI TS 101 903における要素名(XML表記名)との対
応関係を,附属書Cに記載する。
5.3 要求レベルの設定基準
XAdES-T又はXAdES-Aデータを構成する各要素に対する要求レベルの設定は,次の基準に基づく。
――――― [JIS X 5093 pdf 6] ―――――
5
X 5093 : 2008
a) TSI TS 101 903の定義で“必す”となっている要素,並びに長期署名の生成及び検証に最低限必要な
要素は“必す”とする。
b) 外部定義要素は,“要別途規定”とする。
例1 その他形式の証明書
c) 特定アプリケーションとの連携を前提とした要素は,“要別途規定”とする。
例2 データオブジェクト形式
d) 運用に依存する要因が残っている要素は,“要別途規定”とする。
例3 属性証明書系要素,タイムマークなど
注記 ISO/IEC 18014-2,Information technology−Security techniques−Time-stamping services−Part 2:
Mechanisms producing independent tokensで定義されたアーカイビング方式のタイムスタンプ
は,“タイムマークなど,その他の方式”に属する。
e) 単なる参考情報を運ぶ要素は,“任意選択”とする。
例4 署名時刻
5.4 任意選択要素が未実装の場合の措置
検証処理において,XAdESデータのなかに未実装の任意選択要素が含まれていたときの措置は,次のと
おりとする。
a) 上位要素の要求レベルが必すであって,下位要素の任意選択要素の内,一つ以上を選択しなければな
らない場合か,又は関連する任意選択要素の内,必ず一つ以上を選択しなければならない場合は,未
実装のため検証ができないことを検証者に警告しなければならない。
例 失効情報群の中の任意選択要素の内,証明書失効リスト(CRL)による失効情報群要素に対す
る処理だけを実装している場合に,検証処理において,オンライン証明書状態プロトコル
(OCSP)による失効情報群要素を検出したときなど。
b) 未実装の要素がカウンタ署名の場合は,未実装のため検証ができないことを検証者に警告しなければ
ならない。
c) 前記以外の任意選択要素については,その要素を実装が無視してもよい。
5.5 XAdES-Tプロファイル
XAdES-Tデータの構成要素に対する要求レベルを,5.5.1及び5.5.2に規定する。
5.5.1 署名要素
XML署名で定義された署名要素を構成する各要素の要求レベルは,表1のとおりとする。この表に定義
されていない要素の要求レベルは“要別途規定”とする。
――――― [JIS X 5093 pdf 7] ―――――
6
X 5093 : 2008
表1−署名要素
要素又は属性 要求レベル
ID 必すa)
署名に関する情報 必す
− 正規化方式 必す
− 署名方式 必す
− コンテントへの参照情報 必す
− 変換処理 任意選択
− ダイジェスト方式 必す
− ダイジェスト値 必す
署名値 必す
かぎ情報 任意選択b)
オブジェクト 必す
注記 イタリック体は,属性を示す。
注a) ML署名では“任意選択”であるが,ETSI TS 101 903では“必す”である。
b) かぎ情報か,又は署名者証明書の参照情報(表3)のいずれか一方が必要である。かぎ
情報を選択する場合(ETSI TS 101 903 v1.1.1の場合は必す)は,その下位要素にXML
署名で定義されたX.509データ要素を含まなければならない。
5.5.2 オブジェクト要素,署名対象プロパティ要素及び非署名対象プロパティ要素
XAdESで定義されたオブジェクト要素,署名対象プロパティ要素及び非署名対象プロパティ要素を構成
する各要素の要求レベルは,表2,表3及び表4のとおりとする。表3及び表4に記載されていない署名
対象プロパティ要素及び非署名対象プロパティ要素の要求レベルは,“要別途規定”とする。
注記 表3及び表4に記載されていない非署名対象プロパティ要素の例として,表5に記載されてい
る全証明書参照情報群及び全失効参照情報群がある。これらの要素に対する処理を別途規定す
ることによって,全証明書参照情報群及び全失効参照情報群を付加したXAdES-Tデータは
XAdES-Tプロファイルに適合する。
表2−オブジェクト要素
要素 要求レベル 条件
対象属性に,署名要素の
署名を修飾するプロパティ 必す
ID属性の値を入れる
− 署名対象プロパティ 必す −
− 非署名対象プロパティ 任意選択 −
要別途規定
署名を修飾するプロパティを特定する参照情報 −
――――― [JIS X 5093 pdf 8] ―――――
7
X 5093 : 2008
表3−署名対象プロパティ要素
