>サイトトップへ >このカテゴリの一覧へ

X 5093:2008

(1) 

目  次

ページ

序文

1

1  適用範囲

1

2  引用規格

1

3  用語及び定義

1

4  規格適合性

3

5  長期署名プロファイル

4

5.1  定義する長期署名プロファイル

4

5.2  要求レベルの表現法

4

5.3  要求レベルの設定基準

4

5.4  任意選択要素が未実装の場合の措置

5

5.5  XAdES-T プロファイル

5

5.6  XAdES-A プロファイル

7

5.7  タイムスタンプの TSA 証明書検証情報

8

附属書 A(規定)供給者適合宣言書及び供給者適合宣言書の別紙

10

附属書 B(参考)XAdES のデータ構造及び構成要素

15

附属書 C(参考)要素名及び属性名と XML 表記との対応表

20

附属書 D(規定)タイムスタンプトークンの構造

22

 


 
X 5093:2008

(2) 

まえがき

この規格は,工業標準化法第 12 条第 1 項の規定に基づき,次世代電子商取引推進協議会(ECOM)から,

工業標準原案を具して日本工業規格を制定すべきとの申出があり,日本工業標準調査会の審議を経て,経

済産業大臣が制定した日本工業規格である。

この規格は,著作権法で保護対象となっている著作物である。

この規格の一部が,特許権,出願公開後の特許出願,実用新案権又は出願公開後の実用新案登録出願に

抵触する可能性があることに注意を喚起する。経済産業大臣及び日本工業標準調査会は,このような特許

権,出願公開後の特許出願,実用新案権又は出願公開後の実用新案登録出願に係る確認について,責任は

もたない。


 

   

日本工業規格

JIS

 X

5093

:2008

XML 署名利用電子署名(XAdES)の

長期署名プロファイル

Long term signature profiles

for XML advanced electronic signatures (XAdES)

序文

この規格は,電子署名を長期にわたって検証可能にする長期署名に関して,実装間の相互運用性を確保

することを目的とする。実装が参照する長期署名の仕様は,欧州通信規格協会(ETSI)によって策定され

た XML 署名利用電子署名(XAdES)が対象である。

1

適用範囲

この規格は,長期署名プロファイルのうち,XML 署名利用電子署名(XAdES)に関するプロファイル

について規定する。

2

引用規格

次に掲げる規格は,この規格に引用されることによって,この規格の規定の一部を構成する。これらの

引用規格は,その最新版(追補を含む。

)を適用する。

JIS X 0001  情報処理用語−基本用語

JIS X 0008  情報処理用語−セキュリティ 
ETSI TS 101 903  XML Advanced Electronic Signatures (XAdES)  v1.1.1, v1.2.2 及び v.1.3.2

注記 http://pda.etsi.org/pda/queryform.asp から入手可能。

3

用語及び定義

この規格で用いる主な用語及び定義は,JIS X 0001 及び JIS X 0008 によるほか,次による。

3.1

長期署名(long term signature

署名時刻の特定を可能とし,かつ,署名対象及び検証情報を含む署名に関する情報の改ざん(竄)検知

を可能とする措置を実施し,署名を長期にわたって検証可能にした署名。

3.2

プロファイル(profile

参照する仕様の選択要素,値の範囲などに関する相互運用性を満たすための規約。

3.3

要求レベル(required level

プロファイルを構成する各要素の実装に対する要求の程度。



X 5093:2008

   

3.4

XML 署名(XML signature

任意のメッセージ内容が真正で改ざんされていないことを証明する XML 形式のデータ。

注記 1  XML-Signature Syntax and Processing, W3C Recommendation 12 February 2002 で定義されてい

