English

TSAについてのポリシー要件
(Policy Requirements for Time-Stamping Authorities (TSAs))

このメモの位置づけ

この文書は、 インターネットの「現時点における最善の実践(ベストカレントプラクティス)」を示すものであり、 改善するために議論と示唆を求めるものです。 このメモの配布に制限はありません。

著作権表記

Copyright (C) The Internet Society (2003).  All Rights Reserved.

要旨

本書は、TSA (Time Stamping Authority)が、 公開鍵証明書によってサポートされた、 1秒以内の精度をもつタイムスタンプトークンを発行するための最低限のタイムスタンプポリシーについての要件を規定します。 TSAは、本書中に規定されたポリシーを拡張して自らのポリシーを規定することができます。 このようなポリシーは、本書において識別された要件を、 組み込むか、あるいは、さらに絞り込むものとなります。

目次

1. 1. はじめに
2. 2. 概要
3. 3. 定義と短縮語
   1. 3.1. 定義
   2. 3.2. 短縮語
4. 4. 一般的な概念
   1. 4.1. タイムスタンピングサービス
   2. 4.2. TSA
   3. 4.3. 加入者
   4. 4.4. タイムスタンプポリシーとTSA実施規定
      1. 4.4.1. 目的
      2. 4.4.2. 特性のレベル
      3. 4.4.3. アプローチ
5. 5. タイムスタンプポリシー
   1. 5.1. 概要
   2. 5.2. 識別
   3. 5.3. ユーザコミュニティと適用可能性
   4. 5.4. 準拠性
6. 6. 社会的義務と法的義務
   1. 6.1. TSAの社会的義務
      1. 6.1.1. 一般
      2. 6.1.2. TSAの加入者に対する社会的義務
   2. 6.2. 加入者の社会的義務
   3. 6.3. 信頼者の社会的義務
   4. 6.4. 法的義務
7. 7. TSAの実施についての要件
   1. 7.1. 実施規定と開示規定
      1. 7.1.1.  TSA 実施規定
      2. 7.1.2.  TSA 開示規定
   2. 7.2. 鍵管理のライフサイクル
      1. 7.2.1. TSU鍵の生成
      2. 7.2.2. TSUプライベート鍵の防護
      3. 7.2.3. TSU公開鍵の配布
      4. 7.2.4. TSU鍵の再生成
      5. 7.2.5. TSU鍵の有効期限
      6. 7.2.6. タイムスタンプ署名用の暗号モジュールのライフサイクル管理
   3. 7.3. タイムスタンピング
      1. 7.3.1. タイムスタンプトークン
      2. 7.3.2. 時計をUTCに同期させる
   4. 7.4. TSA の管理と運用
      1. 7.4.1. セキュリティマネジメント
      2. 7.4.2. 資産の区分と管理
      3. 7.4.3. 要員のセキュリティ
      4. 7.4.4. 物理的セキュリティと環境的セキュリティ
      5. 7.4.5. 運用の管理
      6. 7.4.6. システムへのアクセスの管理
      7. 7.4.7. 信頼に値するシステムの開発と保守
      8. 7.4.8. TSAサービスの侵害
      9. 7.4.9. TSAの廃業
      10. 7.4.10. 法的要件への準拠性
      11. 7.4.11. タイムスタンピングサービスの運用に関する情報の記録
   5. 7.5. 組織論
8. 8. セキュリティに関する考慮事項
9. 9. 謝辞
10. 10. 参考文献
    1. 10.1. 規範的参考文献
    2. 10.2. 参考資料
11. 補遺A (参考資料)： UTC (Coordinated Universal Time)
12. 補遺B (参考資料)： 実装アーキテクチャとタイムスタンピングサービスについて可能な事項
13. 補遺C (参考資料)： タイムスタンプトークンの長期的検証
14. 補遺D (参考資料)： TSA開示規定の構成のモデル
15. 著者のアドレス
16. 著作権表記全文

1. はじめに English

この情報提供RFCの内容は、技術的に、ETSI TS 102 023 V 1.2.1 (2002-06) [TS 102023] と同等のものです。 ETSI TSは、ETSIの著作権のもとにあります。 このETSIの配布物の複製は、 http://www.etsi.org からダウンロードできます。

信頼でき、かつ、管理可能なデジタル証拠を作成する際に、それらが後日、 相互に比較できるように、 時刻データをトランザクションに関連づける手法について合意していることが、 必要不可欠です。 この証拠の品質は、 イベントを表現するデータ構造を作成して管理することと、 「現実世界と結びつけるパラメータとしてのデータポイントの品質」に基づきます。 この例においては、これらは、時刻データと、「どのように、 時刻データは、適用されたか？」です。

典型的なトランザクションは、デジタル署名された文書です。 ここでは、「署名者からのデジタル署名は、 その署名者の証明書が有効であったときに適用されたこと」を証明することが必要不可欠です。

あるデジタル署名値に適用されたタイムスタンプもしくはタイムマークは、 「そのデジタル署名は、そのタイムスタンプ(もしくは、 タイムマーク)中の日付より前に作成されたこと」を証明します。 (タイムマークは、 信用される第三者からのセキュアな監査証跡に保存された監査記録です。)

「デジタル署名が署名者の証明書が有効な期間になされた」というためには、 そのデジタル署名は、検証されなければならず、 下記の条件を満たさなければなりません。：

1. タイムスタンプ(もしくは、タイムマーク)は、署名者の証明書の有効期限内になされたこと。
2. タイムスタンプ(もしくは、タイムマーク) は、その署名者の証明書が失効されていない間か、あるいは、証明書の失効日前になされたこと。

それゆえ、この作法で適用されたタイムスタンプ(もしくは、 タイムマーク)は、「そのデジタル署名は、 署名者の証明書が有効な期間中になされたこと」を提供します。 この概念は、あらゆる証明書チェーンの全体にわたって、 デジタル署名の有効性を提供します。

この場合を扱うためのポリシー要件が、本書を書いた主要な動機です。 しかし、これらのポリシー要件は、 他のニーズに対応するためも使えるようにする必要があります。

電子的なタイムスタンプは、電子署名の重要なコンポーネントとして、 産業界から注目を集めつつあります。 これは、ETSIの電子署名フォーマット標準 [TS101733]、 もしくは、(タイムスタンププロトコル [RFC 3161] 上に策定されている)長期電子署名用の電子署名フォーマット [RFC 3126] によっても、とりあげられています。 合意された最低限のセキュリティと品質の要件は、 長期電子署名の信用に値する検証を確保するために、必要不可欠です。

European Directive 1999/93/EC [Dir 99/93/EC] は、 認証(certification)サービスを「証明書を発行するか、あるいは、 電子署名に関する他のサービスを提供する実態もしくは法人もしくは自然人」と定義しています。 認証サービスプロバイダーの一例は、タイムスタンピング機関です。

本書中のキーワード "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY"および"OPTIONAL"は、 BCP 14, RFC 2119 [RFC 2119] に記述されているように解釈されるべきものです。

2. 概要 English

これらのポリシー要件は、 適格な電子署名のサポートにおいて使われるタイムスタンピングサービスを対象としています。 (すなわち、電子署名のためのコミュニティのフレームワークについての"the European Directive"のarticle 5.1と整合しています。) しかし、これは、「あるデータが、 特定の時刻以前に存在したこと」を提供することを要求する、 あらゆるアプリケーションに適用される可能性があります。

これらのポリシー要件は、公開鍵暗号技術、 公開鍵証明書および信頼できる時刻の源泉の利用に基づきます。 本書は、「TSAは、 タイムスタンピングサービスを提供することについて信用できること」を確認するための基礎として独立主体によって使われる可能性があります。

本書は、UTC (Coordinated universal time)をもっており、 TSUによってデジタル的に署名されたTSTを発行しているTSAを同期化するための要件に対応します。

加入者と信頼者は、「具体的に、どのように、このタイムスタンプポリシーは、 その特定のTSAによって実施されているか？」の詳細を入手するためにTSAの実施規定にあたる必要があります。 (例：このサービスを提供する際に使われるプロトコル。)

本書は、下記の事項については、規定しません。：

• TSUにアクセスするために使われるプロトコル

注1：タイムスタンピングプロトコルは、 RFC 3161 [RFC 3161] に規定されており、 TS 101 861 [TS 101861] に、 その属性が書かれています。

• どのように、ここで識別される要件は、独立主体によって評価されるか？
• このような独立主体に対して利用可能とすべき情報についての要件
• そのような独立主体についての要件

注2：CEN Workshop Agreement 14172 "EESSI Conformity Assessment Guidance"参照。 [CWA 14172]

3. 定義と短縮語 English

3.1. 定義 English

本書の目的については、下記の用語と定義が適用されます。：

注：定義が参照された文書からコピーされている場合、これらは、 その定義の最後に、参照の識別番号を含めて示しています。

信頼者(relying party)：

タイムスタンプトークンに依拠するそのタイムスタンプトークンの受信者。

加入者(subscriber)：

TSAによって提供されるサービスを要求する主体。 この者は、明示的に、あるいは、黙示的に、 その期間と条件に合意しています。

TST (Time Stamp Token：タイムスタンプトークン)：

一定のデータを特定の時刻に結合するデータオブジェクト。 それゆえ、 「そのデータは、その時点以前に存在していた」という証拠を確立する。

TSA (Time Stamping Authority：タイムスタンピング機関)：

タイムスタンプトークンを発行する機関。

TSA開示規定：

例えば、規制要件に適合するようにするために、 加入者や信頼者宛に強調したり、あるいは、 開示するようことを特別に要するTSAのポリシーと実践についての言明の集合。

