ISO/IEC 9594-8:2005
(Main)Information technology — Open Systems Interconnection — The Directory: Public-key and attribute certificate frameworks — Part 8:
Information technology — Open Systems Interconnection — The Directory: Public-key and attribute certificate frameworks — Part 8:
ISO/IEC 9594-8:2005 provides specifications for how information about objects, e.g. persons, is organized, created, maintained and retrieved. Multiple entities are likely deployed to provide the directory service. Communication amongst these entities is authenticated and/or encrypted. ISO/IEC 9594-8:2005 specifies three frameworks and a number of data objects that can be used to authenticate and secure the communication between two entities, e.g. between two directory service entities or between a web browser and web server. The data objects can also be used to prove the source and integrity of data structures such as digitally signed documents.
Technologies de l'information — Interconnexion de systèmes ouverts (OSI) — L'annuaire: Cadre général des certificats de clé publique et d'attribut — Partie 8:
L'ISO/CEI 9594-8:2005 fournit des spécifications pour savoir comment l'information relative aux objets, par exemple les personnes, est organisée, créée, maintenue et récupérée. Une multitude d'entités sont déployées pour fournir un service d'annuaire. La communication au travers de ces entités est authentifiée et/ou cryptée. ISO/CEI 9594-8:2005 spécifie trois cadres et un nombre d'objets de données qui peuvent être utilisés pour authentifier et sécuriser la communication entre deux entités, par exemple entre deux entités de services d'annuaire ou entre un serveur internet et un navigateur internet. Les objets de données peuvent également être utilisés pour mettre à l'épreuve la source et l'intégrité des structures de données tels que des documents signés numériquement.
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO/IEC
STANDARD 9594-8
Fifth edition
2005-12-15
Information technology — Open Systems
Interconnection — The Directory: Public-
key and attribute certificate frameworks
Technologies de l'information — Interconnexion de systèmes ouverts
(OSI) — L'annuaire: Cadre général des certificats de clé publique et
d'attribut
Reference number
ISO/IEC 9594-8:2005(E)
©
ISO/IEC 2005
---------------------- Page: 1 ----------------------
ISO/IEC 9594-8:2005(E)
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.
© ISO/IEC 2005
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published by ISO in 2006
Published in Switzerland
ii © ISO/IEC 2005 – All rights reserved
---------------------- Page: 2 ----------------------
ISO/IEC 9594-8:2005(E)
CONTENTS
Page
SECTION 1 – GENERAL. 1
1 Scope . 1
2 Normative references . 2
2.1 Identical Recommendations | International Standards. 2
2.2 Paired Recommendations | International Standards equivalent in technical content. 3
3 Definitions. 3
3.1 OSI Reference Model security architecture definitions. 3
3.2 Directory model definitions . 3
3.3 Definitions. 4
4 Abbreviations . 6
5 Conventions. 7
6 Frameworks overview . 8
6.1 Digital signatures . 9
SECTION 2 – PUBLIC-KEY CERTIFICATE FRAMEWORK. 11
7 Public-keys and public-key certificates. 11
7.1 Generation of key pairs . 15
7.2 Public-key certificate creation. 15
7.3 Certificate Validity. 16
7.4 Repudiation of a digital signing . 18
8 Public-key certificate and CRL extensions. 19
8.1 Policy handling. 19
8.1.1 Certificate policy. 19
8.1.2 Cross-certification. 20
8.1.3 Policy mapping . 21
8.1.4 Certification path processing. 21
