DSS Signature Gateway Profile

DSS Signature Gateway Profile
Signature Gateway Profile of the OASIS Digital Signature Service
Committee Draft, 13 June 2005
(editorial revision for public review 11 September 2006)
東京エレクトロン デバイス株式会社
CN事業本部 CNマーケティング部
松永 豊
1
Cozy Matsunaga / CN-MKTG 9-Jul-16
DSS Signature Gateway – 概要
 Signature Gatewayプロファイルの内容
– Signing technology – 署名の仕組み – スキャンされた署名、
PKIの署名、対称鍵を使った署名(XMLDSIGを参照)
– Credential logistics – 証明を配布、送付する仕組み
 ユース・ケース
1. 署名者が署名用の証明を使って署名を作成
2. 署名を相手ではなくSignature Gatewayに送付
 受領者が 1)理解できない 2)信頼しない かもしれないので
3. Signature Gatewayが署名を受領者に合った形式に変換
 署名を検証 → 新しい署名を作成
 その他
– <SignRequest>, <SignResponse>はサポートしない
2
Cozy Matsunaga / CN-MKTG 24-Oct-06
DSS Signature Gateway 実装モデル (1)
 2種類の実装モデル (Deployment Model)
– 1. Request-Response実装モデル
 3者のアクターが登場: 署名クライアント、DSSクライアント、DSS
Signature Gatewayサーバ
署名クライアント
1.署名して送付
文書
DSS Signature Gateway VerifyResponse
DSSクライアント
2.リクエストを付加
してサーバへ転送
文書
3. 検証の結果を
返送
DSS Signature Gateway
Profile VerifyRequest
DSS Signature Gatewayサーバ
3
Cozy Matsunaga / CN-MKTG 24-Oct-06
DSS Signature Gateway 実装モデル (2)
– 2. In-Line実装モデル
 セキュリティ境界に位置する機器が、他の機能と一緒にSignature
Gateway機能を兼ねる事がありうる
 機器の例: ファイアウォール、負荷分
散装置(load balancers), プロキシ、
XMLファイアウォール
 データ中に署名を見つけた場合には
Signature Gateway変換を実施し
て、結果を目的地に転送する。
 3者のアクターが登場
signer, in-line proxy, destination
4
Cozy Matsunaga / CN-MKTG 24-Oct-06
DSS Signature Gateway – その他の要素
 Element OptionalInputs
– Optional input < ServicePolicy > (最低1つ)
 必須: 署名タイプ [XMLDSIG] or [RFC3369]
 必須: 署名アルゴリズム
 オプション: Signed Reference, Properties, Revocation,
Signature Coverage, Timestamp, などなど
– OptionalInput <ReturnUpdatedSignature> (MUST)
 Element <VerifyResponse>
– <ResultMajor>、<ResultMinor> (エラーメッセージ)
 Element <OptionalOutputs>
– < UpdatedSignature >
 署名のプロファイル
– XML署名 [XMLDSIG] or [XAdES]、<ds:object> element)
– CMS署名 [RFC3369] - [DSSCore]の<Base64Signature>
Cozy Matsunaga / CN-MKTG 24-Oct-06
5