ISO 22376:2023
(Main)Security and resilience — Authenticity, integrity and trust for products and documents — Specification and usage of visible digital seal (VDS) data format for authentication, verification and acquisition of data carried by a document or object
Security and resilience — Authenticity, integrity and trust for products and documents — Specification and usage of visible digital seal (VDS) data format for authentication, verification and acquisition of data carried by a document or object
This document defines the conditions necessary for the interoperable deployment of visible digital seals (VDSs). It describes the structure, possible forms of representation, production process and verification process applicable to VDSs, for any type of document or object to which they relate. This document does not establish requirements for users that issue and verify documents or for users that implement and deploy VDSs. This document does not apply to detailed response formatting functions (RFFs). These requirements and functions are defined by the trust service operator (TSO) and generally cover functionalities such as the security levels of certificates and governance rules to be applied to document issuers and trust service providers (TSPs) intervening in the VDS ecosystem. This document does not apply to the governance related to the operation of the VDS scheme. It is not intended to replace the specifications from Agence Nationale des Titres Sécurisés (ANTS), Bundesamt für Sicherheit in der Informationstechnik (BSI) and International Civil Aviation Organization (ICAO) documents.
Sécurité et résilience — Authenticité, intégrité et confiance pour les produits et les documents — Spécifications relatives aux formats de données et l'utilisation du Cachet Électronique Visible (CEV) aux fins d'authentification, de vérification et d'acquisition des données véhiculées par un document ou un objet
Le présent document définit les conditions nécessaires au déploiement interopérable de cachets électroniques visibles (CEV). Il décrit la structure, les formes de représentation possibles ainsi que les processus de production et de vérification des CEV, pour tout type de document ou d'objet auxquels ils se rapportent. Le présent document ne définit pas d'exigences pour les utilisateurs qui émettent ou vérifient des documents ni pour les utilisateurs qui mettent en œuvre et déploient des CEV. Le présent document ne s'applique pas aux fonctions de formatage de la réponse (RFF). Ces exigences et fonctions sont définies par un opérateur de service de confiance (OSC) et visent des fonctionnalités telles que les niveaux de sécurité des certificats utilisés et les règles de gouvernance à appliquer aux émetteurs de documents et aux prestataires de services de confiance (PSC) intervenant pendant le processus de production et de lecture des CEV. Le présent document ne s'applique pas à la gouvernance liée au fonctionnement du schéma CEV. Il n'est pas destiné à remplacer les spécifications des documents de l'Agence nationale des titres sécurisés (ANTS), du Bundesamt für Sicherheit in der Informationstechnik (BSI) et de l'International Civil Aviation Organization (ICAO).
General Information
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 22376
First edition
2023-08
Security and resilience — Authenticity,
integrity and trust for products and
documents — Specification and usage
of visible digital seal (VDS) data
format for authentication, verification
and acquisition of data carried by a
document or object
Sécurité et résilience — Authenticité, intégrité et confiance pour les
produits et les documents — Spécifications relatives aux formats
de données et l'utilisation du Cachet Électronique Visible (CEV) aux
fins d'authentification, de vérification et d'acquisition des données
véhiculées par un document ou un objet
Reference number
© ISO 2023
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
Contents Page
Foreword .v
Introduction . vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 2
4 General concepts . 5
5 Structures and resources . 6
5.1 General . 6
5.2 Trust service list and extensions. 6
5.2.1 General . 6
5.2.2 Extensions . 6
5.2.3 TSO identity . 6
5.2.4 TSO manifest location . 6
5.2.5 CA reference . 6
5.2.6 Public certificate directory . 7
5.2.7 XML security . 7
5.2.8 Example and verification . 7
5.3 Manifest . 7
5.3.1 General . 7
5.3.2 Information section . 7
5.3.3 Schema section . 8
5.3.4 Extensions section . 10
5.3.5 XML security . 11
5.3.6 Example and verification . 11
5.4 Manifest extensions . 11
5.4.1 General . 11
5.4.2 Policies extension . 11
5.4.3 Authorized usage policy . 11
5.5 VDS . 11
5.5.1 General . 11
5.5.2 Binary encoding .12
5.5.3 Header section . 12
5.5.4 Payload section . 14
5.5.5 Signature section .15
5.5.6 Auxiliary data section. 16
5.5.7 Example . 16
5.6 Signing certificate . 16
5.6.1 General . 16
5.6.2 Usage list extensions. 17
6 Production process .17
7 Verification process .18
7.1 General concepts . 18
7.2 Acquisition of VDS data. 18
7.3 Header structure analysis . 18
7.4 Reference retrieval and verification . 18
7.4.1 General . 18
7.4.2 TSL . 18
7.4.3 Manifest . 19
7.4.4 Signing certificate and certificate revocation list . 19
7.5 Payload processing . 19
7.6 Extensions processing . 19
7.7 Signature verification . 19
iii
7.8 Document data presentation . 19
Annex A (informative) VDS encoding example .20
Annex B (informative) TSL example .22
Annex C (informative) Manifest example .26
Annex D (informative) TSL XML schema definition example .28
Annex E (informative) Manifest XML schema definition example .29
Bibliography .40
iv
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO document should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
ISO draws attention to the possibility that the implementation of this document may involve the use
of (a) patent(s). ISO takes no position concerning the evidence, validity or applicability of any claimed
patent rights in respect thereof. As of the date of publication of this document, ISO had not received
notice of (a) patent(s) which may be required to implement this document. However, implementers are
cautioned that this may not represent the latest information, which may be obtained from the patent
database available at www.iso.org/patents. ISO shall not be held responsible for identifying any or all
such patent rights.
