ISO/IEC 9594-2:1998/Cor 2:2002
(Corrigendum)Information technology — Open Systems Interconnection — The Directory: Models — Part 2: — Technical Corrigendum 2
Information technology — Open Systems Interconnection — The Directory: Models — Part 2: — Technical Corrigendum 2
Technologies de l'information — Interconnexion de systèmes ouverts (OSI) — L'annuaire: Les modèles — Partie 2: — Rectificatif technique 2
General Information
Relations
Standards Content (Sample)
INTERNATIONAL STANDARD ISO/IEC 9594-2:1998
TECHNICAL CORRIGENDUM 2
Published 2002-05-01
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION • МЕЖДУНАРОДНАЯ ОРГАНИЗАЦИЯ ПО СТАНДАРТИЗАЦИИ • ORGANISATION INTERNATIONALE DE NORMALISATION
INTERNATIONAL ELECTROTECHNICAL COMMISSION • МЕЖДУНАРОДНАЯ ЭЛЕКТРОТЕХНИЧЕСКАЯ КОМИССИЯ • COMMISSION ÉLECTROTECHNIQUE INTERNATIONALE
Information technology — Open Systems Interconnection —
The Directory: Models
TECHNICAL CORRIGENDUM 2
Technologies de l'information — Interconnexion de systèmes ouverts (OSI) — L'annuaire: Les modèles
RECTIFICATIF TECHNIQUE 2
Technical Corrigendum 2 to International Standard ISO/IEC 9594-2:1998 was prepared by Joint Technical
Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 6, Telecommunications and information
exchange between systems.
ICS 35.100.70 Ref. No. ISO/IEC 9594-2:1998/Cor.2:2002(E)
© ISO/IEC 2002 – All rights reserved
Printed in Switzerland
---------------------- Page: 1 ----------------------
ISO/IEC 9594-2:1998/Cor.2:2002 (E)
INTERNATIONAL STANDARD
ITU-T RECOMMENDATION
Information technology – Open Systems Interconnection –
The Directory: Models
TECHNICAL CORRIGENDUM 2
NOTE – This Technical Corrigendum covers the result of the ballot resolutions of Draft Technical Corrigenda 3 and 4.
1) Defect reports covered by Draft Technical Corrigendum 3
(Covering resolutions to defect reports 229 and 230.)
1.1) This corrects the defects reported in defect reports 9594/229-230
In 2.1:
Replace:
– ITU-T Recommendation X.525 (1997) | ISO/IEC 9594-8:1999, Information technology – Open Systems
Interconnection – The Directory: Replication.
with:
– ITU-T Recommendation X.525 (1997) | ISO/IEC 9594-9:1998, Information technology – Open Systems
Interconnection – The Directory: Replication.
In 17.4.3:
In the attributeValueSecurityLabelContext specification replace SYNTAX with WITH SYNTAX
Delete the KeyIdentifier type.
Introduce the same changes in Annex P.
In 18.1.2:
Change the 4th paragraph to:
Digital signatures applied to the whole entry do not include operational, collective attributes or the
attributeIntegrityInfo itself. Any attribute value contexts are included.
Delete the 5th paragraph (beginning "Additional control information …").
