ES with archive validation data 検証における基準時刻

ES with archive validation data の生成プロセスと検証プロセスの関係を図に示す。図の時 間軸の上部に生成プロセスの過程を、時間軸の下部に検証プロセスの過程を示している。 ES with archive validation data 検証における検証基準時刻の考え方と有効性を判断すべき項目 を表 9 に示す。

アーカイブタイムスタン プ(1)の付与

署名 署名タイムスタンプ アーカイブタイムスタン プ(2)の付与

署名者証明書

証明書チェーン、失効情報の 取得 署名TS TSA証明書

証明書チェーン、失効情報の取得

アーカイブTS(1) TSA証明書 証明書チェーン、失効情報の 取得

署名 署名 タイムスタンプ

【時刻Ts】

アーカイブ タイムスタンプ(2)

【時刻Ta(2)】 TSA検証情報0

署名TS TSA証明書0 証明書チェーン 失効情報

TSA検証情報1 アーカイブTS(1) TSA証明書1 証明書チェーン 失効情報

署名データ 生成プロセス

署名データ (ES-A)

証明書の検証

Ts Ta(1) Ta(2)

現時刻現時刻 現時刻現時刻 Tv

Ta(2)でTSA証明書1が 有効であることを確認 TSA検証情報1がTa(2)時点 での TSA証明書検証に適したものか？

署名者検証情報0 署名者証明書 証明書チェーン 失効情報

現時刻Tv でTSA証明書2が 有効であることを確認 TvでTSA検証情報2が 最新であることを確認 Ts時点で署名者証明書が

有効であることを確認 署名者検証情報０が Ts時点での署名者証明書 検証に適したものか？

Ta(1)時点でTSA証明書0が 有効であることを確認 TSA検証情報0がTa(1)時点での TSA証明書検証に適したものか？

時間

TSA検証情報₂ アーカイブTS(2)

TSA証明書2 証明書チェーン、

失効情報の取得 署名

署名 タイムスタンプ

【時刻Ts】

アーカイブ タイムスタンプ(1)

【時刻Ta(1)】

アーカイ ブ タイムスタンプ(2)

【時刻Ta(2)】 署名データ

(ES-A) TSA検証情報0

署名TS TSA証明書0 証明書チェーン 失効情報

署名者検証情報0 署名者証明書 証明書チェーン 失効情報

TSA検証情報1 アーカイブTS(1) TSA証明書1 証明書チェーン 失効情報

アーカイブ タイムスタンプ(1)

