今日、有効でアクティブなユーザーによってデジタル署名されたInfopathフォームがあるとします。
そのユーザーが退職すると、アカウントが無効になり、証明書が失効します。正しく署名された古いドキュメントは無効であると報告されるため、これにより問題が発生します。
PKIインフラストラクチャの整合性をどのように維持し、有効な以前に署名されたドキュメントがInfopath内でも有効であると表示されるようにするのですか?
Infopathのしくみはわかりませんが、あなたの質問は、長期的なデジタル署名検証の分野における一般的な問題です。
解決策は、署名とともに署名を検証するために必要なすべての情報(たとえば、すべての証明書パス、ダウンロードされたCRLまたはOCSP応答...)を格納し、すべてを暗号化タイムスタンプでラップすることです( RFC 3161 )。このタイムスタンプは、すべての論文の存在の証明を提供します(== --- ==)オブジェクトタイムスタンプの日付。したがって、過去の署名検証プロセスをリプレイすることが可能です(つまり、署名証明書が有効であるか、有効期限が切れていない場合)。
私はこのリンクを見つけました http://msdn.Microsoft.com/en-us/library/cc545900.aspx MS Office 2010のデジタル署名について、Infopathに関連があるようです。 XAdES-XまたはXAdES-XLの署名レベルが必要です。これは、署名の検証をどこまで行う必要があるかによって異なります。
お役に立てれば。
PKIは認証(authn)とIDに関するものであり、承認(authz)の問題全体を扱うものではありません。認定パスの検証に頼って、設計されている以上のことを実行しようとしているようです。
Infopathは、ドキュメントを評価するときに他のチェックを追加する方法を提供しませんか?たとえば、証明書によって認証されたサブジェクトが何をすることが許可されたかについて、署名の安全なタイムスタンプと他のメタデータをチェックします。または、適切に認証されたが許可されていない対象者が文書に署名するのを防ぐ他の方法はありませんか?その後、証明書の失効を回避しながら、その使用を適切に評価することができます。
そしてもちろん、短い有効期間が役立ちます。