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an exp
...
NORME ISO
INTERNATIONALE 22376
Première édition
2023-08
Sécurité et résilience — Authenticité,
intégrité et confiance pour les
produits et les documents —
Spécifications relatives aux formats
de données et l'utilisation du Cachet
Électronique Visible (CEV) aux fins
d'authentification, de vérification et
d'acquisition des données véhiculées
par un document ou un objet
Security and resilience — Authenticity, integrity and trust for
products and documents — Specification and usage of visible
digital seal (VDS) data format for authentication, verification and
acquisition of data carried by a document or object
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2023
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
Sommaire Page
Avant-propos .v
Introduction . vi
1 Domaine d'application .1
2 Références normatives .1
3 Termes et définitions . 2
4 Concepts de base . 5
5 Structures et ressources .6
5.1 Généralités . 6
5.2 Liste des services de confiance et extensions . 6
5.2.1 Généralités . 6
5.2.2 Extensions . 6
5.2.3 Identité d'un OSC . 6
5.2.4 Emplacement du manifeste d'un OSC. 7
5.2.5 Référence de l'AC . 7
5.2.6 Répertoire des certificats publics . 7
5.2.7 Sécurité XML . 7
5.2.8 Exemple et vérification . 8
5.3 Manifeste . 8
5.3.1 Généralités . 8
5.3.2 Section Information . 8
5.3.3 Section Schema . 8
5.3.4 Section Extensions. 11
5.3.5 Sécurité XML . 11
5.3.6 Exemple et vérification . 11
5.4 Extensions de manifeste . 11
5.4.1 Généralités . 11
5.4.2 Extension de politiques . 11
5.4.3 Politique d'utilisation autorisée.12
5.5 CEV . 12
5.5.1 Généralités .12
5.5.2 Encodage binaire . 13
5.5.3 Section Header .13
5.5.4 Section Payload . .15
5.5.5 Section Signature . 16
5.5.6 Section Auxiliary Data. 17
5.5.7 Exemple . 17
5.6 Certificat de signature . 17
5.6.1 Généralités . 17
5.6.2 Extensions des listes d'utilisation . 18
6 Processus de production .18
7 Processus de vérification.19
7.1 Concepts de base . 19
7.2 Acquisition des données du CEV . 19
7.3 Analyse de la structure de l'en-tête . 19
7.4 Extraction et vérification des références. 19
7.4.1 Généralités . 19
7.4.2 TSL (Trust Service List) . 19
7.4.3 Manifeste .20
7.4.4 Certificat de signature et liste de révocation des certificats .20
7.5 Traitement du message .20
7.6 Traitement des extensions .20
7.7 Vérification de la signature .20
iii
7.8 Présentation des données des documents . 20
Annexe A (informative) Exemple d'encodage d'un CEV .21
Annexe B (informative) Exemple de TSL .23
Annexe C (informative) Exemple de manifeste .27
Annexe D (informative) Exemple de définition de schéma XML de TSL .29
Annexe E (informative) Exemple de définition de schéma XML d'un manifeste .30
Bibliographie .41
iv
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est
en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l'ISO participent également aux travaux.
L'ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document
a été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2
(voir www.iso.org/directives).
L'ISO attire l'attention sur le fait que la mise en application du présent document peut entraîner
l'utilisation d'un ou de plusieurs brevets. L'ISO ne prend pas position quant à la preuve, à la validité et
à l'applicabilité de tout droit de propriété revendiqué à cet égard. À la date de publication du présent
document, l'ISO n'avait pas reçu notification qu'un ou plusieurs brevets pouvaient être nécessaires à sa
mise en application. Toutefois, il y a lieu d'avertir les responsables de la mise en application du présent
document que des informations plus récentes sont susceptibles de figurer dans la base de données de
brevets, disponible à l'adresse www.iso.org/brevets. L'ISO ne saurait être tenue pour responsable de ne
pas avoir identifié tout ou partie de tels droits de brevet.
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l'intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.