8.1.5 Self-issued certificates . 22
8.2 Key and policy information extensions. 22
8.2.1 Requirements . 22
8.2.2 Public-key certificate and CRL extension fields. 23
8.3 Subject and issuer information extensions . 28
8.3.1 Requirements . 28
8.3.2 Certificate and CRL extension fields . 28
8.4 Certification path constraint extensions . 30
8.4.1 Requirements . 30
8.4.2 Certificate extension fields. 30
8.5 Basic CRL extensions . 34
8.5.1 Requirements . 34
8.5.2 CRL and CRL entry extension fields . 35
8.6 CRL distribution points and delta-CRL extensions. 43
8.6.1 Requirements . 43
8.6.2 CRL distribution point and delta-CRL extension fields. 44
9 Delta CRL relationship to base. 49
10 Certification path processing procedure . 50
10.1 Path processing inputs. 50
10.2 Path processing outputs. 51
10.3 Path processing variables . 51
10.4 Initialization step. 51
10.5 Certificate processing. 52
10.5.1 Basic certificate checks. 52
10.5.2 Processing intermediate certificates. 52
10.5.3 Explicit policy indicator processing. 53
10.5.4 Final processing . 54
© ISO/IEC 2005 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO/IEC 9594-8:2005(E)
Page
11 PKI directory schema . 54
11.1 PKI directory object classes and name forms. 54
11.1.1 PKI user object class . 54
11.1.2 PKI CA object class . 54
11.1.3 CRL distribution points object class and name form . 54
11.1.4 Delta CRL object class. 55
11.1.5 Certificate Policy & CPS object class . 55
11.1.6 PKI certificate path object class. 55
11.2 PKI directory attributes . 55
11.2.1 User certificate attribute. 55
11.2.2 CA certificate attribute. 55
11.2.3 Cross-certificate pair attribute. 56
11.2.4 Certificate revocation list attribute. 56
11.2.5 Authority revocation list attribute. 56
11.2.6 Delta revocation list attribute . 56
11.2.7 Supported algorithms attribute. 56
11.2.8 Certification practice statement attribute . 57
11.2.9 Certificate policy attribute. 57
11.2.10 PKI path attribute. 57
11.3 PKI directory matching rules . 58
11.3.1 Certificate exact match. 58
11.3.2 Certificate match. 58
11.3.3 Certificate pair exact match . 59
11.3.4 Certificate pair match. 59
11.3.5 Certificate list exact match. 60
11.3.6 Certificate list match . 60
11.3.7 Algorithm identifier match. 61
11.3.8 Policy match. 61
11.3.9 PKI path match. 61
11.3.10 Enhanced certificate match . 61
SECTION 3 – ATTRIBUTE CERTIFICATE FRAMEWORK . 62
12 Attribute Certificates . 63
12.1 Attribute certificate structure . 63
12.2 Attribute certificate paths. 65
13 Attribute Authority, SOA and Certification Authority relationship . 65
13.1 Privilege in attribute certificates . 66
13.2 Privilege in public-key certificates. 67
14 PMI models . 67
14.1 General model . 67
14.1.1 PMI in access control context . 68
14.1.2 PMI in a non-repudiation context. 69
14.2 Control model . 69
14.3 Delegation model . 69
14.4 Roles model. 70
14.4.1 Role attribute. 71
14.5 XML privilege information attribute. 71
15 Privilege management certificate extensions. 73
15.1 Basic privilege management extensions. 73
15.1.1 Requirements . 73
15.1.2 Basic privilege management extension fields . 73
15.2 Privilege revocation extensions. 76
15.2.1 Requirements . 76
15.2.2 Privilege revocation extension fields . 76
15.3 Source of Authority extensions . 76
15.3.1 Requirements . 76
15.3.2 SOA extension fields . 77
iv © ISO/IEC 2005 – All rights reserved
---------------------- Page: 4 ----------------------
ISO/IEC 9594-8:2005(E)
Page
15.4 Role extensions . 78
15.4.1 Requirements . 78
15.4.2 Role extension fields. 78
15.5 Delegation extensions . 80