TSA実施規定：

TSAがタイムスタンプトークンを発行する際に採用する実践についての言明。

TSAシステム：

タイムスタンピングサービスの規定をサポートするために組織化されたIT製品とコンポーネントから構成されるもの。

タイムスタンプポリシー：

特定のコミュニティに対するタイムスタンプトークンの適用可能性、 および／または、共通のセキュリティ要件についての適用のクラスを示す、 命名されたルールの集合。

タイムスタンピングユニット：

単ユニットとして管理されており、 一定時点においては単一のアクティブなタイムスタンプトークン署名用の鍵をもつハードウェアとソフトウェアの集合。

UTC (Coordinated Universal Time)：

ITU-R Recommendation TF.460-5 [TF.460-5] において規定されているように、秒に基づく時間の尺度。
注：ほとんどの実践的な用途において、UTCは、 本初子午線(prime meridian)における「太陽時(solar time)」と同義です。 より具体的に、UTCは、安定性の高い原子時(TAI：Temps Atomique International)と、不規則な地球の自転から得られる太陽時の折衷です。 (「グリニッジに関する」とは、 慣例的な関係による恒星時(GMST)を意味します。) (より詳細については、補遺A参照。)

UTC (k)：

「k研究所」によって実現されており、 誤差プラス／マイナス100ナノ秒を達成するという目標をもってUTCとの密接な関係が保たれている時刻の尺度。 (ITU-R Recommendation TF.536-1 [TF.536-1])
注：UTC (k)の「k研究所」のリストは、 BIPMによって配布されているCircular Tの第1章にあり、 BIPMのwebサイト (http://www.bipm.org/) から入手可能です。

3.2. 短縮語 English

本書においては、下記の短縮語が使われます。：

TSA タイムスタンピング機関
TSU タイムスタンピングユニット
TST タイムスタンプトークン
UTC (Coordinated Universal Time)

4. 一般的な概念 English

4.1. タイムスタンピングサービス English

タイムスタンピングサービスの規定は、要件を区分するために、 下記のコンポーネントサービスに細分化されます。：

• タイムスタンピング仕様：このサービスコンポーネントは、TSTを生成します。
• タイムスタンピング管理：「当該サービスは、 そのTSAによって規定されたように提供されること」を確保するために、 タイムスタンピングサービスの運用を監視し、 コントロールするサービスコンポーネント。 このサービスコンポーネントは、 タイムスタンピング規定サービスの導入と廃業(de-installation)に責任を負います。 例えば、タイムスタンピング管理は、 「タイムスタンピングに使われる時計は、 正しくUTCと同期化されていること」を確保します。

このサービスの分割は、 本書中に規定されている要件を明確化するためだけにあるものであり、 タイムスタンピングサービスの実施の分割について、 何ら制限するものではありません。

4.2. TSA English

タイムスタンピングサービスのユーザ(すなわち、 加入者と信頼者)によって信用されているTSTを発行する機関は、 TSA(タイムスタンピング機関)と呼ばれています。 TSAは、 4.1節において識別されたタイムスタンピングサービスについて、 全体の責任を負います。 TSAは、そのTSAの代わりに作成・署名する、ひとつ、もしくは、 複数のTSUの運用について、責任を負います。 TSTの発行に責任を負うTSAは、識別可能です。 (7.3.1 h参照)

TSAは、タイムスタンピングサービスの部分を提供するために、 他の主体を使う可能性があります。 しかし、TSAは、常に、全般的な責任を維持管理し、 「本書において識別されたポリシー要件に適合すること」を確保します。 例えば、TSAは、TSUの鍵を使ってTSTを生成するサービスを含む、 すべてのコンポーネントサービスを再請負に出す可能性があります。 しかし、TSTを生成するために使われるプライベート鍵、もしくは、鍵は、 本書中の要件に適合することについての責任全体を維持管理するTSAに帰属します。

TSAは、いくつかの識別可能なTSUを運用する可能性があります。 各ユニットは、異なる鍵をもちます。 (可能な実装については、補遺Bを参照。)

TSAは、電子署名についてのEUダイレクティブ(article 2(11) 参照)において規定されているように、 TSTを発行する認証サービスプロバイダーです。

4.3. 加入者 English

加入者は、数人のエンドユーザから成る組織体である可能性もあれば、 個人のエンドユーザである可能性があります。

加入者が組織体であるとき、 その組織体に適用される義務のうちのいくつかは、 そのエンドユーザにも適用する必要があります。 それゆえ、組織体が責任を負う、どのような場合においても、 そのエンドユーザからの義務が正しく満たされていない場合、 その組織体には、 そのエンドユーザ宛てに適切に知らせることが期待されます。

加入者がエンドユーザであるとき、そのエンドユーザは、 その義務が正しく果たされない場合、直接的に責任を負います。

4.4. タイムスタンプポリシーとTSA実施規定 English

この節については、 「タイムスタンプポリシー」と「TSA実施規定」に関する役割を説明します。 「タイムスタンプポリシー」もしくは「TSA実施規定」の形態については、 制約しません。

4.4.1. 目的 English

一般に、「タイムスタンプポリシー」は、 「何に準拠すべきか？」を述べる一方、「TSA実施規定」は、 「どのように準拠するか？(すなわち、タイムスタンプの作成と、 その時計の正確性の維持管理の際に行われるプロセス)」を述べます。 「タイムスタンプポリシー」と「TSA実施規定」の関係は、 事業の要件について言明する他のビジネスポリシーの関係と同様の性格をもつ一方、 運用的なユニットは、「どのように、これらのポリシーは、 実施されるべきか？」の詳細と手順を規定します。

本書は、 信用されるタイムスタンピングサービスについての一般要件に適合するように「タイムスタンプポリシー」を規定しています。 TSAは、TSA実施規定において、「どのように、 これらの要件は、適合されるか？」を規定します。

4.4.2. 特性のレベル English

「TSA実施規定」は、「タイムスタンプポリシー」より具体的です。 「TSA実施規定」は、期間と条件と、発行する際、あるいは、 タイムスタンピングサービスを管理する際のTSAのビジネスと運用的な実践についての、 より詳細な記述です。 TSAの「TSA実施規定」は、 「タイムスタンプポリシー」によって確立されるルールを強要します。 「TSA実施規定」は、「どのように、 ある特定のTSAが「タイムスタンプポリシー」中に識別された技術的要件、 組織論的要件および手続的要件に適合するか？」を規定します。

注：たとえ重要度が低い内部文書であっても、 TSAがその「TSA実施規定」において識別された実践を完遂するための必要不可欠な具体的手順を詳細化するために、 適切である可能性があります。

4.4.3. アプローチ English

「タイムスタンプポリシー」のアプローチは、「TSA実施規定」とは、 まったく異なります。 「タイムスタンプポリシー」は、 TSA固有の運用環境の具体的な詳細とは独立に規定されます。 一方、「TSA実施規定」は、組織論的な構造、運用手順、施設、 およびTSAのコンピューティング環境に合わせて仕立てられます。 「タイムスタンプポリシー」は、 タイムスタンプサービスのユーザによって規定される可能性があります。 一方、「TSA実施規定」は、常に、プロバイダによって規定されます。

5. タイムスタンプポリシー English

5.1. 概要 English

「タイムスタンプポリシー」は、 「TSTの特定のコミュニティに対する適用可能性、および／または、 共通のセキュリティ要件をもつアプリケーションのクラスを示す命名されたルールの集合」です。 (3.1節および4.4節 参照)

本書は、 TSAが1秒以内の精度をもつ公開鍵証明書によってサポートされたTSTを発行することについて、 基礎となる「タイムスタンプポリシー」についての要件を規定しています。

注1：その信頼者は、追加的手段が無くては、 サポートしている証明書の有効期間を越えてTSTの有効性を確認することができない可能性があります。 TSUの証明書の有効期間以降のTSTの有効性の検証については、 補遺C参照。

本書中に規定されたポリシーを拡張するTSAは、 自身のポリシーを規定する可能性があります。 このようなポリシーは、本書において識別された要件を組み込むか、 あるいは、さらに制約するものとします。

1秒以内の正確性がTSAによって提供される場合で、かつ、 すべてのTSUが、その同じ特徴をもつ場合、その正確性は、 「各TSTは、1秒以内の精度をもって発行される」というTSAの開示規定中に示されるものとします(7.1.2節参照)。

注2：「TSTは、 適用可能なポリシーについての識別子を含むこと」が要求されます。 (7.3.1節参照)

5.2. 識別 English

基本線となる「タイムスタンプポリシー」のオブジェクト識別子 [X.208] は、下記のとおり。：
itu-t(0) identified-organization(4) etsi(0) time-stamp-policy(2023) policy-identifiers(1) baseline-ts-policy (1)

加入者と信頼者が利用可能となっている「TSA開示規定」において、 TSAは、その準拠性を示すために、 その「タイムスタンプポリシー」についての識別子も含むものとします。