Change the attributeIntegrityInfo attribute definition and its supporting definitions to:
attributeIntegrityInfo ATTRIBUTE ::= {
WITH SYNTAX AttributeIntegrityInfo
ID id-at-attributeIntegrityInfo}
AttributeIntegrityInfo ::= SIGNED { SEQUENCE {
scope Scope, -- Identifies the attributes protected
signer Signer OPTIONAL, -- Authority or data originators name
attribsHash AttribsHash } } -- Hash value of protected attributes
Signer ::= CHOICE {
thisEntry [0] EXPLICIT ThisEntry,
thirdParty [1] SpecificallyIdentified }
ITU-T X.501 (1997)/Cor.2 (02/2001 E) 1
---------------------- Page: 2 ----------------------
ISO/IEC 9594-2:1998/Cor.2:2002 (E)
ThisEntry ::= CHOICE {
onlyOne NULL,
specific IssuerAndSerialNumber }
IssuerAndSerialNumber ::= SEQUENCE {
issuer Name,
serial CertificateSerialNumber }
SpecificallyIdentified ::= SEQUENCE {
name GeneralName,
issuer GeneralName OPTIONAL,
serial CertificateSerialNumber OPTIONAL }
( WITH COMPONENTS { …, issuer PRESENT, serial PRESENT } |
( WITH COMPONENTS { …, issuer ABSENT, serial ABSENT } ) )
Scope ::= CHOICE {
wholeEntry [0] NULL, -- Signature protects all attribute values in this entry
selectedTypes [1] SelectedTypes
-- Signature protects all attribute values of the selected attribute types
}
SelectedTypes ::= SEQUENCE SIZE (1.MAX) OF AttributeType
AttribsHash ::= HASH { SEQUENCE SIZE (1.MAX) OF Attribute }
-- Attribute type and values with associated context values for the selected Scope
Add the following text after the above ASN.1:
An AttributeIntegrityInfo value can be created in three different ways:
a) An administrative authority can create and sign the value, and the public key to verify the signature is
known by off-line means.
b) The owner of the entry, i.e. the object represented by the entry, can create and sign the value. If the
owner has several certificates, or expected to have that in the future, the certificate has to be identified
by the CA issuing the certificate together with the certificate serial number.
c) A third party may create and sign the value. The name of the signer, the name of the CA issuing the
certificate and the certificate serial number is required.
If the scope is wholeEntry, all the applicable attributes shall be ordered as specified for a set-of type in 6.1 of ITU-T
Rec. X.509 | ISO/IEC 9594-8. If scope is selectedTypes, the ordering shall be the same as the one given in the
SelectedTypes.
NOTE – If a user does not retrieve all the complete attributes that are defined within the Scope data type, it will not be
possible for the user to verify the integrity of the attributes.
Delete 18.1.2.1.
Introduce the same changes to ASN.1 in Annex P.
Replace 18.1.3 with the following:
18.1.3 Context for Protection of a Single Attribute Value
The following defines a context to hold a digital signature, along with associated control information, which provides
integrity for a single attribute value. Any attribute value contexts are included in the integrity check, excluding the
context used to hold signatures.
attributeValueIntegrityInfoContext CONTEXT ::= {
WITH SYNTAX AttributeValueIntegrityInfo
ID id-avc-attributeValueIntegrityInfoContext }
AttributeValueIntegrityInfo ::= SIGNED { SEQUENCE {
signer Signer OPTIONAL, -- Authority or data originators name
aVIHash AVIHash } } -- Hash value of protected attribute
AVIHash ::= HASH { AttributeTypeValueContexts }
-- Attribute type and value with associated context values
2 ITU-T X.501 (1997)/Cor.2 (02/2001 E)
---------------------- Page: 3 ----------------------
ISO/IEC 9594-2:1998/Cor.2:2002 (E)
AttributeTypeValueContexts ::= SEQUENCE {
type ATTRIBUTE.&id ({SupportedAttributes}),
value ATTRIBUTE.&Type ({SupportedAttributes}{@type}),
contextList SET SIZE (1.MAX) OF Context OPTIONAL }
The contextList shall be ordered as specified for a set-of type in 6.1 of ITU-T Rec. X.509 | ISO/IEC 9594-8.
Change the ASN.1 in Annex P as above and delete AVIAssertion data type.
In Annex B:
Delete OPTIONALLY-SIGNED import from DirectoryAbstractService
In Annex C:
In the application component of AttributeTypeInformation replace userApplication with userApplications
In Annex D:
Add directoryAbstractService to the import from UsefulDefinitions
Add SupportedAttributes to the import from InformationFramework
Add:
Filter
FROM DirectoryAbstractService directoryAbstractService
In Annex F:
Add enhancedSecurity to the import from UsefulDefinitions
Delete OPTIONALLY-PROTECTED and DIRQOP from the import from EnhancedSecurity. Add instead
OPTIONALLY-PROTECTED-SEQ.