【時刻Ta(1)】

図 16 ES with archive validation data 生成と検証の関係

表 9 ES with archive validation data 検証における検証基準時刻の考え方

検証対象の分類 検証対象の項目 検証基準時刻の考え方

最 新の アー カイブ タ イム スタ ンプの タ イム スタ ンプト ークン

タ イ ム ス タ ン プ 対 象

（MessageImprint）に使用され ているハッシュアルゴリズム

検 証 を 行 う時 刻 を 検証 基 準 時刻 と し て 以下 の 確 認を行う。

・ 検 証 基 準時 刻 に おい て 安 全で あ る と 考え ら れ るアルゴリズムを使用していること

署 名 生 成 に 使 用 さ れ て い る ハ ッ シュアルゴリズム、署名アルゴリ ズム、鍵長

検 証 を 行 う時 刻 を 検証 基 準 時刻 と し て 以下 の 確 認を行う。

・ 検 証 基 準時 刻 に おい て 安 全で あ る と 考え ら れ るアルゴリズムや鍵長を使用していること 最 新の アー カイブ

タ イム スタ ンプを 生 成し たタ イムス タンプ局の証明書

認証パス上の証明書 検 証 を 行 う時 刻 を 検証 基 準 時刻 と し て 以下 の 確 認を行う。

・ 証 明 書 の有 効 期 間内 に 検 証基 準 時 刻 があ る こ と

・ 証 明 書 が検 証 基 準時 刻 に おい て 失 効 され て い ないこと

認 証 パ ス 上 の 証 明 書 に 関 す る 失 効情報

検 証 を 行 う時 刻 を 検証 基 準 時刻 と し て 以下 の 確 認を行う。

・ 失 効 情 報発 行 者 の証 明 書 の有 効 期 間 内に 検 証 基準時刻があること

・ 失 効 情 報発 行 者 の証 明 書 が検 証 基 準 時刻 に お いて失効されていないこと

・ 失 効 情 報の 発 行 日時 が 検 証基 準 時 刻 と比 較 し て許容できるものであること（失効情報の鮮度、

猶予期間など）

認 証 パ ス 上 の 証 明 書 や 失 効 情 報 に 使 用 さ れ て い る ハ ッ シ ュ ア ル ゴリズム、署名アルゴリズム、鍵 長

検 証 を 行 う時 刻 を 検証 基 準 時刻 と し て 以下 の 確 認を行う。

・ 検 証 基 準時 刻 に おい て 安 全で あ る と 考え ら れ るアルゴリズムや鍵長を使用していること 過 去の アー カイブ

タ イム スタ ンプの タ イム スタ ンプト ークン

タ イ ム ス タ ン プ 対 象

（MessageImprint）に使用され ているハッシュアルゴリズム

こ の ア ー カ イ ブ タ イ ム ス タ ン プ を MessageImprint の 対 象 に 含 ん で い る 最 も 古 い タ イ ム ス タン プ の 時刻 を 検 証基 準 時 刻 とし て 以 下の確認を行う。

・ 検 証 基 準時 刻 に おい て 安 全で あ る と 考え ら れ るアルゴリズムを使用していること

署 名 生 成 に 使 用 さ れ て い る ハ ッ シュアルゴリズム、署名アルゴリ ズム、鍵長

こ の ア ー カ イ ブ タ イ ム ス タ ン プ を MessageImprint の 対 象 に 含 ん で い る 最 も 古 い タ イ ム ス タン プ の 時刻 を 検 証基 準 時 刻 とし て 以 下の確認を行う。

・ 検 証 基 準時 刻 に おい て 安 全で あ る と 考え ら れ るアルゴリズムや鍵長を使用していること 過 去の アー カイブ 認証パス上の証明書 こ の ア ー カ イ ブ タ イ ム ス タ ン プ を

タ イム スタ ンプを 生 成し たタ イムス タンプ局の証明書

MessageImprint の 対 象 に 含 ん で い る 最 も 古 い タ イ ム ス タン プ の 時刻 を 検 証基 準 時 刻 とし て 以 下の確認を行う。

・ 証 明 書 の有 効 期 間内 に 検 証基 準 時 刻 があ る こ と

・ 証 明 書 が検 証 基 準時 刻 に おい て 失 効 され て い ないこと

認 証 パ ス 上 の 証 明 書 に 関 す る 失 効情報

こ の ア ー カ イ ブ タ イ ム ス タ ン プ を MessageImprint の 対 象 に 含 ん で い る 最 も 古 い タ イ ム ス タン プ の 時刻 を 検 証基 準 時 刻 とし て 以 下の確認を行う。

・ 失 効 情 報発 行 者 の証 明 書 の有 効 期 間 内に 検 証 基準時刻があること

・ 失 効 情 報発 行 者 の証 明 書 が検 証 基 準 時刻 に お いて失効されていないこと

・ 失 効 情 報の 発 行 日時 が 検 証基 準 時 刻 と比 較 し て許容できるものであること（失効情報の鮮度、

猶予期間など）

認 証 パ ス 上 の 証 明 書 や 失 効 情 報 に 使 用 さ れ て い る ハ ッ シ ュ ア ル ゴリズム、署名アルゴリズム、鍵 長

こ の ア ー カ イ ブ タ イ ム ス タ ン プ を MessageImprint の 対 象 に 含 ん で い る 最 も 古 い タ イ ム ス タン プ の 時刻 を 検 証基 準 時 刻 とし て 以 下の確認を行う。