15.5.1 Requirements . 80
15.5.2 Delegation extension fields . 80
16 Privilege path processing procedure. 84
16.1 Basic processing procedure. 84
16.2 Role processing procedure . 85
16.3 Delegation processing procedure . 85
16.3.1 Verify integrity of domination rule . 85
16.3.2 Establish valid delegation path. 86
16.3.3 Verify privilege delegation . 86
16.3.4 Pass/fail determination. 86
17 PMI directory schema . 86
17.1 PMI directory object classes . 86
17.1.1 PMI user object class . 86
17.1.2 PMI AA object class . 87
17.1.3 PMI SOA object class . 87
17.1.4 Attribute certificate CRL distribution point object class. 87
17.1.5 PMI delegation path . 87
17.1.6 Privilege policy object class. 87
17.1.7 Protected privilege policy object class. 87
17.2 PMI Directory attributes. 88
17.2.1 Attribute certificate attribute . 88
17.2.2 AA certificate attribute. 88
17.2.3 Attribute descriptor certificate attribute. 88
17.2.4 Attribute certificate revocation list attribute. 88
17.2.5 AA certificate revocation list attribute. 88
17.2.6 Delegation path attribute. 88
17.2.7 Privilege policy attribute. 89
17.2.8 Protected privilege policy attribute. 89
17.2.9 XML Protected privilege policy attribute . 89
17.3 PMI general directory matching rules. 89
17.3.1 Attribute certificate exact match . 89
17.3.2 Attribute certificate match. 89
17.3.3 Holder issuer match . 90
17.3.4 Delegation path match. 90
SECTION 4 – DIRECTORY USE OF PUBLIC-KEY & ATTRIBUTE CERTIFICATE FRAMEWORKS. 90
18 Directory authentication . 90
18.1 Simple authentication procedure. 91
18.1.1 Generation of protected identifying information. 91
18.1.2 Procedure for protected simple authentication. 92
18.1.3 User Password attribute type. 93
18.2 Strong Authentication . 93
18.2.1 Obtaining public-key certificates from the directory . 93
18.2.2 Strong authentication procedures. 96
19 Access control . 99
20 Protection of Directory operations . 99
Annex A – Public-Key and Attribute Certificate Frameworks. 100
-- A.1 Authentication framework module. 100
-- A.2 Certificate extensions module. 105
-- A.3 Attribute Certificate Framework module. 114
Annex B – CRL generation and processing rules. 122
B.1 Introduction. 122
B.1.1 CRL types . 122
B.1.2 CRL processing. 123
© ISO/IEC 2005 – All rights reserved v
---------------------- Page: 5 ----------------------
ISO/IEC 9594-8:2005(E)
Page
B.2 Determine parameters for CRLs . 123
B.3 Determine CRLs required . 124
B.3.1 End-entity with critical CRL DP. 124
B.3.2 End-entity with no critical CRL DP. 124
B.3.3 CA with critical CRL DP . 124
B.3.4 CA with no critical CRL DP . 125
B.4 Obtain CRLs . 125
B.5 Process CRLs . 125
B.5.1 Validate base CRL scope . 125
B.5.2 Validate delta CRL scope. 127
B.5.3 Validity and currency checks on the base CRL. 128
B.5.4 Validity and checks on the delta CRL. 128
Annex C – Examples of delta CRL issuance. 129
Annex D – Privilege policy and privilege attribute definition examples. 131
D.1 Introduction. 131
D.2 Sample syntaxes. 131
D.2.1 First example. 131
D.2.2 Second example . 133
D.3 Privilege attribute example. 134
Annex E – An introduction to public key cryptography. 136
Annex F – Reference definition of algorithm object identifiers . 138
Annex G – Examples of use of certification path constraints. 139
G.1 Example 1: Use of basic constraints. 139
G.2 Example 2: Use of policy mapping and policy constraints. 139
G.3 Use of Name Constraints Extension. 139
G.3.1 Examples of Certificate Format with Name Constraints Extension. 139
G.3.2 Examples of Certificate Handling with Name Constraint Extension .
...