In Annex P:
All the changes to Annex P have been subsumed by the resolution of defect report 228.
2) Defect reports covered by Draft Technical Corrigendum 4
(Covering resolutions to defect reports 228, 242, 255, 260, 261, 267 and 269.)
2.1) This corrects the defects reported in defect report 9594/228
Insert the following between 15.3 and 15.3.1:
Warning – Subclauses 15.3.1 and 15.3.2 are known to contain invalid specifications. These subclauses are therefore
deprecated. A future edition will either remove the deprecated specifications or provide updated text.
The following specifications are provided to preserve the optionally signed capability provided by edition 2 of these
Directory Specifications and to allow that capability to be extended to all operations and to errors:
OPTIONALLY-PROTECTED is a parameterized data type where the parameter is a data type whose values may, at the
option of the generator, be accompanied by their digital signature. This capability is specified by means of the
following type:
OPTIONALLY-PROTECTED { Type } ::= CHOICE {
unsigned Type,
signed SIGNED {Type} }
The OPTIONALLY-PROTECTED-SEQ is used instead of OPTIONALLY-PROTECTED when the protected data type is a
sequence data type that is not tagged.
OPTIONALLY-PROTECTED-SEQ { Type } ::= CHOICE {
unsigned Type,
signed [0] SIGNED { Type } }
ITU-T X.501 (1997)/Cor.2 (02/2001 E) 3
---------------------- Page: 4 ----------------------
ISO/IEC 9594-2:1998/Cor.2:2002 (E)
The SIGNED parameterized data type, which describes the form of the signed form of the information, is specified in
ITU-T Rec. X.509 | ISO/IEC 9594-8.
Insert the following 18.2 and 18.2.1:
Warning – This subclause is known to contain invalid specifications. This subclause is therefore deprecated. A future
edition will either remove the deprecated specifications or provide updated text.
In Annex A, add ASN.1 comment items as shown:
-- securityExchange ID ::= {ds 32}
-- directorySecurityExchanges ID ::= {module directorySecurityExchanges (29) 1}
-- id-se ID ::= securityExchange
In clause 26, delete all occurrence of:
,
DIRQOP.&…-QOP{@dirqop}
and change all occurrences of:
OPTIONALLY-PROTECTED
to:
OPTIONALLY-PROTECTED-SEQ
Introduce the same changes to Annex F.
4 ITU-T X.501 (1997)/Cor.2 (02/2001 E)
---------------------- Page: 5 ----------------------
ISO/IEC 9594-2:1998/Cor.2:2002 (E)
Replace Annex P with the following:
Annex P
Enhanced security
(This annex forms an integral part of this Recommendation | International Standard)
This module is known to contain invalid specifications. Part of this module is therefore deprecated. The deprecated part
is indicated by ASN.1 comment items. A future edition will either remove the deprecated specifications or provide
updated specifications.
EnhancedSecurity { joint-iso-itu-t ds(5) modules(1) enhancedSecurity(28) 1 }
DEFINITIONS IMPLICIT TAGS ::=
BEGIN
-- EXPORTS All --
IMPORTS
-- from ITU-T Rec. X.501 | ISO/IEC 9594-2
authenticationFramework, basicAccessControl, certificateExtensions, id-at, id-avc, id-mr,
informationFramework, upperBounds
FROM UsefulDefinitions { joint-iso-itu-t ds(5) module(1) usefulDefinitions(0) 3 }
Attribute, ATTRIBUTE, AttributeType, Context, CONTEXT, MATCHING-RULE, Name,
objectIdentifierMatch, SupportedAttributes
FROM InformationFramework informationFramework
AttributeTypeAndValue
FROM BasicAccessControl basicAccessControl
-- from ITU-T Rec. X.509 | ISO/IEC 9594-8
AlgorithmIdentifier, CertificateSerialNumber, ENCRYPTED{}, HASH{}, SIGNED{}
FROM AuthenticationFramework authenticationFramework
GeneralName, KeyIdentifier
FROM CertificateExtensions certificateExtensions
ub-privacy-mark-length
FROM UpperBounds upperBounds ;
-- from GULS
-- SECURITY-TRANSFORMATION, PROTECTION-MAPPING, PROTECTED
-- FROM Notation { joint-iso-ccitt genericULS (20) modules (1) notation (1) }
-- dirSignedTransformation, KEY-INFORMATION
-- FROM GulsSecurityTransformations { joint-iso-ccitt genericULS (20) modules (1)
-- gulsSecurityTransformations (3) }
-- signed
-- FROM GulsSecurityTransformations { joint-iso-ccitt genericULS (20) modules (1)
-- dirProtectionMappings (4) };
-- The "signed" Protection Mapping and associated "dirSignedTransformations" imported
-- from the Generic Upper Layers Security specification (ITU-T Rec. X.830 | ISO/IEC 11586-1)
-- results in identical encoding as the same data type used with the SIGNED as defined in
-- ITU-T REC. X.509 | ISO/IEC 9594-8
-- The three statements below are provided temporarily to allow signed operations to be supported as in edition 3.