5.3. ユーザコミュニティと適用可能性 English

このポリシーは、 長期の有効性(例：TS 101 733 [TS 101733] に規定されているもの)のための適格な電子署名(European Directive on Electronic Signatures参照)についてのタイムスタンピングの要件に適合することを目的にしていますが、 一般に、同等の品質についての、あらゆる要件に適用可能です。

このポリシーは、公的なタイムスタンピングサービス、もしくは、 閉じたコミュニティ内で使われるタイムスタンピングサービスに使われる可能性があります。

5.4 準拠性 English

TSAは、5.2節にあるように、 TST中の「タイムスタンプポリシー」についての識別子を使うか、あるいは、 自身の「タイムスタンプポリシー」を規定するものとします。 これは、本書において識別された要件を組み込んだり、 あるいは、絞り込んだりします。：

1. そのTSAが識別された「タイムスタンプポリシー」への準拠性を主張し、 加入者と信頼者が準拠性の主張を裏付ける証拠を求めれば入手できるようにする場合
2. そのTSAが、独立主体によって、 識別された「タイムスタンプポリシー」に照らして確認する評価がなされた場合

準拠するTSAは、下記の事項を実証しなければなりません。：

1. 6.1節に規定されているように、 その社会的義務に適合すること。
2. 7章に規定された要件に適合するコントロールを実施していること。

6. 社会的義務と法的義務 English

6.1. TSAの社会的義務 English

6.1.1. 一般 English

TSAは、 「7章に詳細に述べてあるTSAについてのすべての要件は、 選択された『信用されるタイムスタンプポリシー』について適用可能なものとして実施されていること」を確保するものとします。

TSAは、たとえ、そのTSA機能が再請負契約先によって行われるときでも、 このポリシーに書かれた手順への準拠性を確保するものとします。

TSAは、タイムスタンプ中に(直接、あるいは、参照によって)示された、 あらゆる追加的義務への準拠性を確保するものとします。

TSAは、そのすべてのタイムスタンピングサービスを、 その実施規定に準拠して提供するものとします。

6.1.2. 加入者に対するTSAの社会的義務 English

TSAは、 (そのサービスの利用可能性と精度を含む)期間と条件について行った自身の主張に合致するものとします。

6.2. 加入者の社会的義務 English

本書は、TSAの期間と条件に言明されている事項以外には、 加入者について、具体的な義務を設けません。

注：「TSTを取得するとき、その加入者は、 『そのTSTが正しく署名されていること』と、 『TSTに署名するために使われるプライベート鍵は、 侵されていないこと』を検証すること」が助言されます。

6.3. 信頼者の社会的義務 English

信頼者が利用可能とされた期間と条件(7.1.2節参照)は、 「TSTに依拠する際の、信頼者の社会的義務」を含むものとします。：

1. 「TSTは、正しく署名されたこと」と、 「タイムスタンプに署名するために使われるプライベート鍵は、 検証時点までに侵されていないこと」を検証する。
   注：検証する時点が対象の証明書の有効期限を過ぎている場合、 TSUの証明書の有効期間の間、署名用の鍵の有効性は、 当該TSUの証明書についての現在の「失効ステータス(状態(項目))」を使ってチェックすることができます。 (ガイダンスについては、補遺C参照。)
2. 「タイムスタンプポリシー」によって示されたタイムスタンプの利用法についてのあらゆる制限を考慮する。
3. 契約等において指示された、あらゆる他の予防策を考慮する。

6.4. 法的義務 English

本書は、法的義務について、いかなる要件も規定しません。 特に、「TSAは、別途、適用可能な法律に明記されない限り、 あらゆる法的義務を否認／制限する可能性があること」を知っておく必要があります。

7. TSA実践についての要件 English

TSAは、下記の要件に適合するコントロールを実施するものとします。

これらのポリシー要件は、TSAサービスについて課す、 いかなる制約も意図していません。

要件は、セキュリティのための観点から示され、 「これらの目的に適合すること」を確保することが必要不可欠である場合、 これらの目的に適合するためのコントロールについての、 より詳細な要件を従えます。

注：目的に適合するために要求されるコントロールの詳細は、 必要不可欠な事項を確保する一方、 TSAがTSTを発行する際に採用する可能性のあるテクニックについての制約を最小化することのバランスです。 7.4節(TSAの管理と運用)の場合、 より詳細なコントロール要件の情報源に対して参照されます。 これらの要素に起因して、ある論点についての要件の具体的な程度は、 多様である可能性があります。

リクエストに対応するTSTの規定は、そのTSAの考え方次第であり、 その加入者とのあらゆるSLA(サービスレベルについての合意)に依存します。

7.1. 実施規定と開示規定 English

7.1.1. TSA実施規定 English

TSAは、 「タイムスタンピングサービスを提供するために必要不可欠な信頼性を実証すること」を確保するものとします。

特記事項：

1. TSAは、 必要不可欠なセキュリティコントロールや運用的な手順を判断するために、 事業資産や、 それらの資産に対する脅威を評価するためにリスク分析を行うものとします。
2. TSAは、このタイムスタンプポリシー中で識別される、 すべての要件に対応するために使われる実践と手順についての言明をもつものとします。
   注1：このポリシーは、「TSA実施規定」の構成に関して、 要件を設けません。
3. 「TSA実施規定」は、 適用可能なポリシーと実践を含むTSAサービスをサポートしているすべての外部の組織体の義務を識別するものとします。
4. TSAは、 そのタイムスタンプポリシーへの準拠性を評価するために必要不可欠なものとして、 加入者および信頼者宛に、 その実施規定および他の関連する文書を入手可能にするものとします。
   注2：TSAは、一般に、 その実践の詳細のすべてを公にすることは要求されません。
5. TSAは、7.1.2節において規定されているように、 すべての加入者と潜在的な信頼者宛てに、 そのタイムスタンピングサービスの利用に関する期間と条件を開示するものとします。
6. TSAは、 「TSA実施規定」を承認する最終的な権能をもつ上層部の管理主体をもつものとします。
7. TSAの上級経営管理者は、 「実践が正しく実施されていること」を確認するものとします。
8. TSAは、TSA実施規定を維持管理することについての責任を含む実践についてのレビューのプロセスを規定するものとします。
9. TSAは、 上記f.のような承認に従って、 その実施規定について意図する変更を通知するもとのし、 上記d.において要求されているように、 改訂版の「TSA実施規定」を、をすぐに入手できるようにします。

7.1.2. TSA開示規定 English

TSAは、すべての加入者と潜在的な信頼者に、 そのタイムスタンピングサービスの利用に関する期間と条件を開示するものとします。 この言明は、少なくとも、 そのTSAによってサポートされる各「タイムスタンプポリシー」について規定するものとします。：

1. TSA連絡先情報
2. 適用されるタイムスタンプポリシー
3. 少なくとも、ひとつのハッシュ化アルゴリズム
   これは、 タイムスタンプされたデータを再現するために使われる可能性があります。 (必須のハッシュルゴリズムは、ありません。)
4. TSTに使われる署名の期待される有効期間
   (使われているハッシュ化アルゴリズム、 使われている署名アルゴリズムおよびプライベート鍵の長さに依存する。)
5. UTCに照らしたTST中の時刻の正確性
6. タイムスタンピングサービスの利用についてのあらゆる制限
7. 6.2節に規定されているように、加入者の義務があれば、 加入者の義務
8. 6.3節に規定された信頼者の義務
9. 「信頼者は、 そのTST (6.3節参照)を『合理的に信頼している』といえる」ような、 「どのように、そのTSTを検証するか？」についての情報、および、 有効期間についてのあらゆる可能性ある制約
10. TSAイベントログ(7.4.10節参照)が保持される期間
11. 国内法のもとで、 タイムスタンピングサービスについての要件に適合する、 あらゆる主張を含む適用可能な法的システム
12. 責任の制限
13. 苦情や争議の解決についての手順
14. 「そのTSAは、 識別されたタイムスタンプポリシーに準拠していると宣言されているか否か？」その場合、 「どの主体によるか？」

7.2. 鍵管理のライフサイクル English

7.2.1. TSA鍵の生成 English

TSAは、「あらゆる暗号技術的な鍵が、 コントロールされた状況において生成されること」を確保するものとします。

特記事項：

7.2.2. TSUプライベート鍵の防護 English

TSAは、「TSUプライベート鍵の守秘」を確保し、 そのインテグリティを維持管理するものとします。

特記事項：

1. TSUの署名用のプライベート鍵は、 下記のような暗号モジュール中に保持され、使われるものとします。：
   • FIPS 140-1 [FIPS 140-1] のレベル3以上において識別された要件に適合する暗号モジュール
   • CEN Workshop Agreement 14167-2 [CWA 14167-2] において識別された要件に適合する暗号モジュール
   • ISO/IEC 15408 [ISO 15408] もしくは同等のセキュリティクライテリアに準拠しており、 EAL 4以上と保証されている、 信用に値するシステムである暗号モジュール
     これは、リスク分析に基づき、 物理的セキュリティ手段や他の非技術的なセキュリティ手段を考慮する、 本書の要件に適合する ST(セキュリティターゲット)もしくはPP(プロテクションプロファイル)とします。
   注：TSUのプライベート鍵のバックアップは、 鍵の危殆化のリスクを最小化するために止めるべきです。
2. TSUプライベート鍵がバックアップされる場合、それらは、少なくとも、 物理的にセキュア化された環境においてデュアルコントロールを使って(7.4.4節参照)、 「信用される役割」にたずさわる要員のみによって、 複製・蓄積・復元されるものとします。 この機能を行うことが認可された要員は、 そのTSAの実践において、 そのようにすることが要求される者に制限されるものとします。
3. あらゆる署名用のTSUのプライベート鍵のバックアップ用の複製は、 そのデバイス以外に保存される前に暗号モジュールによって、 その秘匿性を確保するために防護されるものとします。