NORME ISO/CEI
INTERNATIONALE 9594-8
Cinquième édition
2005-12-15
Technologies de l'information —
Interconnexion de systèmes ouverts
(OSI) — L'annuaire: Cadre général des
certificats de clé publique et d'attribut
Information technology — Open Systems Interconnection — The
Directory: Public-key and attribute certificate frameworks
Numéro de référence
ISO/CEI 9594-8:2005(F)
©
ISO/CEI 2005
---------------------- Page: 1 ----------------------
ISO/CEI 9594-8:2005(F)
PDF – Exonération de responsabilité
Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier
peut être imprimé ou visualisé, mais ne doit pas être modifié à moins que l'ordinateur employé à cet effet ne bénéficie d'une licence
autorisant l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées
acceptent de fait la responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute
responsabilité en la matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.
Les détails relatifs aux produits logiciels utilisés pour la création du présent fichier PDF sont disponibles dans la rubrique General Info
du fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir
l'exploitation de ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation,
veuillez en informer le Secrétariat central à l'adresse donnée ci-dessous.
© ISO 2005
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax. + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Version française parue en 2006
Publié en Suisse
ii © ISO/CEI 2005 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO/CEI 9594-8:2005(F)
TABLE DES MATIÈRES
Page
SECTION 1 – GÉNÉRALITÉS . 1
1 Domaine d'application . 1
2 Références normatives. 2
2.1 Recommandations | Normes internationales identiques. 2
2.2 Paires de Recommandations | Normes internationales équivalentes par leur contenu technique. 3
3 Définitions . 3
3.1 Définitions relatives à l'architecture de sécurité du modèle de référence OSI. 3
3.2 Définitions relatives au modèle d'annuaire . 3
3.3 Définitions. 4
4 Abréviations. 7
5 Conventions . 7
6 Aperçu général des cadres . 8
6.1 Signatures numériques . 9
SECTION 2 – CADRE DE CERTIFICAT DE CLÉ PUBLIQUE . 12
7 Clés publiques et certificats de clé publique. 12
7.1 Génération de paires de clés . 17
7.2 Création d'un certificat de clé publique. 17
7.3 Validité des certificats. 17
7.4 Répudiation d'une signature numérique . 20
8 Certificat de clé publique et extensions de liste CRL. 21
8.1 Traitement de la politique . 22
8.2 Extensions d'informations de clé et de politique . 25
8.3 Extensions d'information de sujet et d'émetteur . 31
8.4 Extensions de contrainte d'itinéraire de certification. 33
8.5 Extensions de liste CRL de base. 38
8.6 Points de répartition de liste CRL et extensions delta de liste CRL. 48
9 Relations entre la liste CRL delta et la liste de base . 55
10 Procédure de traitement de l'itinéraire de certification . 56
10.1 Informations d'entrée du traitement d'itinéraire. 56
10.2 Informations de sortie du traitement d'itinéraire. 57
10.3 Variables de traitement d'itinéraire . 57
10.4 Etape d'initialisation . 58
10.5 Traitement de certificat . 58
11 Schéma d'annuaire d'infrastructures PKI . 61
11.1 Classes d'objets et formes de nom d'annuaire d'infrastructure PKI. 61
11.2 Attributs "répertoire d'infrastructure PKI" . 62
11.3 Règles de concordance d'annuaire d'infrastructure PKI . 65
SECTION 3 – CADRE DE CERTIFICAT D'ATTRIBUT. 70
12 Certificats d'attribut. 70
12.1 Structure du certificat d'attribut. 71
12.2 Itinéraires de certificat d'attribut. 73
13 Relations entre l'autorité d'attribut, la source d'autorité et l'autorité de certification . 73
13.1 Privilège dans les certificats d'attribut . 74
13.2 Privilège dans des certificats de clé publique . 75
14 Modèles d'infrastructure PMI. 75
14.1 Modèle général. 75
14.2 Modèle de contrôle d'accès . 77
14.3 Modèle de délégation. 78
14.4 Modèle de rôles . 79
14.5 Attribut information de privilège XML. 80
© ISO/CEI 2005 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO/CEI 9594-8:2005(F)
Page
15 Extensions de certificat de gestion de privilège. 81
15.1 Extensions de gestion de privilège de base . 81
15.2 Extensions de révocation de privilège. 84
15.3 Extensions de source d'autorité . 85
15.4 Extensions de rôle . 87