OPTIONALLY-PROTECTED { Type } ::= CHOICE {
unsigned Type,
signed SIGNED {Type} }
OPTIONALLY-PROTECTED-SEQ { Type } ::= CHOICE {
unsigned Type,
signed [0] SIGNED { Type } }
ITU-T X.501 (1997)/Cor.2 (02/2001 E) 5
---------------------- Page: 6 ----------------------
ISO/IEC 9594-2:1998/Cor.2:2002 (E)
-- The following out-commented ASN.1 specifications are known to be erroneous and are therefore deprecated.
-- genEncryptedTransform {KEY-INFORMATION: SupportedKIClasses } SECURITY-TRANSFORMATION ::=
-- {
-- IDENTIFIER { enhancedSecurity gen-encrypted(2) }
-- INITIAL-ENCODING-RULES { joint-iso-itu-t asn1(1) ber(1) }
-- This default for initial encoding rules may be overridden
-- using a static protected parameter (initEncRules).
-- XFORMED-DATA-TYPE SEQUENCE {
-- initEncRules OBJECT IDENTIFIER DEFAULT { joint-iso-itu-t asn1(1) ber(1) },
-- encAlgorithm AlgorithmIdentifier OPTIONAL, -- -- Identifies the encryption algorithm,
-- keyInformation SEQUENCE {
-- kiClass KEY-INFORMATION.&kiClass ({SupportedKIClasses}),
-- keyInfo KEY-INFORMATION.&KiType ({SupportedKIClasses} {@kiClass})
-- } OPTIONAL,
-- Key information may assume various formats, governed by supported members
-- of the KEY-INFORMATION information object class (defined in ITU-T
-- Rec. X.830 | ISO/IEC 11586-1)
-- encData BIT STRING ( CONSTRAINED BY {
-- the encData value must be generated following
-- the procedure specified in 17.3.1-- })
-- }
-- }
-- encrypted PROTECTION-MAPPING ::= {
-- SECURITY-TRANSFORMATION { genEncryptedTransform } }
-- signedAndEncrypt PROTECTION-MAPPING ::= {
-- SECURITY-TRANSFORMATION { signedAndEncryptedTransform } }
-- signedAndEncryptedTransform {KEY-INFORMATION: SupportedKIClasses}
-- SECURITY-TRANSFOR
...
NORME INTERNATIONALE ISO/CEI 9594-2:1998
RECTIFICATIF TECHNIQUE 2
Publié 2002-05-01
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION • МЕЖДУНАРОДНАЯОРГАНИЗАЦИЯПОСТАНДАРТИЗАЦИИ • ORGANISATION INTERNATIONALE DE NORMALISATION
INTERNATIONAL ELECTROTECHNICAL COMMISSION • МЕЖДУНАРОДНАЯЭЛЕКТРОТЕХНИЧЕСКАЯКОМИССИЯ • COMMISSION ÉLECTROTECHNIQUE INTERNATIONALE
Technologies de l'information — Interconnexion de systèmes
ouverts (OSI) — L'annuaire: Les modèles
RECTIFICATIF TECHNIQUE 2
Information technology — Open Systems Interconnection — The Directory: Models
TECHNICAL CORRIGENDUM 2
Le Rectificatif technique 2 à la Norme internationale ISO/CEI 9594-2:1998 a été élaboré par le comité technique
mixte ISO/CEI JTC 1, Technologies de l'information, sous-comité SC 6, Téléinformatique.