・ 検 証 基 準時 刻 に おい て 安 全で あ る と 考え ら れ るアルゴリズムや鍵長を使用していること リ ファ レン スタイ

ム スタ ンプ のタイ ム スタ ンプ トーク ン

タ イ ム ス タ ン プ 対 象

（MessageImprint）に使用され ているハッシュアルゴリズム

このタイムスタンプを MessageImprint の対象 に 含 ん で いる 最 も 古い タ イ ムス タ ン プ の時 刻 を 検証基準時刻として以下の確認を行う。

・ 検 証 基 準時 刻 に おい て 安 全で あ る と 考え ら れ るアルゴリズムを使用していること

署 名 生 成 に 使 用 さ れ て い る ハ ッ シュアルゴリズム、署名アルゴリ ズム、鍵長

このタイムスタンプを MessageImprint の対象 に 含 ん で いる 最 も 古い タ イ ムス タ ン プ の時 刻 を 検証基準時刻として以下の確認を行う。

・ 検 証 基 準時 刻 に おい て 安 全で あ る と 考え ら れ るアルゴリズムや鍵長を使用していること リ ファ レン スタイ

ム スタ ンプ を生成

認証パス上の証明書 証明書を MessageImprint の対象に含んでいる 最 も 古 い タイ ム ス タン プ の 時刻 を 検 証 基準 時 刻

し たタ イム スタン プ局の証明書

として以下の確認を行う。

・ 証 明 書 の有 効 期 間内 に 検 証基 準 時 刻 があ る こ と

・ 証 明 書 が検 証 基 準時 刻 に おい て 失 効 され て い ないこと

認 証 パ ス 上 の 証 明 書 に 関 す る 失 効情報

失効情報を MessageImprintの対象に含んでい る 最 も 古 いタ イ ム スタ ン プ の時 刻 を 検 証基 準 時 刻として以下の確認を行う。

・ 失 効 情 報発 行 者 の証 明 書 の有 効 期 間 内に 検 証 基準時刻があること

・ 失 効 情 報発 行 者 の証 明 書 が検 証 基 準 時刻 に お いて失効されていないこと

・ 失 効 情 報の 発 行 日時 が 検 証基 準 時 刻 と比 較 し て許容できるものであること（失効情報の鮮度、

猶予期間など）

認 証 パ ス 上 の 証 明 書 や 失 効 情 報 に 使 用 さ れ て い る ハ ッ シ ュ ア ル ゴリズム、署名アルゴリズム、鍵 長

証明書や失効情報を MessageImprintの対象に 含 ん で い る最 も 古 いタ イ ム スタ ン プ の 時刻 を 検 証基準時刻として以下の確認を行う。

・ 検 証 基 準時 刻 に おい て 安 全で あ る と 考え ら れ るアルゴリズムや鍵長を使用していること 署 名タ イム スタン

プ のタ イム スタン プトークン

タ イ ム ス タ ン プ 対 象

（MessageImprint）に使用され ているハッシュアルゴリズム

署名タイムスタンプを MessageImprint の対象 に 含 ん で いる 最 も 古い タ イ ムス タ ン プ の時 刻 を 検証基準時刻として以下の確認を行う。

・ 検 証 基 準時 刻 に おい て 安 全で あ る と 考え ら れ るアルゴリズムを使用していること

署 名 生 成 に 使 用 さ れ て い る ハ ッ シュアルゴリズム、署名アルゴリ ズム、鍵長

署名タイムスタンプを MessageImprint の対象 に 含 ん で いる 最 も 古い タ イ ムス タ ン プ の時 刻 を 検証基準時刻として以下の確認を行う。

・ 検 証 基 準時 刻 に おい て 安 全で あ る と 考え ら れ るアルゴリズムや鍵長を使用していること 署 名タ イム スタン

プ を生 成し たタイ ム スタ ンプ 局の証 明書

認証パス上の証明書 証明書を MessageImprint の対象に含んでいる 最 も 古 い タイ ム ス タン プ の 時刻 を 検 証 基準 時 刻 として以下の確認を行う。

・ 証 明 書 の有 効 期 間内 に 検 証基 準 時 刻 があ る こ と

・ 証 明 書 が検 証 基 準時 刻 に おい て 失 効 され て い