7.2.3. TSU公開鍵の配布 English

TSAは、 「そのTSU署名検証(公開)鍵とあらゆる関連するパラメータのインテグリティおよび真正性は、 その信頼者宛ての配布の間、 維持管理されていること」を確保するものとします。

特記事項：

1. TSU署名検証用(公開)鍵は、 公開鍵証明書中の信頼者が入手可能なものとします。
   注：例えば、TSUの証明書は、 そのTSAと同一主体によって運用されるCAによって発行される可能性もあれば、他の機関によって発行される可能性もあります。
2. TSUの署名検証用の公開鍵証明書は、 この「タイムスタンピングポリシー」と同等以上の水準のセキュリティを提供するCPS(訳注：原文ではCPとなっているが誤り。)に基づいて運用されているCA(認証機関)によって発行されるものとします。

7.2.4. TSU鍵の再生成 English

TSUの証明書の有効期間は、「選択されたアルゴリズムと鍵長は、 目的に適すると考えられる」期間より長くないものとします。 (7.2.1 c. 参照)

7.2.5. TSU鍵の有効期限 English

TSAは、「TSUプライベート署名用鍵は、 それらの有効期限を越えて使われていないこと」を確保するものとします。

特記事項：

1. 運用的手順もしくは技術的手順は、「TSUの鍵の期限が切れるとき、 新しい鍵が投入されること」を確保するために整備されているものとします。
2. 複製を含むTSUプライベート署名用の鍵、もしくは、あらゆる鍵の部分は、 そのプライベート鍵が取得できないように破壊されるものとします。
3. そのTST生成システムは、 その署名用のプライベート鍵の有効期限が切れた場合、 TSTを発行する、いかなる試みも棄却するものとします(SHALL)。

7.2.6. タイムスタンプ署名用の暗号モジュールのライフサイクル管理 English

TSAは、暗号技術的ハードウェアのセキュリティを、 そのライフサイクルを通じて確保するものとします。

特に、TSA は、下記の事項を確保するものとします。：

1. TSTに署名する暗号技術的ハードウェアは、出荷の過程において、 不正にいじられていないこと。
2. TSTに署名する暗号技術的ハードウェアは、 保管時に不正にいじられていないこと。
3. 暗号技術的ハードウェア中のTSUの署名用の鍵のインストール、 アクティベートおよび複製の作成は、少なくとも、 物理的にセキュア化された環境におけるデュアルコントロールを使って、 信用される役割を担う要員によってのみ行われるものとします。 (7.4.4節参照)
4. TSTに署名する暗号技術的ハードウェアは、正しく機能していること。
5. TSU暗号モジュール中に保存されたTSUの署名用プライベート鍵は、 デバイスの廃棄の際に消去されること。

7.3. タイムスタンピング English

7.3.1. タイムスタンプトークン English

TSAは、「TST がセキュアに発行され、 正しい時刻をもつこと」を確保するものとします。

特記事項：

1. そのTSTは、 「タイムスタンプポリシー」についての識別子を含むものとします。
2. 各TSTは、固有な識別子をもつものとします。
3. TSUがTST中に使う時刻の値は、 少なくともUTC(k)の「k研究所」によって配信される本当の時刻の値のひとつを追跡可能なものとします。

   注1：BIPM (Bureau International des Poids et Mesures)は、 世界中の国立計量機関や国立天文台にある原子時計の大きなアンサンブルから(求められる)現地版のUTC(k)に基づいて、 UTCを算出します。 BIPMは、UTCを、 その月例のCircular T [list 1] を通じて配布しています。 これは、BIPMのWebサイト (www.bipm.org) から入手可能であり、 これは、公式に認知されているUTC(k)時刻尺度をもつ、 それらすべての機関を識別します。

4. TST中に含まれる時刻は、 このポリシー中に定められた精度内で(そのTST自体の中で規定された精度がある場合、 その精度内で)UTCと同期化されるものとします。
5. タイムスタンププロバイダーの時計が、 記述された精度(7.1.2 e. 参照)から外れて検出される場合(7.3.2 c. 参照)、 TSTは、発行されないものとします。
6. TSTは、要求者によって提示されたように、 タイムスタンプされたデータの表現(例：ハッシュ値)を含むものとします。
7. TSTは、 完全にこの目的のために生成された鍵を使って署名されるものとします。

   注2：TSTについてのプロトコルは、RFC 3631に規定されており、 TS 101 861 [TS 101861] において、 その属性が示されています。

   注3：数多くのリクエストがほぼ同時にあった場合、 そのTSU時計の精度の時間内の順番は、強制されません。

8. TSTは、下記の事項を含むものとします。：
   • (適切である場合、そのTSAが設立された国の識別子)
   • TSAの識別子
   • タイムスタンプを発行するユニットの識別子

7.3.2. 時計をUTCに同期させる English

TSAは、「その時計が、宣言された正確さで、 UTCと同期していること」を確保するものとします。

特記事項：

1. TSU時計の時刻合わせは、その時計が、 宣言された精度から外れないように期待されるものとなるように維持管理されるものとします。
2. TSU時計は、その時計合わせを外部に行っている時計について、 検出されない変更をもたらす可能性がある脅威から防護されるものとします。

   注1：脅威には、 認可されていない要員による不正な変更(tampering)、 電波もしくは電子的なショックが含まれる可能性があります。

3. TSAは、「TST 中に示される時刻がUTCとの同期化からずれたり、 外れたりする場合、これが検知されること」を確保するものとします。 (7.3.1 e. も参照)

   注2：信頼者には、 そのようなイベントについて知らされることが要求されます。 (7.4.8節参照)

4. TSAは、「時計の同期化は、適切な主体によって通知されて、 うるう秒が発生するとき、維持管理されること」を確保するものとします。 うるう秒を考慮することに伴う変化は、 うるう秒が発生する予定であるとき、 その日の最後の分(minute)に発生するものとします。 記録は、この変更が発生したとき、 正確な時刻を(宣言された精度内で)維持管理されるものとします。 (詳細については、補遺A参照)

   注3：うるう秒は、秒を飛ばしたり、 追加的な秒をUTC月の最後の秒に加えることによるUTCについての微調整です。 第1候補は、12月末と6月末とされており、 第2候補は、3月末と9月末とされています。

7.4. TSA管理と運用 English

7.4.1. セキュリティマネジメント English

TSAは、「適用される運用管理手順と管理手順が、適切であり、 認識されているベストプラクティスに対応するものであること」を確保するものとします。

特記事項：

TSA一般

1. TSAは、そのタイムスタンプポリシーの範囲内において、 機能が再請負先にアウトソーシングされているか否かに関わらず、 すべての局面におけるタイムスタンピングサービスの規定についての責任を保持するものとします。 第三者の責任は、そのTSAによって、明確に規定されるものとし、 「第三者は、そのTSAによって要求される、 あらゆるコントロールを実施しなければならない」ことを確保するために行われる適切な協定が行われます。 TSAは、 すべての主体の関連する実践の開示についての責任を保持するものとします。
2. TSA管理は、 そのTSAの情報セキュリティポリシーを規定することに責任を負う、 適切な上層部の運用フォーラムを通じて、 情報セキュリティについての方向付けを提供するものとします。 そのTSAは、このポリシーを、 これによって影響を受けるすべての従業員に対して発行することと意思疎通を確保するものとします。
3. TSA内のセキュリティを管理するために必要不可欠な情報セキュリティインフラストラクチャは、 常に維持管理されるものとします。 提供されるセキュリティのレベルに影響を与えるあらゆる変更は、 TSA管理フォーラムによって承認されるものとします。

   注1：情報セキュリティインフラストラクチャ、 経営管理者層の情報セキュリティフォーラムおよび情報セキュリティポリシーを含む情報セキュリティマネジメントについてのガイダンスについては、 ISO/IEC 17799 [ISO 17799] を参照。

4. タイムスタンピングサービスを提供するTSA施設、 システムおよび情報資産についてのセキュリティコントロールおよび運用手順は、 文書化され、実施され、保守されるものとします。

   注2：(通常、システムセキュリティポリシー、もしくは、 マニュアルと呼ばれる)本書は、提供されるサービスと、 7.1.1 a. のもとで要求されるリスクアセスメントと整合する、 それらの脅威による影響を避けたり、 制限するために要求される対策に関する、すべての関連する標的、 対象および潜在的な脅威を識別する必要があります。 これは、「どのように、規定されたサービスと、 関連するセキュリティ保証が、 インシデントや災害についてのポリシー以外に認められているか？」に関するルール、 指令および手順を記述する必要があります。