o
ICS 35.100.70 Réf. n ISO/CEI 9594-2:1998/Cor.2:2002(F)
© ISO/CEI 2002 – Tous droits réservés
ImpriméenSuisse
---------------------- Page: 1 ----------------------
ISO/CEI 9594-2:1998/Cor.2:2002 (F)
NORME INTERNATIONALE
RECOMMANDATION UIT-T
Technologies de l'information – Interconnexion des systèmes ouverts –
L'annuaire: les modèles
CORRIGENDUM TECHNIQUE 2
NOTE – Le présent corrigendum technique couvre le résultat des résolutions de vote concernant les projets de Corrigendum
technique 3 et 4.
1) Relevés de défauts couverts par le projet de Corrigendum technique 3
(Couvrant les résolutions relatives aux relevés de défauts 229 et 230.)
1.1) Ce qui suit rectifie les défauts figurant dans les relevés de défauts 9594/229-230
Au 2.1:
(Modification non applicable à la version française)
Au 17.4.3:
Dans la spécification du contexte attributeValueSecurityLabelContext, remplacer SYNTAX par WITH SYNTAX.
Supprimer le type KeyIdentifier.
Il convient d'apporter les mêmes modifications dans l'Annexe P.
Au 18.1.2:
e
Modifier comme suite le 4 alinéa:
Les signatures numériques appliquées à l'entrée complète ne comprennent pas les attributs opérationnels, les attributs
collectifs ou la définition attributeIntegrityInfo proprement dite. Tous les contextes de valeur d'attribut sont inclus.
e
Supprimer le 5 alinéa ("Des informations de contrôle additionnelles .").
Modifier comme suit la définition de l'attribut attributeIntegrityInfo et ses définitions corrélatives:
attributeIntegrityInfo ATTRIBUTE ::= {
WITH SYNTAX AttributeIntegrityInfo
ID id-at-attributeIntegrityInfo}
AttributeIntegrityInfo ::= SIGNED { SEQUENCE {
scope Scope, -- Identifie les attributs protégés
signer Signer OPTIONAL, -- Nom de l'autorité ou des émetteurs des données
attribsHash AttribsHash } } -- Valeur de hachage des attributs protégés
Signer ::= CHOICE {
thisEntry [0] EXPLICIT ThisEntry,
thirdParty [1] SpecificallyIdentified }
Rec. UIT-T X.501 (1997)/Cor.2 (02/2001 F) 1
---------------------- Page: 2 ----------------------
ISO/CEI 9594-2:1998/Cor.2:2002 (F)
ThisEntry ::= CHOICE {
onlyOne NULL,
specific IssuerAndSerialNumber }
IssuerAndSerialNumber ::= SEQUENCE {
issuer Name,
serial CertificateSerialNumber }
SpecificallyIdentified ::= SEQUENCE {
name GeneralName,
issuer GeneralName OPTIONAL,
serial CertificateSerialNumber OPTIONAL }
( WITH COMPONENTS { …, issuer PRESENT, serial PRESENT } |
( WITH COMPONENTS { …, issuer ABSENT, serial ABSENT } ) )
Scope ::= CHOICE {
wholeEntry [0] NULL, -- La signature protège toutes les valeurs d'attribut
-- dans cette entrée
selectedTypes [1] SelectedTypes
-- La signature protège toutes les valeurs d'attribut des types
-- d'attribut sélectionnés
}
SelectedTypes ::= SEQUENCE SIZE (1.MAX) OF AttributeType
AttribsHash ::= HASH { SEQUENCE SIZE (1.MAX) OF Attribute }
-- Type et valeurs d'attribut avec valeurs de contexte associées pour le domaine sélectionné
Ajouter ce qui suit après l'ASN.1 ci-dessus:
Une valeur AttributeIntegrityInfo peut être créée de trois façons différentes:
a) une autorité administrative peut créer et signer la valeur. Dans ce cas, la clé publique permettant de
vérifier la signature est connue par des moyens hors ligne;
b) le détenteur de l'entrée, c'est-à-dire l'objet représenté par celle-ci, peut créer et signer la valeur. Si le
détenteur possède plusieurs certificats ou est censé en disposer ultérieurement, le certificat doit être
identifié par l'autorité CA qui l'a émis ainsi que son numéro de série;
c) une tierce partie peut créer et signer la valeur. Le nom du signataire, le nom de l'autorité CA émettrice du
certificat et le numéro de série de celui-ci sont requis.