る。

注記 2 http://www.w3.org/TR/xmldsig-core/

から入手可能。

3.5

XML 署名利用電子署名,XAdESXML advanced electronic signatures

ETSI TS 101 903 で定義された,署名者の識別及びデータの改ざん検知が可能な,XML 署名に基づく電

子署名の総称。

3.6

XAdES-TXAdES with time

ETSI TS 101 903 で定義された,署名時刻を確定する情報(例えば,署名タイムスタンプ)をもつ,XML

署名に基づく電子署名。

3.7

XAdES-Aarchival XAdES

ETSI TS 101 903 で定義された,署名対象及び検証情報を含む署名に関する情報の改ざん検知を可能とす

る情報(例えば,アーカイブタイムスタンプ)をもつ,XML 署名に基づく電子署名。

3.8

署名要素(signature element

XML 署名を構成する要素の中の最上位の要素。一つの署名対象に対して複数の署名要素をもつことが

できる。

3.9

検証情報(validation data

署名及びタイムスタンプの検証に用いる証明書及び失効情報。

3.10

タイムスタンピング機関,TSAtime-stamping authority

あるデータが,時間軸上のある点より前に存在していた証拠を提供することを信託された,信頼できる

第三者機関。

3.11

タイムスタンプトークン,TSTtime-stamp token

データの表現が,ある時刻に存在したことを証明するデータ。

3.12

署名タイムスタンプ(signature timestamp

署名が存在した時刻を特定可能にするために,署名値(signature value)に付されるタイムスタンプ。

3.13

アーカイブタイムスタンプ(archive timestamp

改ざんを検知可能にするために,署名対象及び検証情報を含む署名に関する情報に付されるタイムスタ

ンプ。


3

X 5093:2008

3.14

信頼点(trust anchor

電子署名の検証を行うときの,検証者によって信頼された信用の起点。公開かぎ(鍵)証明書又は公開

かぎの形式で提供され,一般的には,信頼する最上位の証明機関の公開かぎ証明書である。

3.15

信頼できる第三者機関,TTPtrusted third party

セキュリティ関連の活動に関して,他のエンティティから信頼されるセキュリティ機関又はその代理者。

3.16

証明機関,CAcertificate authority

公開かぎ証明書の作成及び割当てを信託されたセンタ。任意選択として,証明機関は,エンティティに

対してかぎを作成し,割当てることもできる。

3.17

証明書(certificate

あるエンティティの非対称かぎの一対のうち,公開されるかぎの情報で,証明機関によって署名され,

それによって偽造できないようにしたもの。

3.18

属性証明書(attribute certificate

職責,資格,地位などの属性及び属性値を記載した証明書。

3.19

失効情報(revocation information

有効期間内に失効した証明書に関して証明機関が発行する情報。この情報と照合することによって,証

明書が現在も有効であるか否かを検証できる。

3.20

拡張セキュリティサービス,ESSenhanced security service

署名者証明書を特定する情報,署名の種類を表す情報など署名に対する任意の拡張サービス。

4

規格適合性

規格適合性は,次による。

a) XAdES-T データの生成の実装又は検証の実装は,次の 2 条件を共に満たすとき,この規格に適合する

ものとする。

1)  この規格が規定する XAdES-T プロファイルで,要求レベルが“必す(須)”となっている要素の処

理をすべて備える。

2)  この規格が規定する XAdES-T プロファイルで,要求レベルが“要別途規定”となっている要素の

処理を備えている場合は,その処理に関する詳細な仕様が規定されている。

b) XAdES-A データの生成の実装又は検証の実装は,次の 2 条件を共に満たすとき,この規格に適合する

ものとする。

1)  この規格が規定する XAdES-A プロファイルで,要求レベルが“必す”となっている要素の処理を

すべて備える。

2)  この規格が規定する XAdES-A プロファイルで,要求レベルが“要別途規定”となっている要素の

処理を備えている場合は,その処理に関する詳細な仕様が規定されている。



X 5093:2008

   

規格適合性の宣言は,実装者自らが,実装状況及び“要別途規定”要素に関してはその仕様を

附属書 A

に示す供給者適合宣言書及びその別紙に記載し,これを開示することによって行う。

注記 XAdES-T データの生成及び検証,並びに XAdES-A データの生成及び検証の位置付けについて

は,

図 に示す。

5

長期署名プロファイル

5.1

定義する長期署名プロファイル

電子署名を長期にわたって検証可能にするためには,署名時刻の特定が可能であること,署名対象及び

検証情報を含む署名に関する情報の改ざん検出が可能であること,並びに相互運用性が確保されているこ

とが必要である。この規格では,XAdES に関して,次の二つのプロファイルを定義することによって,こ

れらの要求を満たす。

a)  JIS X 5093:2008 XAdES-T プロファイル  XAdES-T データの生成及び検証に関するプロファイル。 
b)  JIS X 5093:2008 XAdES-A プロファイル  XAdES-A データの生成及び検証に関するプロファイル。

ここで,XAdES-T データと XAdES-A データとの関係を

図 に示す。

注記 XAdES のデータ構造及び構成要素の概略を附属書 に示す。

図 1XAdES-T データと XAdES-A データとの関係

5.2

要求レベルの表現法

この規格では,XAdES-T データ及び XAdES-A データを構成する各要素に対する,プロファイルとして

の要求レベルとして,次の表現法を定義する。

a)  必す  この要求レベルをもつ要素は必ず実装しなければならない。この要求レベルの要素が,選択肢

となる下位要素をもつ場合は,少なくともその下位要素の一つを選択しなければならない。また,こ

の要求レベルの要素が,任意選択要素の下位要素の一つである場合は,その任意選択要素を選択する

ときはこの必す要素も選択しなければならない。

b)  任意選択  この要求レベルをもつ要素の実装は,任意とする。 
c)  要別途規定  この要求レベルをもつ要素の実装は任意とするが,その処理に関して,別途に詳細な仕

様を規定しなければならない。

なお,5.5 及び 5.6 における各要素の要素名と,ETSI TS 101 903 における要素名(XML 表記名)との対

応関係を,

附属書 に記載する。

5.3

要求レベルの設定基準

XAdES-T 又は XAdES-A データを構成する各要素に対する要求レベルの設定は,次の基準に基づく。

XAdES-A 
データの生成

XAdES-T 
データの生成

XAdES-T 
データの検証

XAdES-A 
データの検証

XAdES-T 
データ

データ

2 回目以降のアーカイブタイムスタンプ

(流通・保管)

(保存)

XAdES-A 
データ


5

X 5093:2008

a)  ETSI TS 101 903 の定義で“必す”となっている要素,並びに長期署名の生成及び検証に最低限必要な

要素は“必す”とする。

b)  外部定義要素は,“要別途規定”とする。

例 1  その他形式の証明書

c)  特定アプリケーションとの連携を前提とした要素は,“要別途規定”とする。

例 2  データオブジェクト形式

d)  運用に依存する要因が残っている要素は,“要別途規定”とする。

例 3  属性証明書系要素,タイムマークなど

注記  ISO/IEC 18014-2,Information technology−Security techniques−Time-stamping services−Part 2:

Mechanisms producing independent tokens で定義されたアーカイビング方式のタイムスタンプ

は,

“タイムマークなど,その他の方式”に属する。

e)  単なる参考情報を運ぶ要素は,“任意選択”とする。

例 4  署名時刻

5.4

任意選択要素が未実装の場合の措置

検証処理において,XAdES データのなかに未実装の任意選択要素が含まれていたときの措置は,次のと

おりとする。

a)  上位要素の要求レベルが必すであって,下位要素の任意選択要素の内,一つ以上を選択しなければな

らない場合か,又は関連する任意選択要素の内,必ず一つ以上を選択しなければならない場合は,未

実装のため検証ができないことを検証者に警告しなければならない。

例  失効情報群の中の任意選択要素の内,証明書失効リスト(CRL)による失効情報群要素に対す

る処理だけを実装している場合に,検証処理において,オンライン証明書状態プロトコル

(OCSP)による失効情報群要素を検出したときなど。

b)  未実装の要素がカウンタ署名の場合は,未実装のため検証ができないことを検証者に警告しなければ

ならない。

c)  前記以外の任意選択要素については,その要素を実装が無視してもよい。

5.5

XAdES-T プロファイル

XAdES-T データの構成要素に対する要求レベルを,5.5.1 及び 5.5.2 に規定する。

5.5.1

署名要素

XML 署名で定義された署名要素を構成する各要素の要求レベルは,表 のとおりとする。この表に定義

されていない要素の要求レベルは“要別途規定”とする。



X 5093:2008

   

表 1−署名要素

要素又は属性

要求レベル

ID  

必す

a)

署名に関する情報

必す

−  正規化方式

必す

−  署名方式

必す

−  コンテントへの参照情報

必す

−  変換処理

任意選択

−  ダイジェスト方式

必す

−  ダイジェスト値

必す

署名値

必す

かぎ情報

任意選択

b)

オブジェクト

必す

注記  イタリック体は,属性を示す。 

a)

 XML 署名では“任意選択”であるが,ETSI TS 101 903 では“必す”である。

b)

  かぎ情報か,又は署名者証明書の参照情報(表 3)のいずれか一方が必要である。かぎ

情報を選択する場合(ETSI TS 101 903 v1.1.1 の場合は必す)は,その下位要素に XML

署名で定義された X.509 データ要素を含まなければならない。

5.5.2

オブジェクト要素,署名対象プロパティ要素及び非署名対象プロパティ要素

XAdES で定義されたオブジェクト要素,署名対象プロパティ要素及び非署名対象プロパティ要素を構成

する各要素の要求レベルは,

表 2,表 及び表 のとおりとする。表 及び表 に記載されていない署名

対象プロパティ要素及び非署名対象プロパティ要素の要求レベルは,

“要別途規定”とする。

注記  表 及び表 に記載されていない非署名対象プロパティ要素の例として,表 に記載されてい

る全証明書参照情報群及び全失効参照情報群がある。これらの要素に対する処理を別途規定す

ることによって,全証明書参照情報群及び全失効参照情報群を付加した XAdES-T データは

XAdES-T プロファイルに適合する。

表 2−オブジェクト要素

要素

要求レベル

条件

署名を修飾するプロパティ

必す

対象属性に,署名要素の
ID 属性の値を入れる

−  署名対象プロパティ

必す

−  非署名対象プロパティ

任意選択

署名を修飾するプロパティを特定する参照情報

要別途規定

 


7

X 5093:2008

表 3−署名対象プロパティ要素

要素

要求レベル

署名対象の署名プロパティ

必す

−  署名時刻

任意選択

a)

−  署名者証明書の参照情報

任意選択

a) b)

−  署名ポリシ識別子

要別途規定

−  署名生成場所

要別途規定

−  署名者の肩書き

要別途規定

署名対象データオブジェクトのプロパティ

要別途規定

−  データオブジェクト形式

要別途規定

−  コミットメント種別表示

要別途規定

−  全データオブジェクトに対するタイムスタンプ

要別途規定

−  個別データオブジェクトに対するタイムスタンプ

要別途規定

a)

  ETSI TS 101 903 v1.1.1 の場合は,必すである。

b)

  署名者証明書の参照情報か,又はかぎ情報(表 1)のいずれか一方が必要である。

表 4−非署名対象プロパティ要素

要素

要求レベル

非署名対象の署名プロパティ

必す

−  カウンタ署名

任意選択

−  (署名時刻を確定する情報)

必す

−  署名タイムスタンプ

任意選択

−  タイムマークなど,その他の方式

要別途規定

非署名のデータオブジェクトのプロパティ

要別途規定

5.6

XAdES-A プロファイル

5.6.1

XAdES-A プロファイルの構成

XAdES-A プロファイルは,XAdES-T プロファイルの拡張として定義され,表 に記載する非署名対象

の署名プロパティ要素が追加される。XAdES-T に相当する部分の各要素の要求レベルは,5.5 の規定に準

じる。

5.6.2

追加される非署名対象の署名プロパティ要素

非署名対象の署名プロパティ要素に追加される各要素の要求レベルは,

表 のとおりとする。表 に定

義されていない要素の要求レベルは,

“要別途規定”とする。



X 5093:2008

   

表 5−追加される非署名対象の署名プロパティ要素

要素又は処理方式

要求レベル

全証明書参照情報群

任意選択

a)