5. TSAは、「情報のセキュリティは、TSAの機能についての責任が、 その他の組織体もしくは主体にアウトソーシングされているとき、 維持管理されること」を確保するものとします。

7.4.2. 資産の区分と管理 English

TSAは、 「その情報と他の資産が適切なレベルの防護を受けること」を確保するものとします。

特記事項：

• TSAは、すべての資産のインベントリを維持管理するものとし、 それらの資産についての防護要件に、 リスク分析と整合するように区分を割り当てるものとします。

7.4.3. 要員についてのセキュリティ English

TSAは、「要員と採用の実務は、 そのTSAの運用についての信用可能性を向上し支援すること」を確保するものとします。

特記事項(TSA一般)：

1. TSAは、提示されたサービスに必要不可欠であり、その職務に適切な、 卓越した知識・経験・資格を保持する要員を雇うものとします。

   注1：TSA要員は、公式な訓練やクレデンシャル、実経験、 もしくは、この両者の組み合わせを通じて、 「卓越した知識、 経験および資格」の要件を満たすことができる必要があります。

   注2：TSAによって雇用されている要員は、 そのTSAのタイムスタンピングサービスのサポートを行うことについて、 契約によって参画している個々の要員を含みます。 TSAサービスの監視に参画する可能性がある要員は、 TSA要員でない必要があります。

2. TSAのセキュリティポリシー内に規定されているように、 セキュリティの役割と責任は、業務規定中に文書化されるものとします。 そのTSAの運用のセキュリティが依拠する「信用される役割」は、 明確に識別されるものとします。
3. TSA要員(一時的なスタッフと長期雇用のスタッフの両方)は、 職務の分割や最小特権の観点から職務規程が定められ、 義務とアクセスレベルに基づく職位の決定、経歴による選考、および、 従業員の訓練と啓発を行うものとします。 適切であれば、これらは、 一般的な機能とTSA固有の機能を区別するものとします。 これらは、スキルと職務経験についての要件を含むものとします。
4. 要員は、そのTSAの情報セキュリティマネジメント手順に沿った運用管理的、 管理手順および手順を実施するものとします。 (7.4.1節参照)

   注3：ガイダンスについては、 ISO/IEC 17799 [ISO 17799] を参照。

下記の追加的コントロールが、 タイムスタンピング管理に適用されるものとします。：

5. 管理者層としては、下記の事項をもつ者が雇われるものとします。：
   • タイムスタンピング技術の知識
   • デジタル署名技術の知識
   • TSU時計のUTC時間への時刻合わせ、もしくは同期化のためのメカニズムの知識
   • セキュリティについての責任を負う要員についてのセキュリティ手順に親しんでいること
   • 情報セキュリティとリスク評価についての経験
6. 「信用される役割」において、そのTSAの運用の公正さについて、 偏見を持つ可能性がある、すべてのTSA要員は、 利害対立の影響を受けないものとします。
7. 「信用される役割」は、下記の責任を伴う役割を含みます。：

   セキュリティオフィサー：

   セキュリティ実践の実施を運用管理することについての全体責任を負う。

   システム運用管理者：

   TSAにタイムスタンピング管理のための信用に値するシステムをインストールし、設定し、保守することを認可されている。

   システム運用者：

   日々、TSAの信用に値するシステムを運用することについて責任を負う。 システムのバックアップと復旧を行うことを認可されている。

   システム監査人：

   TSAの信用に値するシステムのアーカイブや監査ログを見ることが認可されている。

8. TSA要員は、セキュリティについて責任を負う上級管理者によって、 「信用される役割」に、公式に指名されるものとします。
9. TSAは、 「信用される役割」もしくは管理職に適任であるかに影響するような深刻な犯罪もしくは他の加害についての前科があることが知られている者は、 いかなる人物も任命しないものとします。 要員は、あらゆる必要不可欠なチェックが完了するまで、 「信用される機能」に対するアクセス権をもたないものとします。

   注4：国によっては、TSAが、 その従業員候補と協働することなく、 前科についての情報を取得することは、不可能である可能性があります。

7.4.4. 物理的セキュリティと環境的セキュリティ English

TSAは、「重要度の高いサービスへの物理的アクセスは、 コントロールされており、その資産に対する物理的リスクが、 最小化されること」を確保するものとします。

特記事項(一般)：

1. タイムスタンピング規定とタイムスタンピング管理の両方について：
   • タイムスタンピングサービスに関する施設に対する物理的アクセスは、 正しく認可された個人に限定されるものとします。
   • 各コントロールは、資産の損失、被害および侵害と、 事業活動の中断を避けるために実施されるものとします。
   • 各コントロールは、 情報や情報処理設備の侵害もしくは盗難を避けるために実施されるものとします。
2. アクセスコントロールは、 7.2.1節と7.2.2節において識別されているように、 暗号モジュールが、 そのセキュリティ要件に適合するように提供されるものとします。
3. 下記の追加的コントロールが、 タイムスタンピング管理に適用されるものとします。：
   • タイムスタンピング管理設備は、 そのサービスをシステム／データに対する認可されていないアクセスによる侵害から物理的に防護する環境において運用されるものとします。
   • 物理的防護は、 タイムスタンピング管理の周囲に明確に定められたセキュリティ境界(すなわち、 物理的バリア)を設置することを通じて達成されるものとします。 他の組織体と共有される資源(premises)のあらゆる部分は、 この境界の外部にあるものとします。
   • 物理的セキュリティコントロールおよび環境的セキュリティコントロールは、 システム資源を設置する施設、そのシステム資源自体、および、 それらの運用をサポートするために使われる施設を防護するために実施されるものとします。 TSAのタイムスタンピング管理に関するシステムについての物理的セキュリティポリシーと環境的セキュリティポリシーは、 最低限、物理的アクセスコントロール、自然災害からの防護、 火災安全の要素、公共インフラのサービス(例：電力、 電信電話)の失敗、建造物の崩壊、配管の漏洩、盗難からの防護、 破って入ること、および災害復旧に対応するものとします。
   • 各コントロールは、 「そのタイムスタンピングサービスに関する機器、情報、 メディアおよびソフトウェアが認可無しに持ち出されること」から防護するために実施されるものとします。

   注1：物理的セキュリティと環境的セキュリティについてのガイダンスとしては、 ISO/IEC 17799 [ISO 17799] を参照。

   注2：他の機能が、 そのアクセスが認可された要員に制限される場合、 セキュア化された同じ空間において、サポートされる可能性があります。

7.4.5. 運用の管理 English

TSAは、「TSAシステムコンポーネントは、セキュア化されており、 最小の失敗のリスクで正しく運用されること」を確保するものとします。：

特記事項(一般)：

1. TSAシステムコンポーネントと情報のインテグリティは、 ウイルス・「悪意あるソフトウェア」・「認可されていないソフトウェア」から防護されるものとします。
2. インシデントの報告と対応の手順は、 「セキュリティインシデントや誤動作から被害が最小化される」ようなやり方で採用されるものとします。
3. TSAの信用に値するシステムにおいて使われるメディアは、 メディアを被害、盗難、認可されていないアクセス、および、 老朽化から防ぐために、セキュアに取り扱われるものとします。

   注1：管理責任をもつ要員の全員は、 「TSA実施規定」中に文書化されているように、 「タイムスタンプポリシー」と、 その関連実践の計画立案と効果的な実施に責任を負います。

4. 手順は、タイムスタンピングサービスの規定に影響を与える、 すべての信用される運用管理的な役割について、確立され、 実施されるものとします。

メディアの取扱いとセキュリティ

5. すべてのメディアは、 情報の区分管理スキームの要件に準拠してセキュアに扱われるものとします (7.4.2節参照)。 取り扱いに注意を要するデータを格納するメディアは、 もはや不要となったとき、セキュアに廃棄されるものとします。

システム計画

6. 要求される容量が監視されるものとし、 将来の容量の要件についての推定は、 「適切な処理能力とストレージが利用可能であること」を確保するものとします。

インシデントについての報告と対応

7. TSAは、インシデントに迅速に対応し、 セキュリティの侵害の影響を限定するために、 適時に調整的な作法で行動するものとします。 すべてのインシデントは、そのインシデント後、 遅滞なく報告されるものとします。

下記の追加的コントロールが、 タイムスタンピング管理に適用されるものとします。：

運用手順と責任

8. TSA のセキュリティ運用は、他の運用からは分離されているものとします。

   注2：TSAセキュリティ運用の責任は、下記の事項を含みます。：

   • 運用的な手順と責任
   • セキュアシステムの計画立案と了承
   • 悪意あるソフトウェアからの防護
   • 日々の運用
   • ネットワーク管理
   • 監査ジャーナルの監視、イベント分析およびフォローアップ
   • メディアの取扱いとセキュリティ
   • データやソフトウェアの交換

これらの運用は、 TSAの信用される要員によって管理されるものとしますが、 適切なセキュリティポリシーや、 役割と責任についての文書中において規定されるように、 (監督の下で)非専門家、 運用要員によって実際に行われる可能性があります。