15.5 Extensions de délégation . 89
16 Procédure de traitement d'itinéraire de privilège. 93
16.1 Procédure de traitement de base . 93
16.2 Procédure de traitement d'itinéraire de privilège . 94
16.3 Procédure de traitement de délégation . 94
17 Schéma d'annuaire PMI . 96
17.1 Classes d'objets "annuaire PMI". 96
17.2 Attributs d'annuaire d'infrastructure PMI . 97
17.3 Règles de concordance de répertoire d'infrastructure PMI . 99
SECTION 4 – UTILISATION DES CADRES DE CLÉ PUBLIQUE ET DE CERTIFICAT D'ATTRIBUT
PAR L'ANNUAIRE . 101
18 Authentification de l'annuaire . 101
18.1 Procédure d'authentification simple . 101
18.2 Authentification forte. 103
19 Contrôle d'accès . 109
20 Protection des opérations d'annuaire. 110
Annexe A – Cadres de certificats d'attribut et de clé publique . 111
-- A.1 Module du cadre d'authentification. 111
-- A.2 Module d'extension de certificat. 116
-- A.3 Module de cadre de certificat d'attribut. 125
Annexe B – Règles de génération et de traitement des listes CRL . 133
B.1 Introduction . 133
B.2 Détermination des paramètres pour les listes CRL . 134
B.3 Détermination des listes CRL nécessaires . 135
B.4 Extraction des listes CRL. 136
B.5 Traitement des listes CRL. 136
Annexe C – Exemples d'émission de liste CRL delta. 141
Annexe D – Exemples de définition de politique de privilège et d'attribut de privilège. 143
D.1 Introduction . 143
D.2 Exemples de syntaxes . 143
D.3 Exemple d'attribut de privilège . 147
Annexe E – Introduction à la cryptographie avec clé publique. 148
Annexe F – Définition de référence des identificateurs d'objet d'algorithme. 150
Annexe G – Exemples d'utilisation de contraintes d'itinéraire de certification. 151
G.1 Exemple 1: utilisation de contraintes de base . 151
G.2 Exemple 2: utilisation de mappage de politiques et de contraintes de politiques. 151
G.3 Utilisation de l'extension contraintes de nom . 151
Annexe H – Indication visant à déterminer les politiques pour lesquelles un itinéraire de certification est
valide . 168
H.1 Itinéraire de certification valide exigé pour une politique spécifiée par l'utilisateur. 168
H.2 Itinéraire de certification valide exigé pour toute politique . 169
H.3 Itinéraire de validation valide indépendamment de la politique. 169
H.4 Itinéraire de certification valide pour une politique propre à l'utilisateur souhaitée mais non
requise . 169
iv © ISO/CEI 2005 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO/CEI 9594-8:2005(F)
Page
Annexe I – Problèmes d'extension du certificat d'utilisation de clé. 171
Annexe J – Liste alphabétique des définitions des éléments d'information . 172
Annexe K – Amendements et corrigenda . 175
© ISO/CEI 2005 – Tous droits réservés v
---------------------- Page: 5 ----------------------
ISO/CEI 9594-8:2005(F)
Avant propos
L'ISO (Organisation internationale de normalisation) et la CEI (Commission électrotechnique internationale)
forment le système spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO ou
de la CEI participent au développement de Normes internationales par l'intermédiaire des comités techniques
créés par l'organisation concernée afin de s'occuper des domaines particuliers de l'activité technique. Les
comités techniques de l'ISO et de la CEI collaborent dans des domaines d'intérêt commun. D'autres
organisations internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO et la CEI
participent également aux travaux. Dans le domaine des technologies de l'information, l'ISO et la CEI ont créé
un comité technique mixte, l'ISO/CEI JTC 1.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale du comité technique mixte est d'élaborer les Normes internationales. Les projets de
Normes internationales adoptés par le comité technique mixte sont soumis aux organismes nationaux pour
vote. Leur publication comme Normes internationales requiert l'approbation de 75 % au moins des
organismes nationaux votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO et la CEI ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO/CEI 9594-8 a été élaborée par le comité technique mixte ISO/CEI JTC 1, Technologies de l’information,
sous-comité SC 6, Téléinformatique, en collaboration avec l’UIT-T. Le texte identique est publié en tant que
Rec. UIT-T X.509.