全失効情報参照情報群

任意選択

a)

− CRL 形式の失効情報参照情報

任意選択

− OCSP 形式の失効情報参照情報

任意選択

−  他の失効情報参照情報

要別途規定

属性証明書参照情報群

要別途規定

属性失効情報参照情報群

要別途規定

署名及び参照情報に対するタイムスタンプ

要別途規定

b)

非分離型

必す

分離型

要別途規定

参照情報に対するタイムスタンプ

要別途規定

b)

非分離型

必す

分離型

要別途規定

証明書群

必す

−  カプセル構造化された証明書

任意選択

−  他の証明書

要別途規定

− CA などによる証明書の保管

要別途規定

失効情報群

必す

− CRL による失効情報群

任意選択

− OCSP による失効情報群

任意選択

−  他の失効情報群

要別途規定

− CA などによる失効情報の保管

要別途規定

属性証明書群

要別途規定

属性失効情報群

要別途規定

(改ざん検知を可能とする情報)

必す

−  アーカイブタイムスタンプ

任意選択

非分離型

必す

分離型

要別途規定

−  タイムマークなど,その他の方式

要別途規定

異なる版の非署名対象の署名プロパティ

要別途規定

注記 1  イタリック体は,処理方式を示す。 
注記 2  ETSI TS 101 903 v1.1.1 及び 1.2.2 は,属性証明書群,属性失効情報群,非分離型及び

分離型が未定義であり,v1.1.1 は,更に属性証明書参照情報群及び属性失効情報参照
情報群が未定義である。

a)

  ETSI TS 101 903 v1.1.1 の場合は,必すである。

b)

  推奨しない。選択する場合は,署名及び参照情報に対するタイムスタンプか参照情報

に対するタイムスタンプのいずれか一方だけ可能である。ETSI TS 101 903 v1.1.1 の場
合は,いずれか一方が必要である。

5.7

タイムスタンプの TSA 証明書検証情報

過去のタイムスタンプを検証するときには,信頼点までの証明書及び失効情報が必要となる。タイムス

タンプの検証情報は,タイムスタンピング機関(TSA)の証明書から信頼点の証明書までの証明書チェー

ン上の証明書,及びそれぞれの失効情報が必要となる。

検証情報は,次に示す方法によって XAdES-A データ内に格納することができる。XAdES-A データ内に


9

X 5093:2008

格納しない場合は,他の安全な手段によって保存されている必要がある。他の安全な手段の例としては,

信頼できる第三者機関(TTP)である証明機関(CA)

,又は TSA が保存しておく方法がある。

また,過去のタイムスタンプを検証するときは,次に示す方法によって格納された検証情報を利用して

もよいし,他の安全な手段によって保存された検証情報を利用してもよい。

a)  署名タイムスタンプの TSA 証明書検証情報  生成時,次のいずれかの場所に格納するか,又は CA な

どで保存する。

1)  非署名属性内の,次の要素。

−  証明書群

−  失効情報群

2)  署名タイムスタンプにおけるタイムスタンプトークン(署名タイムスタンプトークン)内の,次の

要素。

−  証明書群

−  失効情報群

3)  署名タイムスタンプトークンの非署名属性群内の,次の要素。

−  証明書群

−  失効情報群

b)  アーカイブタイムスタンプの TSA 証明書検証情報  生成時,次のいずれかの場所に格納するか,又は

CA などで保存する。

1)  アーカイブタイムスタンプにおけるタイムスタンプトークン(アーカイブタイムスタンプトークン)

内の,次の要素。

−  証明書群

−  失効情報群

2)  アーカイブタイムスタンプトークンの非署名属性群内の,次の要素。

−  証明書群

−  失効情報群

タイムスタンプトークンの構造に関する要求事項を,

附属書 に示す。


10 
X 5093:2008

   

附属書 A

規定)

供給者適合宣言書及び供給者適合宣言書の別紙

序文

この附属書は,XAdES の長期署名プロファイルの実装に関する供給者適合宣言書の様式を規定する。

A.1  供給者適合宣言書の様式

長期署名プロファイル供給者適合宣言書

番号:

発行者の名称:

発行者の住所:

宣言の対象:

上記宣言は,次の長期署名プロファイルに適合している:

JIS X 5093:2008 XAdES-T  及び/又は  JIS X 5093:2008 XAdES-A

実装されている要素は,別紙(A.2 参照)のとおりである。

追加情報:

(ここに,動作確認結果などを記載することができる。

代表者又は代理者の署名:

(発行場所及び発行日)

(氏名,役職)

A.2  供給者適合宣言書の別紙の様式

供給者適合宣言書の別紙には,A.2.1A.2.6 の各項目を含まなければならない。

注記  表 A.1∼表 A.6 の生成欄及び検証欄は,実装されている要素をチェックマーク(✔)で示す。

A.2.1  参照する ETSI TS 101 903 の版番号

 


11

X 5093:2008

A.2.2  プロファイルの実装範囲

表 A.1−実装範囲

生成

検証

JIS X 5093:2008 XAdES-T

JIS X 5093:2008 XAdES-A

A.2.3  XAdES-T プロファイルへの適合

表 A.2−署名要素

要素又は属性

要求レベル

生成

検証

ID 

必す

a)

署名に関する情報

必す

−  正規化方式

必す

−  署名方式

必す

−  コンテントへの参照情報

必す

−  変換処理

任意選択

−  ダイジェスト方式

必す

−  ダイジェスト値

必す

署名値

必す

かぎ情報

任意選択

b)

