信頼できるリストのEUリストが本物であることを検証する方法は？

Question

信頼サービスが認定されているかどうかを検証するには、メンバー状態の信頼リスト（TL）で公開鍵を検索する必要があります。

加盟国TLが本物かどうかを検証するには、 EUリストの信頼できるリストで加盟国TLに署名した公開鍵を検索する必要があります。

EUの信頼済みリストのリストが本物であることを確認するプロセスは何ですか？

現在のバージョン（シーケンス番号208）では、LuxtrustがMaarten Joris Ottoyに発行した公開鍵で署名されています。ジョリス氏が信頼リストのリストに署名する権限を持っていることをどのように確認すべきですか？

FaST4 · Accepted Answer

機械で処理可能なバージョンのLOTLの信頼性と完全性は、欧州連合公式ジャーナル（OJEU）の発行物を通じて認証できる証明書によってサポートされるデジタル署名によって保証されます。 2016年6月末以降、EU OJ出版物OJ C 233 [i。]で詳述されているように、LOTL署名証明書とLOTL XMLファイルの場所はLOTL自体に含まれています。これにより、証明書利用者は、LOTL署名証明書および/またはその場所の変更をマシンが処理可能な方法で検出できます。そのような将来の変更は、LOTLを認証するときに使用する依存者のための新しいURLおよび/または変更されたデジタル証明書のセットを含む、LOTLの新しいインスタンスの公開に反映されます。この新しい情報が最初に公開されたLOTLの発行日から、新しいURLおよび/または変更されたデジタル証明書のセットは、以前に発行された情報の代わりに、依存者がLOTLを見つけて認証するために使用できます。ただし、LOTLのすべてのデジタル証明書を即座に交換する必要がある緊急事態への一時的な対応など、欧州委員会がOJEUで新しい出版物を発行することは常に可能です。

ソースはETSI作業文書です：「電子署名およびインフラストラクチャ（ESI）;署名ポリシー;パート4：信頼できるリストを使用したヨーロッパの資格のある電子署名/シールの署名検証ポリシー」

Scxl3 · Answer

加盟国の信頼リスト（TL）を認証および信頼するための高レベルのプロセスは、ETSI TS 119 612 v2.1.1の付録Aで定義されています（この標準は、CID 2015-1505を介してeIDASで規定されています）。

TLの信頼の源は、信頼リストのEUリスト（LOTL）です。そして、LOTLの信頼の源は、欧州連合の公式ジャーナル（OJEU）です。最初に、LOTLの署名証明書は https://eur-Lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.C_.2016.233.01.0001.01.ENGで定義されています。

LOTLの追加の署名証明書は、「ピボットLOTL」という名前のLOTLパブリケーションで、LOTL自体に定義されています。すべてのピボットLOTLは、現在のLOTLのSchemeInformationURIに存在します。現在、これらのピボットLOTLは次のとおりです。

これらのピボットLOTLでは、LOTLの署名証明書（つまりServiceDigitalIdentity）がOtherTSLPointerSchemeTerritoryがEUの場合（LOTLへのポインタ）.

したがって、OJEUで最初に定義された署名証明書を信頼すると、ピボットLOTL 172の署名を信頼できます。次に、ピボットLOTL 172で定義された署名証明書を信頼すると、ピボットLOTL 191の署名を信頼できるようになります。 LOTL 191で定義された証明書に署名して、ピボットLOTL 226の署名を信頼します。最後に、LOTL 226で定義された署名証明書を使用して、現在のLOTLの署名を信頼します（つまり https://ec.europa.eu/ information_society/policy/esignature/trusted-list/tl-mp.xml ）。

この「ピボットLOTL」メカニズムは、上記のOJEU出版物（コンパイル済みリスト= LOTL）で導入されています。

「コンパイル済みリストへの安全なポインタ」の将来の変更は、同様に、「コンパイル済みリスト」の新しいインスタンスの公開に反映されます。これには、認証時に使用する依存者用の新しいURLまたは変更されたデジタル証明書のセットが含まれます。「コンパイル済みリスト」