Cette cinquième édition constitue une révision technique de la quatrième édition (ISO/CEI 9594-8:2001), qui
est provisoirement retenue pour soutenir les versions basées sur la quatrième édition.
L'ISO/CEI 9594 comprend les parties suivantes, présentées sous le titre général Technologies de l'information
— Interconnexion de systèmes ouverts (OSI) — L'annuaire:
⎯ Partie 1: Aperçu général des concepts, modèles et services
⎯ Partie 2: Les modèles
⎯ Partie 3: Définition du service abstrait
⎯ Partie 4: Procédures pour le fonctionnement réparti
⎯ Partie 5: Spécification du protocole
⎯ Partie 6: Types d'attributs sélectionnés
⎯ Partie 7: Classes d'objets sélectionnées
⎯ Partie 8: Cadre général des certificats de clé publique et d'attribut
⎯ Partie 9: Duplication
⎯ Partie 10: Utilisation de la gestion-systèmes pour l'administration de l'annuaire
vi © ISO/CEI 2005 – Tous droits réservés
---------------------- Page: 6 ----------------------
ISO/CEI 9594-8:2005(F)
Introduction
La présente Recommandation | Norme internationale, associée à d'autres Recommandations | Normes internationales, a
été produite en vue de faciliter l'interconnexion de systèmes de traitement de l'information pour la fourniture de services
d'annuaire. Un ensemble de tels services, associés aux informations qu'ils détiennent, peut être considéré comme une
entité intégrée, appelée annuaire. Les informations détenues par l'annuaire, appelées collectivement base d'information
d'annuaire (DIB) sont utilisées en général pour faciliter les communications s'effectuant entre, ou concernant, des objets,
tels que des entités d'application, des individus, des terminaux et des listes de répartition.
L'annuaire joue un rôle important dans l'interconnexion des systèmes ouverts; moyennant un minimum d'accords
techniques en dehors des normes d'interconnexion proprement dites, il a pour but de permettre l'interconnexion de
systèmes de traitement de l'information:
– de fournisseurs divers;
– sous des responsabilités de gestion diverses;
– de niveaux de complexité divers;
– d'âges divers.
De nom breuses applications ont des besoins de sécurité pour se protéger contre des menaces portant sur la
communication des informations. Pratiquement tous les services de sécurité font appel à la connaissance fiable des
id entités des participants de la communication, c'est-à-dire à leur authentification.
La présente Recommandation | Norme internationale définit un cadre pour des certificats de clé publique. Ce cadre
comprend la spécification des objets de données utilisés pour représenter les certificats proprement dits ainsi que les
notifications de révocation de certificats émis et auxquels il ne doit plus être fait confiance. Le cadre de certificat de clé
publique décrit dans la présente Spécification définit certains composants critiques d'une infrastructure de clé publique
(PKI), mais pas la totalité d'une telle infrastructure. La présente Spécification fournit toutefois une base permettant
d'édifier des infrastructures PKI complètes et leurs spécifications.