7.4.6. システムへのアクセスの管理 English

TSAは、「TSAシステムアクセスが、 正しく認可された個人に制限されること」を確保するものとします。

特記事項(一般)：

1. コントロール(例：ファイアウォール)は、 (加入者や第三者によるアクセスを含む)認可されていないアクセスからTSAの内部ネットワークドメインを防護するために実装されるものとします。

   注1：ファイアウォールは、そのTSAの運用に不要な、 すべてのプロトコルやアクセスを防ぐためにも設定される必要があります。

2. TSAは、 システムセキュリティを維持管理するためのユーザ(これは、運用者、 運用管理者および監査人を含む)のアクセス、ユーザアカウントの管理、 監査、および、適時なアクセス権限の変更と削除を含む、 効果的な運用管理を確保するものとします。
3. TSAは、「情報やアプリケーションシステム機能へのアクセスは、 セキュリティ運用管理者と運用機能の分離を含むアクセスコントロールポリシーに従って制限されていること」および「そのTSAシステムがTSAの実践の中で識別された『信用される役割』の分離のために十分なコンピュータセキュリティコントロールを提供すること」を確保するものとします。 特に、システムユーティリティプログラムの利用は、制限され、 厳密にコントロールされます。
4. TSA要員は、 タイムスタンピングに関する重要性の高いアプリケーションを使う前に、 正しく識別され、本人認証されるものとします。
5. TSA要員は、例えば、イベントログを保持することによって、 自らの活動について、説明可能であるものとします。 (7.4.10節参照)

下記の追加的コントロールが、 タイムスタンピング管理に適用されるものとします。：

6. TSAは、「ローカルなネットワークコンポーネント(例：ルーター)が、 物理的にセキュアな環境にあること」と、「それらの設定は、 そのTSAによって規定された要件への準拠性について、 定期的に監査されること」を確保するものとします。
7. TSAが、その資源に対するあらゆる認可されていない、かつ／または、 不規則なアクセスの試みについて、 適時に検知・登録・対応することを可能にするために、 継続的な監視と警報の設備が提供されるものとします。

   注2：これは、例えば、侵入検知システム、 アクセスコントロールの監視と警報の設備を使う可能性があります。

7.4.7. 信用に値するシステムの配備と保守 English

TSAは、 変更に対して防護されている信頼に値するシステムや製品を使うものとします。

注：TSAのサービス(7.1.1節参照)について行われるリスク分析は、 信用に値するシステムを要する重要度の高いサービスと、 要求される保証のレベルを識別するものとします。

特記事項：

1. セキュリティ要件の分析は、 「セキュリティがITシステム中に組み込まれていること」を確保するために、 当該TSA、もしくは、 そのTSAの代理によって行われるあらゆるシステム開発プロジェクトの設計と要件定義の段階において、 実行されるものとします。
2. 変更コントロール手順は、あらゆる運用用のソフトウェアのリリース、 変更、および、緊急のソフトウェア問題修正に適用されるものとします。

7.4.8. TSAサービスの侵害 English

TSAは、 そのTSAのサービスのセキュリティに影響を与えるイベントが起きた場合、 その関連情報を加入者や信頼者が入手できるようにすることを確保するものとします。 (このイベントは、TSUの署名用のプライベート鍵の危殆化、もしくは、 検出された時刻合わせの失敗を含みます。)

特記事項：

1. TSAの災害復旧計画は、 TSUのプライベート署名用の鍵の侵害／侵害の懸念、もしくは、 既発行のTSTに影響を与える可能性があるTSU時計の時刻合わせの失敗に対応するものとします。
2. 侵害／侵害の疑惑／時刻合わせの失敗が発生した場合、 そのTSAは、すべての加入者と信頼者宛てに、 発生した侵害の記述を入手可能にするものとします。
3. TSUの運用に対する侵害(例：TSU鍵の危殆化)、侵害の疑い、もしくは、 時刻合わせの失敗があった場合、そのTSUは、 侵害からの復旧手順が行われるまで、TST を発行しないものとします。
4. そのTSAの運用に重大な侵害があった場合、もしくは、 推測できない事態になった場合、そのTSAは、可能であれば、 影響を受けた可能性があるTSTを識別するために使える情報を、(これが、 そのTSAユーザのプライバシ、もしくは、 そのTSAサービスのセキュリティを侵害しない限り)すべての加入者と信頼者情報が入手できるようにするものとします。

   注：そのプライベート鍵が侵害された場合、 そのTSAによって生成されたすべてのトークンの監査証跡は、 本物のトークンと偽の日付を遡ったトークンを区別する手段を提供する可能性があります。 2つの異なるTSAからの2つのTSTは、 この論点に対応する別の方法である可能性があります。

7.4.9. TSAの廃業 English

TSAは、 そのTSAのタイムスタンピングサービスの停止の結果として想定される加入者と信頼者に対する混乱を最小化するものとし、特に、 TSTの正しさを検証するために要求される情報の継続的な維持管理を確保します。

特記事項：

1. TSAが、そのタイムスタンピングサービスを廃業する前に、最低限、 下記の手順が実行されるものとします。：
   • TSAは、すべての加入者と信頼者が、 その廃業関する情報を入手可能にするものとします。
   • TSAは、 すべての再委託者がTSTを発行する過程に関するあらゆる機能を行う際に、 TSAの代理としてふるまうことの認証を終結させるものとします。
   • TSAは、 TSAの正しい運用を実証するために必要不可欠なベントログと監査のアーカイブ (記録：(7.4.10節参照)を合理的な期間、 維持管理することについて、 信頼できる主体に義務を移転するものとします。
   • TSAは、合理的な期間、 信頼者が公開鍵もしくはその証明書を入手できるようにするために、 その義務を維持管理する、もしくは、 信頼できる者に移転するものとします。
   • バックアップ用の複製を含むTSUのプライベート鍵は、 プライベート鍵が再取得できないような作法で破壊されるものとします。
2. TSAは、破産した場合、あるいは、他の理由によって、 自身では費用をまかなえない場合、 これらの最低限の要件を満たすための費用を扱う協定をもつものとします。
3. TSAは、その実施(規定)中に、 サービスの廃業についての規定を言明するものとします。 これは、下記の事項を含むものとします。：
   • 影響を受ける者に通知すること
   • 他の主体にTSAの義務を移転すること
4. TSAは、そのTSU の証明書が失効されるようにする手続を行うものとします。

7.4.10. 法的要件への準拠性 English

TSAは、法的要件への準拠性を確保するものとします。

特記事項：

1. TSAは、「国内法を通じて施行されている "European Data protection Directive" [Dir 95/46/EC] の要件に適合すること」を確保するものとします。
2. 適切な技術的な手段と、組織論的な手段が、 パーソナルなデータについての認可されていない処理／非合法な処理や、 パーソナルなデータの偶発的な損失／破壊、もしくは、 パーソナルなデータの被害に対して講じられるものとします。
3. ユーザによって TSA宛に与えられた情報は、彼らの契約、もしくは、 裁判所の命令か他の法的要件によらない限り、 開示から完全に防護されるものとします。

7.4.11. タイムスタンピングサービスの運用に関する情報の記録 English

TSAは、「タイムスタンピングサービスの運用に関するすべての関連情報は、 規定された期間にわたって、(特に、 法的手順の目的のために)証拠を提供する目的のために記録されること」を確保するものとします。

特記事項：

一般

1. 記録されるべき具体的なイベントやデータは、 そのTSAによって文書化されるものとします。
2. タイムスタンピングサービスの運用に関する現在と過去の記録の守秘性とインテグリティは、 維持管理されるものとします。
3. タイムスタンピングサービスの運用に関する記録は、 開示されているビジネス実践に準拠して、 完全かつ守秘性を確保して保管されるものとします。
4. タイムスタンピングサービスの運用に関する記録は、 法的手続の目的のために、 当該タイムスタンピングサービスの正常な運用についての証拠を提供する目的で要求された場合、 入手可能にされるものとします。
5. 顕著なTSA環境的イベント、 鍵管理イベントおよび時刻の同期化イベントの詳細な時刻は、 記録されるものとします。
6. タイムスタンピングサービスに関する記録は、 必要不可欠な法的証拠を提供するのに適切な限り、 「TSA開示規定」において通知されているように、 そのTSUの署名用の鍵の有効期間の期限切れ後の一定期間、 保持されるものとします。(7.1.2節参照)
7. そのイベントは、 (信頼できる長期保存用メディアに転送されている場合を除いて)保存することが要求されている期間、 簡単には削除／破壊できない作法で、ログに記録されるものとします。

   注：これは、例えば、「焼く」メディアの利用、 使われた各リムーバルメディアの記録、および、 サイト外におけるバックアップの利用によって達成される可能性があります。

8. 加入者について記録されたあらゆる情報は、その加入者から、 そのより広い発行について同意が得られている場合を除いて、 機密に保たれるものとします。

TSU鍵の管理

9. TSU鍵のライフサイクルにおける、すべてのイベントに関する記録は、 ログに記録されるものとします。
10. (適切な場合、TSU証明書のライフサイクルに関する、 すべてのイベントに関する記録は、記録されるものとします。)

時計の同期化

11. UTCへのTSUの時計の同期化に関するすべてのイベントに関する記録は、 ログに記録されるものとします。 これは、タ イムスタンピングに使われる時計の通常の時刻の再合わせもしくは同期化に関する情報を含むものとします。
12. 非同期の検出に関するすべてのイベントに関する記録は、 ログに記録されるものとします。