Si le domaine de visibilité est wholeEntry, tous les attributs applicables doivent être ordonnés comme spécifié pour un
type "ensemble-de" au § 6.1 de la Rec. UIT-T X.509 | ISO/CEI 9594-8. Si le domaine est selectedTypes, l'ordre doit
être celui qui est indiqué dans l'objet SelectedTypes.
NOTE – Si un utilisateur n'extrait pas tous les attributs complets qui sont définis dans le type de données Scope, cet
utilisateur ne pourra pas vérifier l'intégrité des attributs.
Supprimer le § 18.1.2.1.
Les modifications apportées à la notation ASN.1 doivent l'être également dans l'Annexe P.
Remplacer le § 18.1.3 par ce qui suit:
18.1.3 Contexte de protection d'une valeur d'attribut unique
La notation suivante définit un contexte qui détient, conjointement avec les informations de contrôle associées, une
signature numérique qui assure l'intégrité d'une valeur d'attribut unique. Sont inclus dans le contrôle d'intégrité tous les
contextes de valeur d'attribut, à l'exclusion du contexte utilisé pour contenir les signatures.
attributeValueIntegrityInfoContext CONTEXT ::= {
WITH SYNTAX AttributeValueIntegrityInfo
ID id-avc-attributeValueIntegrityInfoContext }
AttributeValueIntegrityInfo ::= SIGNED { SEQUENCE {
signer Signer OPTIONAL, -- Nom de l'autorité ou des émetteurs des données
aVIHash AVIHash } } -- Valeur de hachage de l'attribut protégé
2 Rec. UIT-T X.501 (1997)/Cor.2 (02/2001 F)
---------------------- Page: 3 ----------------------
ISO/CEI 9594-2:1998/Cor.2:2002 (F)
AVIHash ::= HASH { AttributeTypeValueContexts }
-- Type et valeurs d'attribut avec les valeurs de contexte associées
AttributeTypeValueContexts ::= SEQUENCE {
type ATTRIBUTE.&id ({SupportedAttributes}),
value ATTRIBUTE.&Type ({SupportedAttributes}{@type}),
contextList SET SIZE (1.MAX) OF Context OPTIONAL }
La liste contextList doit être ordonnée comme spécifié pour un type "ensemble-de" dans le § 6.1 de la
Rec. UIT-T X.509 | ISO/CEI 9594-8.
Modifier la notation ASN.1 dans l'Annexe P comme indiqué ci-dessus et supprimer le type de données AVIAssertion.
Dans l'Annexe B:
Supprimer l'importation OPTIONALLY-SIGNED en provenance de DirectoryAbstractService.
Dans l'Annexe C:
Dans la composante application de l'objet AttributeTypeInformation, remplacer userApplication par
userApplications.
Dans l'Annexe D:
Ajouter directoryAbstractService à l'importation en provenance de UsefulDefinitions.
Ajouter SupportedAttributes à l'importation en provenance de InformationFramework.
Ajouter:
Filter
FROM DirectoryAbstractService directoryAbstractService
Dans l'Annexe F:
Ajouter enhancedSecurity à l'importation en provenance UsefulDefinitions
Supprimer OPTIONALLY-PROTECTED et DIRQOP de l'importation en provenance EnhancedSecurity. Ajouter à la
place OPTIONALLY-PROTECTED-SEQ.