オブジェクト

必す

注記  イタリック体は,属性を示す。 

a)

 XML 署名では“任意選択”であるが,ETSI TS 101 903 では,“必す”である。

b)

  かぎ情報又は署名者証明書の参照情報(表 A.4)のいずれか一方が必要。かぎ情報を選択する場

合(ETSI TS 101 903 v1.1.1 では必ず選択)は,その下位要素に XML 署名で定義された X.509 デ
ータ要素を含まなければならない。

表 A.3−オブジェクト要素

要素

要求レベル

生成

検証

署名を修飾するプロパティ

必す

−  署名対象プロパティ

必す

−  非署名対象プロパティ

任意選択

署名を修飾するプロパティを特定する参照情報

要別途規定


12 
X 5093:2008

   

表 A.4−署名対象プロパティ要素

要素

要求レベル

生成

検証

署名対象の署名プロパティ

必す

−  署名時刻

任意選択

a)

−  署名者証明書の参照情報

任意選択

a)

b)

−  署名ポリシ識別子

要別途規定

−  署名生成場所

要別途規定

−  署名者の肩書き

要別途規定

署名対象データオブジェクトのプロパティ

要別途規定

−  データオブジェクト形式

要別途規定

−  コミットメント種別表示

要別途規定

−  全データオブジェクトに対するタイムスタンプ

要別途規定

−  個別データオブジェクトに対するタイムスタンプ

要別途規定

a)

  ETSI TS 101 903 v1.1.1 の場合は,必すである。

b)

  署名者証明書の参照情報か,又はかぎ情報(表 A.2)のいずれか一方が必要である。

表 A.5−非署名対象プロパティ要素

要素

要求レベル

生成

検証

非署名対象の署名プロパティ

必す

−  カウンタ署名

任意選択

−  (署名時刻を確定する情報)

必す

−  署名タイムスタンプ

任意選択

−  タイムマークなどその他の方式

要別途規定

非署名のデータオブジェクトのプロパティ

要別途規定

 


13

X 5093:2008

A.2.4  XAdES-A プロファイルへの適合

表 A.6−追加される非署名対象の署名プロパティ要素

要素

要求レベル

生成

検証

全証明書参照情報群

任意選択

a)

全失効情報参照情報群

任意選択

a)

− CRL 形式の失効情報参照情報

任意選択

− OCSP 形式の失効情報参照情報

任意選択

−  他の失効情報参照情報

要別途規定

属性証明書参照情報群

要別途規定

属性失効情報参照情報群

要別途規定

署名及び参照情報に対するタイムスタンプ

要別途規定

b)

非分離型

必す

分離型

要別途規定

参照情報に対するタイムスタンプ

要別途規定

b)

非分離型

必す

分離型

要別途規定

証明書群

必す

−  カプセル構造化された証明書

任意選択

−  他の証明書

要別途規定

− CA などによる証明書の保管

要別途規定

失効情報群

必す

− CRL による失効情報群

任意選択

− OCSP による失効情報群

任意選択

−  他の失効情報群

要別途規定

− CA などによる失効情報の保管

要別途規定

属性証明書群

要別途規定

属性失効情報群

要別途規定

(改ざん検知を可能とする情報)

必す

−  アーカイブタイムスタンプ

任意選択

非分離型

必す

分離型

要別途規定

−  タイムマークなどその他の方式

要別途規定

異なる版の非署名対象の署名プロパティ要素

要別途規定

注記 1  イタリック体は,処理方式を示す。 
注記 2  ETSI TS 101 903 v1.1.1 及び 1.2.2 は,属性証明書群,属性失効情報群,非分離型及び分離型が未

定義であり,v1.1.1 は,更に属性証明書参照情報群及び属性失効情報参照情報群が未定義である。

a)

  ETSI TS 101 903 v1.1.1 の場合は,必すである。

b)

  推奨しない。選択する場合は,署名及び参照情報に対するタイムスタンプか参照情報に対するタイ

ムスタンプのいずれか一方だけ可能。ETSI TS 101 903 v1.1.1 の場合は,いずれか一方が必要であ
る。


14 
X 5093:2008

   

A.2.5  要別途規定要素が参照する仕様

表 A.2∼表 A.6 において,“要別途規定”の要素に✔を記入した場合は,その要素名及び参照する仕様の

名称を記入する。

要素名

参照する仕様の名称

1

 

2

 

A.2.6  特記事項

 


15

X 5093:2008

附属書 B

参考)

XAdES のデータ構造及び構成要素

序文

この附属書は,XAdES のデータ構造及び構成要素の概要を記載するものであって,規定の一部ではない。

B.1  XAdES データの構造

XAdES データの構造は,XML 署名の拡張形として定義される。XML 署名の定義に従って,“署名”要

素が最上位要素となる

図 B.1 の基本構造をもつ。図 B.2 に“オブジェクト”要素の構造を示す。また,“署

名対象プロパティ”要素の構造を

図 B.3 に,“非署名対象プロパティ”要素の構造を図 B.4 に示す。

正規化方式

署名方式

変換処理

ダイジェスト方式

署名に関する情報

コンテントへ

の参照情報

ダイジェスト値

署名値

かぎ情報

署名

オブジェクト

図 B.1XAdES データの基本構造

署名対象プロパティ

署名を修飾するプロパティ

非署名対象プロパティ

オブジェクト

署名を修飾するプロパティを特定する参照情報

図 B.2−オブジェクトの構造

署名時刻

署名者証明書

署名ポリシ識別子

署名生成場所

署名対象の署名

プロパティ

署名者の肩書き

データオブジェクト形式

コミットメント種別表示

全データオブジェクトに対するタイムスタンプ

署名対象

プロパティ

署名対象データ

オブジェクトの

プロパティ

個別データオブジェクトに対するタイムスタンプ

図 B.3−署名対象プロパティ

 