要素 要求レベル
署名対象の署名プロパティ 必す
− 署名時刻 任意選択a)
− 署名者証明書の参照情報 任意選択a) )
− 署名ポリシ識別子 要別途規定
− 署名生成場所 要別途規定
− 署名者の肩書き 要別途規定
署名対象データオブジェクトのプロパティ 要別途規定
− データオブジェクト形式 要別途規定
− コミットメント種別表示 要別途規定
− 全データオブジェクトに対するタイムスタンプ 要別途規定
− 個別データオブジェクトに対するタイムスタンプ 要別途規定
注a) TSI TS 101 903 v1.1.1の場合は,必すである。
b) 署名者証明書の参照情報か,又はかぎ情報(表1)のいずれか一方が必要である。
表4−非署名対象プロパティ要素
要素 要求レベル
非署名対象の署名プロパティ 必す
− カウンタ署名 任意選択
− (署名時刻を確定する情報) 必す
− 署名タイムスタンプ 任意選択
− タイムマークなど,その他の方式 要別途規定
非署名のデータオブジェクトのプロパティ 要別途規定
5.6 XAdES-Aプロファイル
5.6.1 XAdES-Aプロファイルの構成
XAdES-Aプロファイルは,XAdES-Tプロファイルの拡張として定義され,表5に記載する非署名対象
の署名プロパティ要素が追加される。XAdES-Tに相当する部分の各要素の要求レベルは,5.5の規定に準
じる。
5.6.2 追加される非署名対象の署名プロパティ要素
非署名対象の署名プロパティ要素に追加される各要素の要求レベルは,表5のとおりとする。表5に定
義されていない要素の要求レベルは,“要別途規定”とする。
――――― [JIS X 5093 pdf 9] ―――――
8
X 5093 : 2008
表5−追加される非署名対象の署名プロパティ要素
要素又は処理方式 要求レベル
全証明書参照情報群 任意選択a)
全失効情報参照情報群 任意選択a)
− CRL形式の失効情報参照情報 任意選択
− OCSP形式の失効情報参照情報 任意選択
− 他の失効情報参照情報 要別途規定
属性証明書参照情報群 要別途規定
属性失効情報参照情報群 要別途規定
署名及び参照情報に対するタイムスタンプ 要別途規定b)
− 非分離型 必す
− 分離型 要別途規定
参照情報に対するタイムスタンプ 要別途規定b)
− 非分離型 必す
− 分離型 要別途規定
証明書群 必す
− カプセル構造化された証明書 任意選択
− 他の証明書 要別途規定
− CAなどによる証明書の保管 要別途規定
失効情報群 必す
− CRLによる失効情報群 任意選択
− OCSPによる失効情報群 任意選択
− 他の失効情報群 要別途規定
− CAなどによる失効情報の保管 要別途規定
属性証明書群 要別途規定
属性失効情報群 要別途規定
(改ざん検知を可能とする情報) 必す
− アーカイブタイムスタンプ 任意選択
− 非分離型 必す
− 分離型 要別途規定
− タイムマークなど,その他の方式 要別途規定
異なる版の非署名対象の署名プロパティ 要別途規定
注記1 イタリック体は,処理方式を示す。
注記2 ETSI TS 101 903 v1.1.1及び1.2.2は,属性証明書群,属性失効情報群,非分離型及び
分離型が未定義であり,v1.1.1は,更に属性証明書参照情報群及び属性失効情報参照
情報群が未定義である。
注a) TSI TS 101 903 v1.1.1の場合は,必すである。
b) 推奨しない。選択する場合は,署名及び参照情報に対するタイムスタンプか参照情報
に対するタイムスタンプのいずれか一方だけ可能である。ETSI TS 101 903 v1.1.1の場
合は,いずれか一方が必要である。
5.7 タイムスタンプのTSA証明書検証情報
過去のタイムスタンプを検証するときには,信頼点までの証明書及び失効情報が必要となる。タイムス
タンプの検証情報は,タイムスタンピング機関(TSA)の証明書から信頼点の証明書までの証明書チェー
ン上の証明書,及びそれぞれの失効情報が必要となる。
検証情報は,次に示す方法によってXAdES-Aデータ内に格納することができる。XAdES-Aデータ内に
――――― [JIS X 5093 pdf 10] ―――――
次のページ PDF 11
JIS X 5093:2008の国際規格 ICS 分類一覧
- 35 : 情報技術.事務機械 > 35.240 : 情報技術(IT)の応用 > 35.240.30 : 情報,ドキュメンテーション及び出版業務におけるITの応用
JIS X 5093:2008の関連規格と引用規格一覧
- 規格番号
- 規格名称
- JISX0001:1994
- 情報処理用語―基本用語
- JISX0008:2001
- 情報処理用語―セキュリティ