Dans l'Annexe P:
Toutes les modifications à l'Annexe P ont été incluses dans la résolution concernant le relevé de défauts 228.
2) Relevés de défauts couverts par le projet de Corrigendum technique 4
(Couvrant les résolutions relatives aux relevés de défauts 228, 242, 255, 260, 261, 267 et 269.)
2.1) Ce qui suit rectifie les défauts figurant dans le relevé de défauts 9594/228
Ajouter au début du § 15.3 juste avant le 15.3.1:
Avertissement – Les § 15.3.1 et 15.3.2 contiennent notoirement des spécifications invalides. Ces paragraphes sont donc
à éviter. Une future édition supprimera ces spécifications à éviter ou fournira un texte mis à jour.
Les spécifications suivantes sont données afin de conserver la capacité de signature offerte dans l'édition 2 des présentes
Spécifications d'annuaire et afin de permettre d'étendre cette capacité à toutes les opérations et aux erreurs.
OPTIONALLY-PROTECTED est un type de données paramétré dans lequel le paramètre et un type de données dont les
valeurs peuvent, au choix de l'émetteur, être accompagnées de leur signature numérique. Cette capacité est spécifiée au
moyen du type suivant:
OPTIONALLY-PROTECTED { Type } ::= CHOICE {
unsigned Type,
signed SIGNED {Type} }
Rec. UIT-T X.501 (1997)/Cor.2 (02/2001 F) 3
---------------------- Page: 4 ----------------------
ISO/CEI 9594-2:1998/Cor.2:2002 (F)
Le type OPTIONALLY-PROTECTED-SEQ est utilisé à la place de OPTIONALLY-PROTECTED lorsque le type de
données protégées est un type de données en séquence qui n'est pas étiqueté.
OPTIONALLY-PROTECTED-SEQ { Type } ::= CHOICE {
unsigned Type,
signed [0] SIGNED { Type } }
Le type de données paramétré SIGNED, qui décrit la forme signée des informations, est spécifié dans la
Rec. UIT-T X.509 | ISO/CEI 9594-8.
Ajouter au début du § 18.2 juste avant le § 18.2.1:
Avertissement – Ce paragraphe contient notoirement des spécifications invalides. Il est donc à éviter. Une future édition
supprimera ces spécifications à éviter ou fournira un texte mis à jour.
Dans l'Annexe A, ajouter un commentaire en notation ASN.1 comme indiqué:
-- securityExchange ID ::= {ds 32}
-- directorySecurityExchanges ID ::= {module directorySecurityExchanges (29) 1}
-- id-se ID ::= securityExchange
Dans l'article 26, supprimer toute occurrence de:
DIRQOP.&…-QOP{@dirqop}
et remplacer toutes les occurrences de:
OPTIONALLY-PROTECTED
par:
OPTIONALLY-PROTECTED-SEQ
Apporter les mêmes modifications à l'Annexe F.
4 Rec. UIT-T X.501 (1997)/Cor.2 (02/2001 F)
---------------------- Page: 5 ----------------------
ISO/CEI 9594-2:1998/Cor.2:2002 (F)
Remplacer l'Annexe P par ce qui suit:
Annexe P
Amélioration de la sécurité
(Cette annexe fait partie intégrante de la présente Recommandation | Norme internationale)
Il est notoire que ce module contient des spécifications invalides. La partie de ce module qui est donc à éviter est
indiquée par des commentaires en notation ASN.1. Une future édition supprimera les spécifications à éviter ou les
remplacera par des spécifications mises à jour.