16 
X 5093:2008

   

カウンタ署名

署名タイムスタンプ

署名時刻を確定

する情報

タイムマークなどその他の方式

全証明書参照情報群

CRL 形式の失効情報参照情報

OCSP 形式の失効情報参照情報

全失効情報参照

情報群

他の失効情報参照情報

属性証明書参照情報群

属性失効情報参照情報群

署名及び参照情報に対するタイムスタンプ

参照情報に対するタイムスタンプ

カプセル構造化された証明書

他の証明書

証明書群

CA などによる証明書の保管

CRL による失効情報群

OCSP による失効情報群

他の失効情報群

失効情報群

CA などによる失効情報の保管

属性証明書群

属性失効情報群

アーカイブタイムスタンプ

改ざん検知を可

能とする情報

タイムマークなどその他の方式

非署名対象
の署名プロ

パティ

異なる版の非署名対象の署名プロパティ

非署名対象
プロパティ

非署名のデータオブジェクトのプロパティ

図 B.4−非署名対象プロパティ

B.2  署名要素及び属性 
B.2.1  ID 属性

署名要素における ID 属性。長期署名では必す。

B.2.2  署名に関する情報

署名値を計算するときの基となる情報。

B.2.2.1  正規化方式

同じ意味をもつ XML 文書が,ビット単位で同じ表現の文書になるようにする変換処理の方式。

B.2.2.2  署名方式

署名を生成又は検証するときの署名アルゴリズム。

B.2.2.3  コンテントへの参照情報

署名対象となる要素又はデータの参照先,及びそのダイジェスト値など。署名要素が署名対象と独立し

た形式(detached)

,署名要素が署名対象の子要素となる形式(enveloped)

,及び署名要素が署名対象の親

要素となる形式(enveloping)がある。

注記  署名要素が対象の子要素となる形式の場合は,署名対象のデータ構造に署名要素のデータ構造

を組み込む必要がある。


17

X 5093:2008

B.2.2.3.1  変換処理

正規化などの変換処理。並べられた順番のとおりに変換処理が行われる。

B.2.2.3.2  ダイジェスト方式

署名対象のダイジェストの方式。

B.2.2.3.3  ダイジェスト値

署名対象のダイジェストの値。この値は,Base64 形式でエンコードされたものが使用される。

B.2.3  署名値

署名の値。

B.2.4  かぎ情報

署名検証に使用されるかぎ情報。署名かぎの名前,署名かぎの値,文書外などにあるかぎ情報の取得方

式,X.509 証明書などの,いずれかを提示する。

B.2.5  オブジェクト

任意のデータを含むことができる要素。XML 署名中に複数存在することもある。

B.3  オブジェクト要素 
B.3.1  署名を修飾するプロパティ

署名に必要な追加のプロパティ。

B.3.1.1  署名対象プロパティ

署名対象となるプロパティ。署名に関するプロパティと署名以外のプロパティとからなる。署名値の計

算対象となるよう,コンテントへの参照情報(B.2.2.3)で参照される。

B.3.1.2  非署名対象プロパティ

署名対象とはならないプロパティ。

B.3.2  署名を修飾するプロパティを特定する参照情報

署名に必要な追加のプロパティを特定する参照情報。

B.4  署名対象プロパティ要素 
B.4.1  署名対象の署名プロパティ

署名対象となる署名に関するプロパティ。

B.4.1.1  署名時刻

署名者が主張する署名時刻。

B.4.1.2  署名者証明書

署名者の証明書。

B.4.1.3  署名ポリシ識別子

署名ポリシを特定するための情報。

B.4.1.4  署名生成場所

署名が生成された場所。第三者によって保証されたものではなく,署名者が主張している場所。

B.4.1.5  署名者の肩書き

署名者が主張する署名者の肩書き,又は属性証明書で保証された肩書き。

B.4.2  署名対象データオブジェクトのプロパティ

署名対象のうちの,データオブジェクト(文書)に関連するプロパティ。


18 
X 5093:2008

   