7.5. 組織論 English

TSAは、「その組織体が信頼可能であること」を確保するものとします。

特記事項：

1. TSAが運用時に従うポリシーおよび手順は、非差別的なものとします。
2. TSAは、宣言された運用範囲内に収まる活動をしており、かつ、 その「TSA開示規定」に規定された義務を負うことに合意する、 すべての希望者がそのサービスにアクセスできるようにするものとします。
3. TSAは、国内法に準拠する法人です。
4. TSAは、 提供しているタイムスタンピングサービスのために適切な品質と情報セキュリティマネジメントのためのシステムをもちます。
5. TSAは、その運用、および／または、 活動に起因する法的義務を扱うために、適切な契約をもちます。
6. TSAは、財務的健全性と、 このポリシーに準拠して運用するために要求される資源をもちます。

   注1：これは、 7.4.9節において識別されたTSAの廃業についての要件を含みます。

7. TSAは、 タイムスタンピングサービスを提供するために必要不可欠な作業の種類・範囲・量に関して必要不可欠な教育、 訓練、技術的な知識および経験をもつ十分な人数の要員を雇用します。

   注2：TSAによって雇用される要員には、 そのTSAのタイムスタンピングサービスのサポートを行うことについて、 契約によって参画している個々の要員が含まれます。 そのTSAサービスの監視にのみ参画する可能性がある要員は、 TSA要員である必要があります。

8. TSAは、そのタイムスタンピングサービスの規定、もしくは、 他のあらゆる関連事項について、 顧客もしくは他の主体から受け取る苦情や争議の解決についてのポリシーと手順をもちます。
9. TSAは、正しく文書化された合意や契約的な関係を整備します。 これらにおいて、サービスの規定は、再請負、 アウトソーシングもしくは他の第三者との協定を含みます。

8. セキュリティについての考慮事項 English

TSTを検証するとき、その検証者が「そのTSU証明書は、信用されており、 失効されていないこと」を確認することが必要不可欠です。 これは、「セキュリティは、証明書の発行と、 その証明書についての正確な失効状態情報を提供することの両方について、 そのTSU証明書を発行したCAのセキュリティに依存すること」を意味します。

タイムスタンプがある時点において妥当であると検証されるとき、これは、 「必ずしも、以降も有効であり続けること」を意味するものではありません。 毎回、TSTは、そのTSU証明書の有効期間の間、検証され、これは、 現在の失効状態情報に照らして、再度、検証されねばなりません。 なぜなら、TSUプライベート鍵が侵されてしまった場合、 そのTSUによって生成された、すべてのTSTは、無効になるからです。 補遺Cは、 TSTの長期的検証についてのガイダンスを提供します。

タイムスタンピングをアプリケーションに適用する際に、 そのアプリケーションのセキュリティについても考慮される必要があります。 特に、タイムスタンプを適用するとき、 「データのインテグリティは、 そのタイムスタンプがなされる前に維持管理されてること」を確認することが必要不可欠です。 その要求者は、 「そのTST中に含まれたハッシュ値がそのデータのハッシュと一致すること」を本当に確認すべきです。

9. 謝辞 English

本書の策定は、ETSIとEU (European Union)によって支援されました。 価値ある情報を提供してくださったFranco Ruggieri氏には、 特別に感謝しています。

10. 参考文献

10.1. 規範的参考文献

10.2. 参考資料

補遺A (参考資料)： UTC (Coordinated Universal Time) English

UTC (Coordinated Universal Time)は、 1972年1月1日に施行された国際的な時刻標準です。 UTCは、GMT (Greenwich Mean Time)を置き換えました。 しかし、実際には、両者は、決して1秒以上離れることはありません。 それゆえ、多くの人々は、実際にはUTCを指すときも、 GMTと呼び続けています。

UTCのゼロ(0)時は、 経度0に位置するイギリスのグリニッジにおける真夜中です。 Universal timeは、24時間時計に基づいています。 それゆえ、UTCの午後4時のような午後の時刻は、 16:00 UTC(16時0分)のように表現されます。

TAI (International Atomic Time)は、 世界中の30ヵ国以上の計量機関や天文台にある200以上の原子時計の読みとりから BIPM (Bureau International des Poids et Mesures)によって算出されます。 TAIについての情報は、 BIPM Circular T (ftp://62.161.69.5/pub/tai/publication)から、毎月、 入手可能になっています。 これは、「TAIは、仮想の完全な時計に基づいて、年に、 およそ1マイクロ秒(0.0000001秒)の10分の1以上は増減しない」というものです。

UTC (Coordinated Universal Time)： ITU-R (International Telecommunications Radio Committee)によって規定・推奨され、 BIPM (Bureau International des Poids et Mesures)によって維持管理されているように、秒単位の時間の尺度。 BIPM による維持管理は、世界中の様々な国立研究所間の協力を含みます。 UTCの完全な定義は、ITU-R Recommendation TF.460-4 にあります。

原子時は、セシウム133原子の基底状態(ground state)の2つの超微細レベル間の遷移にともない放出される光の振動周期の9,192,631,770倍を1秒と定めます。 TAIは、「国際的な原子時の尺度」であり、 数多くの原子時計に基づく固定的な時間の尺度です。

UT (Universal Time)は、地球の自転における変動に関わらず、 できるだけ均等となるように規定されており、 平均太陽日の持続期間をもつ単位で、真夜中の0時から刻まれます。

• UT0は、特定の観測点における論理的時刻です。 これは、星や、 宇宙からの電波源についての日周の変化として観察されます。
• UT1は、観測点の経度における自転軸の動き(polar motion)の影響について、 UT0を修正することによって算出されます。 これは、地球の自転の不規則性に起因する不均等によって変動します。 UT1は、不規則な地球の自転に基づきます。 論理的な不規則性は、通常、地球の平均自転速度の減速や、 UT1のUTCとの誤差の発生をもたらします。

UTC (Coordinated Universal Time)は、 国際的な時刻の維持についての基礎であり、 2001年における32秒のみを例外として、TAIに従います。 これらの「うるう秒」は、IERS ((International Earth Rotation Servive)の勧告(http://hpiers.obspm.fr/)に則って、 「不規則性を考慮したとき、グリニッジの子午線上において、太陽が、 12:00:00 UTCの誤差0.9秒以内に真上にあること」を確保するように挿入されます。 それゆえ、UTCは、時刻のユニットが平均太陽日であったときに使われた GMT (Greenwich Mean Time)の後継です。

原子時の尺度への微調整(すなわち、UTC)は、 (「うるう秒」と呼ばれる)1秒を折にふれて追加／削除することによって行われます。 年に2回、6月30日と12月31日の最後の分(minute)に、UTは、 「積もったUTCとUT1間の差異は、 次に予定された微調整の前に0.9秒を越えないこと」を確保するために、 微調整が行われる可能性があります。 経緯的に、微調整は、それが必要不可欠なとき、通常、 地球の自転が追いつくことを認めるためのUTC時刻尺度への秒の追加でした。 それゆえ、微調整が行われる日のUTC時刻尺度の最後の分(minute)は、61秒、 もちます。 微調整日は、典型的には、数ヶ月前にIERS Bulletin C：(ftp://hpiers.obspm.fr/iers/bul/bulc/bulletinc.dat)においてアナウンスされます。

それゆえ、UTC (Coordinated Universal Time)は、TAIと整数秒だけ違います。 UTCは、1秒(「うるう秒」)の導入によって、UT1の0.9秒以内に保たれます。 今日、これらの手順は、常に行われてきました。

補遺B(参考資料)：実装アーキテクチャとタイムスタンピングサービスについて可能な事項 English

B.1. 管理されたタイムスタンピングサービス English

組織体によっては、 これらのTSUの導入・運用・管理について責任を負うことなく、 そのタイムスタンピングサービスの近接性と品質の両方の優位性を活用するために、 ひとつ(もしくは複数の)TSUを運用することを望んでいる可能性があります。

これは、運用している組織体(Hosting Organization)の構内に導入されているユニットを使って、 運用している組織体に提供されるサービスの品質の全体について責任を負うTSAによって遠隔から管理されることによって達成されます。

  +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  +                                                                   +
  +                      Time-Stamping Authority                      +
  +_____________              _____________              _____________+
 |+ __________  |            |             |            |  __________ +|
 |+|          | |            |    Time -   |            | |          |+|
 |+|   Time - |<-------------|   Stamping  |------------->|   Time - |+|
 |+| Stamping | | Install.   |  Management | Install.   | | Stamping |+|
 |+|   Unit   | | Management |             | Management | |   Unit   |+|
 |+|__________| |            |_____________|            | |__________|+|
 |+             |                                       |             +|
 |+             |                                       |             +|
 |+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++|
 |   Hosting    |                                       |   Hosting    |
 | Organization |                                       | Organization |
 |______________|                                       |______________|

