ITU-T X.509
Standard X.509 jest rozwijany przez ITU-T (dawniej CCIT) i jest podstawowym standardem definiującym format, zawartość oraz znaczenie pól w certyfikacie X.509 oraz CRL.
- X.509 : Information technology - Open Systems Interconnection - The Directory: Public-key and attribute certificate frameworks - strona główna standardu X.509 w ITU-T
- pierwsza wersja X.509v1 opublikowana 1993 roku (dostępna za darmo)
- aktualna wersja X.509v3 opublikowana w 2005 roku (płatna)
- erraty do X.509v3 publikowane w latach 2007 i 2008
- następna wersja zatwierdzona w listopadzie 2008
X.509 zostało także zaadaptowane przez IETF i jest rozwijane przez grupę roboczą PKIX. Główne standardy opublikowane przez tę grupę to m.in.:
- RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile - opisujący certyfikaty X.509v3 i CRLv2 (odpowiada X.509v3)
- RFC 4158 - Internet X.509 Public Key Infrastructure: Certification Path Building
- RFC 3161 - Internet X.509 Public Key Infrastructure: Time-Stamp Protocol (TSP)
- RFC 3029 - Internet X.509 Public Key Infrastructure: Data Validation and Certification Server Protocols (DVCS)
- RFC 2560 - X.509 Internet Public Key Infrastructure: Online Certificate Status Protocol - OCSP
X.509v3 zostało także opublikowane jako:
- ISO/IEC 9594-8:2005
- Polska Norma PN-ISO/IEC 9594-8:2006 (na bazie ISO/IEC 9594-8:2001 z poprawkami z 2002)
Funkcje skrótu
-
ISO/IEC 10118-3:2004 - Information technology -- Security techniques -- Hash-functions -- Part 3: Dedicated hash-functions - RIPEMD-160, RIPEMD-128, SHA-1, SHA-256, SHA-512, SHA-384, WHIRLPOOL
-
NIST FIPS 180-3 - Secure Hash Standard - SHA-1, SHA-224, SHA-256, SHA-384, SHA-512
- IETF RFC 3174 - US Secure Hash Algorithm 1 - SHA1
- IETF RFC 3874 - A 224-bit One-way Hash Function - SHA-224
- IETF RFC 4634 - US Secure Hash Algorithms - SHA-224, SHA-256, SHA-384, SHA-512, HMAC
XML Signature (XML-DSig)
Formatem XML Signature zarządza grupa robocza World Wide Web Consortium (W3C).
- RFC 3275 - XML-Signature Syntax and Processing
- RFC 4051 - Additional XML Security Uniform Resource Identifiers (URIs)
- RFC 2807 - XML Signature Requirements
Formaty podpisu
- XML Advanced Electronic Signature (XAdEs), format oparty o XML-DSIG (ponizej) z dodatkowymi funkcjami dla podp. kwalifikowanego
- ETSI TS 101 903, v1.2.2, 2004, 70 str. (link ETSI)
- XAdES zaadoptowany przez W3 Consortium, 2003, oparty o wersje 1.1.1
- ETSI TS 101 733, format binarny oparty o CMS/RFC 3369 (ponizej) z dodatkowymi funkcjami dla podp. kwalifikowanego
- ETSI TS 101 733, v1.5.1, 2003, 93 str.
- RFC 3369, CMS (Cryptographic Message Syntax), 2002, 52 str., format stanowiacy rozszerzenie PKCS#7 v1.5, m.in. o znacznik czasowy
- PKCS#7, format binarny dla dokumentu z podpisem, nie przewiduje znacznika czasowego, stanowi podzbior CMS
- PKCS #7 Cryptographic Message Syntax Standard, v1.5, 1993, 28 str., istnieje takze wersja 1.6 rozszerzona o bankowy SET (link RSA)
- XML-Signature (XML-DSIG), standard podpisu elektronicznego dla XML, brak elementow wymaganych dla podp. kwalifikowanego (wprowadzonych dopiero przez XAdES)
- XML-DSIG na W3.org (także RFC 3275)
- PKCS#7 w formacie PDF - RFC 3778
PKI
- CWA 14355: CWA 14355 Guidelines for the implementation of Secure Signature-Creation Devices (2004)
- RFC 3280 "Internet X.509 Public Key Infrastructure Certificate and CRL Profile" (X.509v3, 2002)
- Internet X.509 Public Key Infrastructure: Qualified Certificates Profile
- ETSI TS 102 280 "X.509 V.3 Certificate Profile for Certificates Issued to Natural Persons" V1.1.1 (2004-03) , aktualnie obowiązujący profil europejskiego certyfikatu kwalifikowanego, przyczynek do dyskusji o tym czy non-Repudiation można łączyć z innymi czy nie.
