web-dev-qa-db-ja.com

実際の副署名はオーセンティケードでどのように機能しますか?

オーセンティケード検証メカニズムのタイムスタンプ処理を理解しようとしていますが、見た目は非常に単純ですが、両方の証明書(コードとタイムスタンプ)が有効期間内にないときに署名がどのように有効になるかは本当にわかりません。

Windows Authenticode Portable Executable Signature Format には、authenticodeの処理に関する詳細な説明が含まれていますが、タイムスタンプ署名証明書の有効期限が切れた後に署名が有効になるケースはありません。

RFC3161によると、タイムスタンプに署名するために使用される証明書が期限切れになるとすぐに、タイムスタンプも期限切れになるため、このタイムスタンプを再実行するか公証して、このタイムスタンプの既存の信頼を更新する必要があります(証明書が更新しますか?).

ところで、10年前に書かれたソフトウェアはどうですか?無限の署名を持つメカニズムはありますか?

2
Sergey Perfilev

最後に、私は答えを見つけました、それはRFC3161にあります:

 To verify a digital signature, the following basic technique may be used:

A) Time-stamping information needs to be obtained soon after the
  signature has been produced (e.g., within a few minutes or hours).

  1)    The signature is presented to the Time Stamping Authority
        (TSA).  The TSA then returns a TimeStampToken (TST) upon
        that signature.

  2)    The invoker of the service MUST then verify that the
        TimeStampToken is correct.

B) The validity of the digital signature may then be verified in the
  following way:

  1)    The time-stamp token itself MUST be verified and it MUST be
        verified that it applies to the signature of the signer.

  2)    The date/time indicated by the TSA in the TimeStampToken
        MUST be retrieved.

  3)    The certificate used by the signer MUST be identified and
        retrieved.

  4)    The date/time indicated by the TSA MUST be within the
        validity period of the signer's certificate.

  5)    The revocation information about that certificate, at the
        date/time of the Time-Stamping operation, MUST be retrieved.

  6)    Should the certificate be revoked, then the date/time of
        revocation shall be later than the date/time indicated by
        the TSA.

If all these conditions are successful, then the digital signature shall be declared as valid.
1
Sergey Perfilev