B.4.2.1  データオブジェクト形式

データオブジェクト形式のヒント。

B.4.2.2  コミットメント種別表示

署名者がどのような意図をもって署名したかを表明する情報。

B.4.2.3  全データオブジェクトに対するタイムスタンプ

署名生成前の署名対象に対するタイムスタンプ。

B.4.2.4  個別データオブジェクトに対するタイムスタンプ

署名生成前の特定の署名対象に対するタイムスタンプ。

B.5  非署名対象プロパティ要素 
B.5.1  非署名対象の署名プロパティ

署名対象外の署名に関するプロパティ。

B.5.1.1  カウンタ署名

署名値に対する署名。複数人が同一文書に署名するとき,署名の順序に意味がある場合,又は意味をも

たせたい場合に用いる。

B.5.1.2  署名時刻を確定する情報

署名が存在した時刻を特定可能にするために,署名値に付されるタイムスタンプなどの情報。

a)  署名タイムスタンプ

b)  タイムマークなどその他の方式

注記  タイムマークは,データが特定の時刻以前に存在したことを示すための,データと特定の時

間とを結び付ける信頼される第三者機関からの監査証跡内の情報などをいう。

B.5.2  非署名のデータオブジェクトのプロパティ

データオブジェクト(文書)に関連する署名対象とはならないプロパティ。

B.6  非署名対象の署名プロパティ要素 
B.6.1  全証明書参照情報群

署名者を除く,証明書チェーンを構成するすべての証明書参照情報のかたまり。

B.6.2  全失効情報参照情報群

署名者証明書の証明書チェーンの検証に必要なすべての失効情報参照情報のかたまり。

a) CRL 形式の失効情報参照情報

b) OCSP 形式の失効情報参照情報

c)  他の失効情報参照情報

B.6.3  属性証明書参照情報群

関連する属性証明書に関する参照情報のかたまり。

B.6.4  属性失効情報参照情報群

関連する属性証明書の失効情報に関する参照情報のかたまり。

B.6.5  署名及び参照情報に対するタイムスタンプ

署名及び参照情報に対するタイムスタンプ。非分離型及び分離型が定義されている。

B.6.6  参照情報に対するタイムスタンプ

参照情報に対するタイムスタンプ。非分離型及び分離型が定義されている。


19

X 5093:2008

B.6.7  証明書群

署名者証明書の証明書チェーンを構成するすべての証明書のかたまり。

a)  カプセル構造化された証明書

b)  他の証明書

c) CA などによる証明書の保管

B.6.8  失効情報群

署名者証明書の証明書チェーン検証に必要なすべての失効情報のかたまり。

a) CRL による失効情報群

b) OCSP による失効情報群

c)  他の失効情報群

d) CA などによる失効情報の保管

B.6.9  属性証明書群

関連する属性証明書のかたまり。

B.6.10  属性失効情報群

関連する属性証明書に対する失効情報のかたまり。

B.6.11  改ざん検知を可能とする情報

改ざんを検知可能にするために,署名対象及び検証情報を含む署名に関する情報に付されるタイムスタ

ンプなどの情報。

a)  アーカイブタイムスタンプ  非分離型及び分離型が定義されている。

b)  タイムマークなどその他の方式

B.6.12  異なる版の非署名対象の署名プロパティ

異なる版の XAdES で定義された,署名対象とはならない署名プロパティ。


20 
X 5093:2008

   

附属書 C 

参考)

要素名及び属性名と XML 表記との対応表

序文

この附属書は,この規格で用いられる要素名及び属性名と,ETSI TS 101 903 における XML 表記の要素

名及び属性名との対応関係について記載するものであって,規定の一部ではない。

表 C.1−署名要素(ds: Signature element

要素名又は属性名 XML 表記

ETSI TS 101 903

の該当箇所

ID ID 

4.4

署名に関する情報 ds:SignedInfo

4.4

−  正規化方式

− ds:

CanonicalizationMethod

4.4

−  署名方式

− ds:

SignatureMethod

4.4

−  コンテントへの参照情報

− ds:

Reference

4.4

−  変換処理

− ds:

Transforms

4.4

−  ダイジェスト方式

− ds:

DigestMethod

4.4

−  ダイジェスト値

− ds:

DigestValue

4.4

署名値 ds:SignatureValue

4.4

かぎ情報 ds:KeyInfo

4.4

オブジェクト Ds:Object

4.4

注記  イタリック体は,属性を示す。

表 C.2−オブジェクト要素(ds: Object element

要素名 XML 表記

ETSI TS 101 903

の該当箇所

署名を修飾するプロパティ QualifyingProperties

6.2

−  署名対象プロパティ

− SignedProperties

6.2.1

−  非署名対象プロパティ

− UnsignedProperties

6.2.2

署名を修飾するプロパティを特定する参照情報 QualifyingPropertiesReference  6.3.2

表 C.3−署名対象プロパティ要素(SignedProperties element

要素名 XML 表記

ETSI TS 101 903

の該当箇所

署名対象の署名プロパティ SignedSignatureProperties

6.2.3

−  署名時刻

− SigningTime

7.2.1

−  署名者証明書の参照情報

− SigningCertificate

7.2.2

−  署名ポリシ識別子

− SignaturePolicyIdentifier

7.2.3

−  署名生成場所

− SignatureProductionPlace

7.2.7

−  署名者の肩書き

− SignerRole

7.2.8

署名対象データオブジェクトのプロパティ SignedDataObjectProperties 6.2.4

−  データオブジェクト形式

− DataObjectFormat

7.2.5

−  コミットメント種別表示

− CommitmentTypeIndication

7.2.6

−  全データオブジェクトに対するタイムスタンプ

− AllDataObjectsTimeStamp

7.2.9

−  個別データオブジェクトに対するタイムスタンプ

− IndividualDataObjectsTimeStamp  7.2.10


21

X 5093:2008

表 C.4−非署名対象プロパティ要素(UnsignedProperties element

要素名 XML 表記

ETSI TS 101 903

の該当箇所

非署名対象の署名プロパティ UnsignedSignatureProperties

6.2.5

−  カウンタ署名

− CounterSignature

7.2.4

−  (署名時刻を確定する情報)