- CWA 14365-1 March 2004 "Guide on the Use of Electronic Signatures - Part 1: Legal and Technical Aspects"
- CWA 14169 "Secure Signature-Creation Devices EAL4+", 2002, 212 str., techniczne wymagania bezpieczenstwa dla "bezpiecznego urzadzenia do skladania podpisu" (Protection Profile w rozumieniu Common Criteria)
- CWA 14171 "General guidelines for electronic signature verification" (May 2004)
- CWA 14170 "Security requirements for signature creation applications"
- CWA 14172-4 "EESSI Conformity Assessment Guidance - Part 4: Signature creation applications and general guidelines for electronic signature verification"
- Cenorm CWA 14167-14890 inne propozycje standardow technicznych, zwlaszcza SSCD
- ETSI TS 101 862 V1.3.2 "Qualified Certificate profile" (2004-06)
- ETSI TR 102 438 V1.1.1 "Electronic Signatures and Infrastructures (ESI); Application of Electronic Signature Standards in Europe" (2006-03)
- ETSI TR 102 044 V1.1.1 "Electronic Signatures and Infrastructures (ESI); Requirements for role and attribute certificates" (2002-12)
- ETSI TR 102 605 V1.1.1 "Electronic Signatures and Infrastructures (ESI); Registered E-Mail" (2007-09)
- ETSI TR 102 047 V1.2.1 "International Harmonization of Electronic Signature Formats" (2005-03)
- ETSI TR 102 458 V1.1.1 "Electronic Signatures and Infrastructures (ESI): Mapping Comparison Matrix between the US Federal Bridge CA Certificate Policy and the European Qualified Certificate Policy (TS 101 456)" (2006-04)
- RFC 3125, "Electronic Signature Policies"
- RFC 3126, "Electronic Signature Formats for long term electronic signatures" (ETSI TS 101 733 V.1.2.2)
- RFC 2560 "X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP
- RFC 3029 "Internet X.509 Public Key Infrastructure Data Validation and Certification Server Protocols"
- Internet Draft "Server-based Certificate Validation Protocol (SCVP)"
- RFC 3376 "Delegated Path Validation and Delegated Path Discovery Protocol Requirements" (DPV, DPD)
- RFC 4210 "Internet X.509 Public Key Infrastructure: Certificate Management Protocol (CMP)"
- RFC 3161: "Internet X.509 Public Key Infrastructure: Time-Stamp Protocol (TSP)"
- RFC 3281 "An Internet Attribute Certificate Profile for Authorization"
- IETF: Public-Key Infrastructure (X.509) (Active WG)
- X.500
- X.509 wszystkie wersjie (inne z serii X)
- ASN.1
- BER, DER, PER, CER, XER, ECN - kodowania ASN.1
- X.693 "XML Encoding Rules" (kodowanie ASN.1 do XML)
- ISIS-MTT specyfikacja 1.1, ISIS-MTT (specyfikacja ze strony projektu), ISIS-MTT (strona główna), komentarz ISIS-MTT "Long-Term Signature Conservation"
- EEMA (European Association for e-Identity and Security)
- eSignatures Standardisation Survey (publikacja w listopadzie 2007)
- IETF WG - Long-Term Archive and Notary Services (ltans)
- Niemieckie przepisy o podpisie elektronicznym (SigG, SigV), po angielsku
- NOVOMODO (X.509v3), proponowana nowa metoda weryfikacji ważności certyfikatów konkurencyjna do CRL/OCSP
- Bridge CA
- Transglobal Secure Collaboration Program (TSCP)
- OASIS: Digital Signature Services v1.0
- OASIS: Security Assertion Markup Language (SAML)
SPKI
Inne linki
- RFC 4270 "Attacks on Cryptographic Hashes in Internet Protocols" (w tym także na PKI)
- Wikipedia: Preimage resistance - odporność kryptograficznych funkcji skrótu na fałszerstwa
- RFC 2898 "PKCS #5: Password-Based Cryptography Specification Version 2.0" (mechanizmy przetwarzania haseł w aplikacjach kryptograficznych)
- Przykład Elektronicznej Skrzynki Podawczej
PN ISO/IEC
- ISO/IEC 27001:2005 - norma Systemu Zarządzania Bezpieczeństwem Informacji
- ISO/IEC 17799:2005 - zalecenia i najlepsze praktyki
Standardy de facto
- OWASP (Open Web Application Security Project)
- OSSTMM (Open Source Security Testing Methodology Manual)
- The Standard of Good Practice for Information Security (ISF)
- OpenID Relying Party Best Practices
Zalecenia NIST