図 B.1： 管理されたタイムスタンピングサービス

本書に記述されているタイムスタンピングサービスについての要件は、 タイムスタンピング管理についての要件と、 そのTSTを発行するユニットの運用についての要件の両方を含みます。 TSAは、TSTにおいて識別されるように、「(例えば、 契約的な義務を通じて)これらの要件に適合すること」を確保するために責任を負います。 「運用する組織体は、通常、そのサービスの利用を監視できることを望み、 少なくとも、 『そのサービスが機能しているか否か？』および『そのサービスのパフォーマンスさえも測定できること』を知っていること」が明確である必要があります。 (例：一定期間に生成されたタイムスタンプの数。) このような監視は、TSAの外部にあると考えられます。

それゆえ、その文書の本文に記述された管理操作の記述は、 限定列挙ではありません。 監視操作は、そのユニット上で直接、行われた場合、 そのタイムスタンピングサービスプロバイダーによって許可される可能性があります。

B.2. 品質を代替する特徴の選択 English

信頼者には、特定の署名アルゴリズムおよび／または鍵長、もしくは、 そのTST中に含まれる時刻についての一定の精度のような、 TSTの特定の特徴を活用することを望む者がいる可能性があります。 これらのパラメータは、 TSTについての「品質」を規定するものと見なすことができます。

様々な品質をもつTSTは、 同一のTSAもしくは異なるTSAによって運用される異なる TSU によって発行される可能性があります。

特定のTSUは、アルゴリズムと鍵長のひとつの組み合わせのみを提供します。 (なぜなら、TSUは、ひとつのユニットとして管理され、 ひとつのTST署名用の鍵をもつハードウェアとソフトウェアの集合であるからです。) アルゴリズムと鍵長の異なる組み合わせを得るために、 異なるTSU が使われるものとします。

特定のTSUは、特定のアクセス方法(例：e-mailもしくはhttp)によって行う場合、 あるいは、 リクエスト中に特定のパラメータを使うことによって命令されている場合、 そのTSTに含まれている時刻について、 固定値の精度もしくは異なる精度を提供する可能性があります。

補遺C (参考資料)：タイムスタンプトークンについての長期的検証 English

通常、TSTは、TSUからの証明書の有効期間の期限以降、検証不能になります。 なぜならば、その証明書を発行したCAは、もはや、 失効データ(鍵の危殆化に起因する失効についてのデータを含む)を発行することを保証しないからです。 しかし、TSTの検証は、そのTSUからの証明書の有効期限以降も、 検証時に下記の事項を検証できる場合、行われる可能性があります。：

• TSUのプライベート鍵は、常に、 信頼者がTSTを検証する時点までに侵されていないこと。
• 検証時に衝突することがない、TSTに使われるハッシュアルゴリズム。
• そのTSTを署名した署名アルゴリズムと、署名鍵の長さは、 検証時点における暗号技術的攻撃の可能性を越えていること。

これらの条件に適合しない場合、その有効性は、 以前のタイムスタンプのインテグリティを防護するために、 追加的なタイムスタンプを適用することによって維持管理される可能性があります。

本書は、「どのように、 このような防護が得られる可能性があるか？」の詳細を規定しません。 当面、これらの機能をサポートするための何らかの拡張が規定されるまで、 その情報は、オフラインの手段を使うか、あるいは、代わりに、 閉じた環境において得られる可能性があります。 一例として、万一、あるCAが、その有効期限以降も、 そのTSU証明書の有効期間、 維持管理することを保証する場合、 これは、最初の要件を満たします。

注1：タイムスタンピングについての代替案のひとつは、 信用されるサービスプロバイダーが、 監査証跡中の特定の時刻におけるデータの再現を記録することであり、 それゆえ、「そのデータは、 その時点以前に存在した」という証拠を確立することになります。 (タイムマーキングと呼ばれる)このテクニックは、 署名の長期的有効性をチェックすることについて、 価値ある代替案である可能性があります。

注2：TSAもしくは他の信用される第三者としてのサービスプロバイダーは、 TSTの検証をサポートする可能性があります。

補遺D (参考資料)：TSA 開示規定の構成のモデル English

「TSA開示規定」は、定義された各言明の種別についての章をもちます。 「TSA開示規定」の各章は、網羅的な言明を含みます。 これは、関連する証明書ポリシー／認証実施規定の章へのハイパーリンクを含む可能性があります(MAY)。

D.1. STATEMENT TYPE：契約の全体

STATEMENT DESCRIPTION：
「開示規定は、契約の全体ではなく、 その一部に過ぎないこと」を示す言明

D.2. STATEMENT TYPE：TSA連絡先情報

STATEMENT DESCRIPTION：
TSAについての名前、所在地および関連する連絡先情報

D.3. STATEMENT TYPE：TSTの種別と用途

STATEMENT DESCRIPTION：
TSAによって、 (各タイムスタンプポリシーに準拠して)発行されたTSTの各クラスもしくは各種類についての記述、 および、タイムスタンプ用途についてのあらゆる制限。

SPECIFIC REQUIREMENT：
適用されているポリシーの表示。 何に、そのTSTは、使えるか？(例：電子署名用のみ)について、 そのハッシュアルゴリズム、TSTの署名について想定される有効期間、 TSTの利用についてのあらゆる制限、および「どのように、 TSTを検証するか？」についての情報を含む。

D.4. STATEMENT TYPE：信頼の制約

STATEMENT DESCRIPTION：
(存在する場合、信頼の制約)

SPECIFIC REQUIREMENT：
TST中の時刻の精度の表示、 TSAイベントログ (7.4.10節参照) が維持管理される期間
(および、それゆえ、証拠を提供可能な期間)

D.5. STATEMENT TYPE：加入者の義務

STATEMENT DESCRIPTION：
重要な加入者の義務についての記述、もしくは、それに対する参照

SPECIFIC REQUIREMENT：
本書において、具体的な要件は、識別されていません。 適用可能な限り、TSAは、追加的義務を規定することができます。

D.6. STATEMENT TYPE：信頼者がTSU公開鍵の状態をチェックする義務

STATEMENT DESCRIPTION：
信頼者がTSU公開鍵の状態をチェックし、 さらなる説明を参照する義務を負う程度

SPECIFIC REQUIREMENT：
「どのように、TSU公開鍵の状態を検証するか？」についての情報
信頼者が、そのTSTに「合理的に信頼している」といえるようなTSU公開鍵の失効状態をチェックするための要件を含む。(6.3節参照)

D.7. STATEMENT TYPE：制限された保証および免責／責任の制限

STATEMENT DESCRIPTION：
保証、免責事項、責任の制限、および、 あらゆる適用可能な保証プログラム／保険プログラムの要約

SPECIFIC REQUIREMENT：
責任の制限(6.4節参照)

D.8. STATEMENT TYPE：適用可能な契約および実施規定

STATEMENT DESCRIPTION：
適用可能な契約、実施規定、 タイムスタンプポリシーおよび他の関連文書の識別と、それらへの参照

D.9. STATEMENT TYPE：プライバシーポリシー

STATEMENT DESCRIPTION：
適用可能なプライバシーポリシーについての記述、および、 適用可能なプライバシーポリシーへの参照

SPECIFIC REQUIREMENT：
注：このポリシーに従うTSAは、 データ保護規制の要件に準拠することが要求されます。

D.10. STATEMENT TYPE：払い戻しのポリシー

STATEMENT DESCRIPTION：
適用可能な払い戻しのポリシーについての記述、および、参照

D.11. STATEMENT TYPE：適用可能な法、苦情や争議の解決機構

STATEMENT DESCRIPTION：
法、苦情の手順および争議の解決機構の選択についての言明

SPECIFIC REQUIREMENT：
苦情や争議の解決についての手順。適用可能な法的システム

D.12. STATEMENT TYPE：TSAとリポジトリの免許、信用マークおよび監査

STATEMENT DESCRIPTION：
あらゆる国家免許やシールプログラムの要約、および、 監査手順の記述と、監査法人が利用可能な場合はその旨

SPECIFIC REQUIREMENT：
TSAが識別されたタイムスタンプポリシーに準拠していると評価されているか否か？(その場合、どの独立主体によるか？)

著者のアドレス

Denis Pinkas
Bull
Rue Jean Jaures,
78340 Les Clayes CEDEX
FRANCE

EMail： Denis.Pinkas＠bull.net

Nick Pope
Security & Standards
192 Moulsham Street
Chelmsford, Essex
CM2 0LG
United Kingdom

EMail： pope＠secstan.com

John Ross
Security & Standards
192 Moulsham Street
Chelmsford, Essex
CM2 0LG
United Kingdom

EMail： ross＠secstan.com

この情報提供RFCは、ETSI ESIにおいて策定されました。

ETSI
F-06921 Sophia Antipolis, Cedex - FRANCE
650 Route des Lucioles - Sophia Antipolis
Valbonne - France
Tel：+33 4 92 94 42 00  Fax：+33 4 93 65 47 16
secretariat＠etsi.fr
http://www.etsi.org

連絡先

Claire d'Esclercs
ETSI
650 Route des Lucioles
F-06921 Sophia Antipolis, Cedex
FRANCE

EMail：claire.desclercs＠etsi.org

翻訳者のアドレス

宮川 寧夫
独立行政法人 情報処理推進機構
セキュリティセンター

miyakawa＠ipa.go.jp

著作権表記全文

Copyright (C) The Internet Society (2003).  All Rights Reserved.

This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removingthe copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.

The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assignees.

This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.

謝辞

Funding for the RFC Editor function is currently provided by the Internet Society.