該当なし

−  署名タイムスタンプ

− SignatureTimeStamp

7.3

−  タイムマークなどその他の方式

7.3

非署名のデータオブジェクトのプロパティ UnsignedDataObjectProperties

6.2.6

表 C.5−非署名対象の署名プロパティ要素(UnsignedSignatureProperties element

要素名又は処理方式 XML 表記

ETSI TS 101 903

の該当箇所

全証明書参照情報群 CompleteCertificateRefs

7.4.1

全失効情報参照情報群 CompleteRevocationRefs

7.4.2

− CRL 形式の失効情報参照情報

− CRLRef

7.4.2

− OCSP 形式の失効情報参照情報

− OCSPRef

7.4.2

−  他の失効情報参照情報

− OtherRef

7.4.2

属性証明書参照情報群 AttributeCetrificateRefs

7.4.3

属性失効情報参照情報群 AttributeRevocationRefs

7.4.4

署名及び参照情報に対するタイムスタンプ SigAndRefsTimeStamp

7.5.1

非分離型

−  not distributed case 7.5.1.2

分離型

−  distributed case 7.5.1.2

参照情報に対するタイムスタンプ RefsOnlyTimeStamp

7.5.2

非分離型

−  not distributed case 7.5.2.1

分離型

−  distributed case 7.5.2.2

証明書群 CertificateValues

7.6.1

−  カプセル構造化された証明書

− EncapsulatedX509Certificate

7.6.1

−  他の証明書

− OtherCertificate

7.6.1

− CA などによる証明書の保管

該当なし

失効情報群 RevocationValues

7.6.2

− CRL による失効情報群

− CRLValues

7.6.2

− OCSP による失効情報群

− OCSPValues

7.6.2

−  他の失効情報群

− OtherValues

7.6.2

− CA などによる失効情報の保管

該当なし

属性証明書群 AttrAuthoritiesCertValues

7.6.3

属性失効情報群 AttributeRevocationValues

7.6.4

(改ざん検知を可能とする情報)

該当なし

−  アーカイブタイムスタンプ ArchiveTimeStamp

7.7

非分離型

−  not distributed case 7.7.1

分離型

−  distributed case 7.7.2

−  タイムマークなどその他の方式

該当なし

異なる版の非署名対象の署名プロパティ要素

Any unsigned signature property 
defined in any other version of XAdES

6.2.5

注記  イタリック体は,処理方式を示す。


22 
X 5093:2008

   

附属書 D 

規定)

タイムスタンプトークンの構造

序文

この附属書は,長期署名におけるタイムスタンプトークンの構造に関する要求事項を規定する。

D.1  準拠する仕様

この規格における署名タイムスタンプトークン及びアーカイブタイムスタンプトークンは,次の仕様に

準拠する。

a)  基本構造  CMS(暗号メッセージ構文)に準拠する。

注記 1  IETF RFC 3852 で定義されている。

注記 2 http://www.ietf.org/

から入手可能。

b)  署名属性及び非署名属性  CAdES(CMS 利用電子署名)に準拠する。

注記 3  ETSI TS 101 733  で定義されている。

注記 4 http://pda.etsi.org/pda/queryform.asp

から入手可能。

D.2  構成要素の要求レベル

署名タイムスタンプトークン及びアーカイブタイムスタンプトークンの各要素に対する要求レベルは,

表 D.1 に従う。


23

X 5093:2008

表 D.1−タイムスタンプトークンの各要素に対する要求レベル

要素

要求レベル

条件又は値

コンテント種別

必す

署名付きデータを表す識別子

コンテント

必す

署名付きデータ

−  暗号メッセージ構文の版数

必す

−  ダイジェストアルゴリズム識別子群

必す

−  カプセル構造化されたコンテント情報

必す

−  e コンテント種別

必す TST 情報を表す識別子

−  e コンテント

必す TST 情報

−  証明書群

任意選択

−  証明書

任意選択

−  属性証明書 1 版

任意選択

−  属性証明書 2 版

任意選択

−  その他形式の証明書

要別途規定

−  失効情報群

任意選択

−  失効情報

任意選択

−  その他形式の失効情報

任意選択

−  署名者情報群

必す

−  署名者情報

必す

−  暗号メッセージ構文の版数

必す

−  署名者識別子

必す

−  発行者及びシリアル番号

任意選択

−  対象者かぎ識別子

任意選択

−  ダイジェストアルゴリズム識別子

必す

−  署名属性群

必す

−  コンテント種別

必す TST 情報を表す識別子

−  メッセージダイジェスト

必す

−  署名者証明書の参照情報

必す

− ESS 署名者証明書の参照情報

任意選択

a)

− ESS 署名者証明書の参照情報 2 版

任意選択

a)

−  他の署名者証明書の参照情報

任意選択

a)

−  署名アルゴリズム識別子

必す

−  署名値

必す

−  非署名属性群

任意選択

−  全証明書参照情報群

任意選択

−  全失効参照情報群

任意選択

− CRL 形式の失効参照情報群

任意選択

− OCSP 形式の失効参照情報群

任意選択

−  証明書群

任意選択

−  証明書

任意選択

− CA などによる証明書の保管

要別途規定

−  失効情報群

任意選択

− CRL による失効情報

任意選択

−  基本 OCSP 応答

任意選択

−  他の失効情報

要別途規定

a)

 ESS 署名者証明書の参照情報,ESS 署名者証明書の参照情報 2 版,又は他の署名者証明書の参照情報のいず

れか一つを選択。