La présente Recommandation | Norme internationale définit de même un cadre pour des certificats d'attribut. Ce cadre
contient la spécification des objets de données utilisés pour représenter les certificats proprement dits, ainsi que les
notifications de révocation de certificat émis auxquels il ne doit plus être fait confiance. Le cadre de certificat d'attribut
décrit dans la présente Spécification définit certains composants critiques d'une infrastructure de gestion de privilège
(PMI), mais pas la totalité d'une telle infrastructure. La présente Spécification fournit toutefois une base permettant
d'édifier des infrastructures PMI complètes et leurs spécifications.
Sont définis également les objets d'informations permettant de stocker les objets d'infrastructure PKI et PMI dans
l'annuaire et de comparer des valeurs présentées avec les valeurs stockées.
La présente Recommandation | Norme internationale définit également un cadre pour la fourniture de services
d'authentification par l'annuaire au bénéfice de ses utilisateurs.
La présen te Recommandation | Norme internationale fournit les cadres de base permettant la définition de profils
industriels par d'autres organismes de normalisation et par des forums industriels. L'utilisation d'un grand nombre des
fon ctionnalités optionnelles figurant dans ces cadres peut être rendue obligatoire dans certains environnements au
moyen de profils. Cette cinquième édition révise et étend sur le plan technique la quatrième édition de la présente
Recommandation | Norme internationale mais ne la remplace pas. Des implémentations peuvent continuer à déclarer la
conformité avec la quatrième édition. Cette dernière ne sera toutefois plus prise en charge à partir d'une certaine date
(c'est-à-d ire que les comptes rendus de faute ne seront plus traités). Il est recommandé que les implémentations se
conforment à la présente cinquième édition, et ce dès que possible.
La présente cinquième édition spécifie les versions 1, 2 et 3 des certificats de clé publique et les versions 1 et 2 des
listes de révocation de certificats. La présente édition spécifie la version 2 des certificats d'attribut.
La fonction d'extensibilité a été introduite dans une version précédente avec la version 3 de certificat de clé publique et
avec la version 2 de liste de révocation de certificats, et a été incorporée dans le certificat d'attribut dès sa création. Cette
fonction est spécifiée au paragraphe 7. Il est prévu que tout développement de la présente édition pourra être intégré à
l'aide de cette fonction, évitant ainsi de créer de nouvelles versions.
L'Annexe A, qui fait partie intégrante de la présente Recommandation | Norme internationale, fournit le module ASN.1
contenant toutes les définitions associées au cadre d'authentification.
L'Annexe B, qui fait partie intégrante de la présente Recommandation | Norme internationale, fournit des règles de
génération et de traitement des listes de révocation de certificat.
L'Annexe C, qui ne fait pas partie intégrante de la présente Recommandation | Norme internationale, fournit des
exemples d'émission de liste CRL delta.
© ISO/CEI 2005 – Tous droits réservés vii
---------------------- Page: 7 ----------------------
ISO/CEI 9594-8:2005(F)
L'Annexe D, qui ne fait pas partie intégrante de la présente Recommandation | Norme internationale, fournit des
exemples de syntaxe de politiques de privilège et des exemples d'attribut de privilèges.
L'Annexe E, qui ne fait pas partie intégrante de la présente Recommandation | Norme internationale, constitue une
introduction au chiffrement avec clé publique.
L'Annexe F, qui fait partie intégrante de la présente Recommandation | Norme internationale, définit les identificateurs
d'objets attribués aux algorithmes d'authentification et de chiffrement, en l'absence d'un enregistrement formel.
L'Annexe G, qui ne fait pas partie intégrante de la présente Recommandation | Norme internationale, contient des
exemples d'utilisation de contraintes de certification d'itinéraire.
L'Annexe H, qui ne fait pas partie intégrante de la présente Recommandation | Norme internationale, fournit des
indications quant aux applications validées pour les infrastructures PKI, au sujet du traitement de la politique de
certificat au cours du processus de validation de l'itinéraire de certification.
L'Annexe I, qui ne fait pas partie intégrante de la présente Recommandation | Norme internationale, fournit des
indications quant à l'utilisation du bit contentCommitment dans l'extension de certificat keyUsage.