EnhancedSecurity { joint-iso-itu-t ds(5) modules(1) enhancedSecurity(28) 1 }
DEFINITIONS IMPLICIT TAGS ::=
BEGIN
-- EXPORTER TOUT --
IMPORTS
-- de la Rec. UIT-T X.501 | ISO/CEI 9594-2
authenticationFramework, basicAccessControl, certificateExtensions, id-at, id-avc, id-mr,
informationFramework, upperBounds
FROM UsefulDefinitions { joint-iso-itu-t ds(5) module(1) usefulDefinitions(0) 3 }
Attribute, ATTRIBUTE, AttributeType, Context, CONTEXT, MATCHING-RULE, Name,
objectIdentifierMatch, SupportedAttributes
FROM InformationFramework informationFramework
AttributeTypeAndValue
FROM BasicAccessControl basicAccessControl
-- de la Rec. UIT-T X.509 | ISO/CEI 9594-8
AlgorithmIdentifier, CertificateSerialNumber, ENCRYPTED{}, HASH{}, SIGNED{}
FROM AuthenticationFramework authenticationFramework
GeneralName, KeyIdentifier
FROM CertificateExtensions certificateExtensions
ub-privacy-mark-length
FROM UpperBounds upperBounds ;
-- de GULS
-- SECURITY-TRANSFORMATION, PROTECTION-MAPPING, PROTECTED
-- FROM Notation { joint-iso-ccitt genericULS (20) modules (1) notation (1) }
-- dirSignedTransformation, KEY-INFORMATION
-- FROM GulsSecurityTransformations { joint-iso-ccitt genericULS (20) modules (1)
-- gulsSecurityTransformations (3) }
-- signed
-- FROM GulsSecurityTransformations { joint-iso-ccitt genericULS (20) modules (1)
-- dirProtectionMappings (4) };
-- Le mappage de protection "signé" et les transformations associées de type dirSignedTransformations,
-- importés de la spécification de sécurité générique des couches supérieures (Rec. UIT-T X.830 | ISO/CEI 11586-1)
-- produisent un codage identique au type de données identique qui est utilisé avec l'objet SIGNED qui est défini dans
-- la Rec. UIT-T X.509 | ISO/CEI 9594-8
-- Les trois déclarations ci-dessous sont données provisoirement afin de permettre la prise en charge
e
-- des opérations signées comme dans la 3 édition.
Rec. UIT-T X.501 (1997)/Cor.2 (02/2001 F) 5
---------------------- Page: 6 ----------------------
ISO/CEI 9594-2:1998/Cor.2:2002 (F)
OPTIONALLY-PROTECTED { Type } ::= CHOICE {
unsigned Type,
signed SIGNED {Type} }
OPTIONALLY-PROTECTED-SEQ { Type } ::= CHOICE {
unsigned Type,
signed [0] SIGNED { Type } }
-- La spécification ASN.1 ci-dessous, extraite pour citation sous forme de commentaire, est notoirement erronée et est
-- donc déconseillée.
-- genEncryptedTransform {KEY-INFORMATION: SupportedKIClasses } SECURITY-TRANSFORMATION ::=
-- {
-- IDENTIFIER { enhancedSecurity gen-encrypted(2) }
-- INITIAL-ENCODING-RULES { joint-iso-itu-t asn1(1) ber(1) }
-- Cette valeur par défaut pour les règles de codage initiales peut être
-- neutralisée au moyen d'un paramètre statique protégé (initEncRules).
-- XFORMED-DATA-TYPE SEQUENCE {
-- initEncRules OBJECT IDENTIFIER DEFAULT { joint-iso-itu-t asn1(1) ber(1) },
-- encAlgorithm AlgorithmIdentifier OPTIONAL, -- -- désigne le cryptage,
-- keyInformation SEQUENCE {
-- kiClass KEY-INFORMATION.&kiClass ({SupportedKIClasses}),
-- keyInfo KEY-INFORMATION.&KiType ({SupportedKIClasses} {@kiClass})
-- } OPTIONAL,
-- Les informations clés peuvent avoir divers formats selon les membres pris en charge
-- de la classe d'objets informationnels KEY-INFORMATION (définie dans la
-- Rec. UIT-T X.830 | ISO/CEI 11586-1)
-- encData BIT STRING ( CONSTRAINED BY {
-- la valeur encData doit être produite après
-- la procédure spécifiée au § 17.3.1-- })
-- }
-- }
-- encrypted PROTECTION-MAPPING ::= {
-- SECURITY-TRANSFORMATION { genEncryptedTransform } }
-- signedAndEncrypt PROTECTION-MAPPING ::= {
-- SECURITY-TRANSFOR
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.