L'Annexe J, qui ne fait pas partie intégrante de la présente Recommandation | Norme internationale, contient les
définitions des éléments d'information par ordre alphabétique.
L'Annexe K, qui ne fait pas partie intégrante de la présente Recommandation | Norme internationale, fournit la liste des
amendements et des comptes rendus d'erreur qui ont été incorporés dans cette édition de la présente Recommandation |
Norme internationale.
viii © ISO/CEI 2005 – Tous droits réservés
---------------------- Page: 8 ----------------------
ISO/CEI 9594-8:2005 (F)
NORME INTERNATIONALE
RECOMMANDATION UIT-T
Technologies de l'information – Interconnexion des systèmes ouverts – L'annuaire: cadre
général des certificats de clé publique et d'attribut
SECTION 1 – GÉNÉRALITÉS
1 Domaine d'application
La présente Recommandation | Norme internationale traite de certains besoins de sécurité dans les domaines de
l'authentification et d'autres services de sécurité, en fournissant un ensemble de cadres sur la base desquels il est
possible d'édifier des services complets. La présente Recommandation | Norme internationale définit de manière plus
spécifique les cadres suivants:
– certificats de clé publique;
– certificats d'attribut;
– services d'authentification.
Le cadre de certificat de clé publique défini dans la présente Recommandation | Norme internationale englobe la
définition des objets d'information pour une infrastructure de clé publique (PKI, public key infrastructure), incluant les
certificats de clé publique et les listes de révocation de certificat (CRL, certificate revocation list). Le cadre de certificat
d'attribut englobe la définition des objets d'information pour une infrastructure de gestion de privilège (PMI, privilege
management infrastructure), incluant les certificats d'attribut et la liste de révocation de certificat d'attribut (ACRL,
attribute certificate revocation list). La présente Spécification fournit également le cadre pour l'émission, la gestion,
l'utilisation et la révocation de certificats. Les formats définis pour les deux types de certificats et pour tous les types de
liste de révocation prévoient un procédé d'extension. La présente Recommandation | Norme internationale contient
également un ensemble d'extensions normalisées pour chaque type; il est prévu que cet ensemble sera d'une utilité
générale pour un certain nombre d'infrastructures PKI et PMI. Les composants du schéma, englobant les classes
d'objets, les types d'attribut et les règles de concordance pour le stockage des objets PKI et PMI dans l'annuaire font
partie de la présente Recommandation | Norme internationale. Il est prévu que d'autres organismes de normalisation (par
exemple le comité TC 68 de l'ISO, l'IETF, etc.) définiront des éléments d'infrastructure PKI et PMI supplémentaires qui
sortent de ces cadres, tels que les protocoles de gestion de clé et de certificat, les protocoles opérationnels ou d'autres
certificats et extensions de liste CRL.
Le procédé d'authentification défini dans la présente Recommandation | Norme internationale possède un caractère
générique et peut s'appliquer à une variété d'applications et d'environnements.
L'annuaire utilise les certificats de clé publique et les certificats d'attribut; le cadre d'utilisation de ces fonctionnalités
par l'annuaire est également défini dans la présente Recommandation | Norme internationale. L'annuaire utilise une
technologie de clé publique avec certificats pour fournir une authentification forte et des opérations avec signature et/ou
chiffrement, ainsi que pour stocker des données signées et/ou chiffrées. Il peut utiliser des certificats d'attribut pour
fournir un contrôle d'accès basé sur des règles. Bien que le cadre correspondant soit fourni dans la présente
Spécification, la définition complète de l'utilisation de l'annuaire, des services associés qu'il fournit et de ses composants
font l'objet d'une définition dans un ensemble complet de spécifications de l'annuaire.
La présente Recommandation | Norme internationale précise également les points suivants dans le cadre des services
d'authentification:
– spécification du format des informations d'authentification contenues dans l'annuaire;
– description de la manière dont les informations d'authentification peuvent être obtenues à p
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.