行政、商業(yè)和行業(yè)中的數(shù)據(jù)元、過程和文檔 長效簽名 第2部分：XML高級電子簽名（XAdES）規(guī)范 征求意見稿

3GB/TXXXX.2—XXXX/ISO14533.2-2021行政、商業(yè)和行業(yè)中的數(shù)據(jù)元、過程和文檔長效簽名第2部分：XML高級電子簽名（XAdES）規(guī)范本部分規(guī)定了在XML高級電子簽名(XAdES)中定義的用于長期進行數(shù)字簽名驗證的數(shù)據(jù)元。本部分適用于商業(yè)、工業(yè)和行政的過程、數(shù)據(jù)元和單證的XAdES長效簽名。2規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。ISO14533-1,用于商業(yè)、工業(yè)和行政中的過程、數(shù)據(jù)元和單證長效簽名規(guī)范第1部分：高級CMS電子簽名(CAdES)用長效簽名規(guī)范ETSIEN319132-21)XAdES數(shù)字簽名第2部分擴展XAdES數(shù)字簽名v1.1.1,(2016年4月)XML簽名語法和處理，W3C建議書，2013年4月11日3術語和定義GB/T31308.1界定的術語以及下列術語和定義適用于本文件。3.1長效簽名longtermsignature用于長期進行驗證的簽名，通過對簽名時間、簽名主體、以及簽名的有效數(shù)據(jù)等的檢測，驗證簽名信息是否被非法篡改。3.2規(guī)范profile為保證與所引用規(guī)范中可選數(shù)據(jù)元以及可選數(shù)據(jù)元的取值范圍等相關的互操作性所使用的規(guī)則。3.3XML簽名XMLsignature所指定報文的簽名語法和處理過程。3.4該標準可從以下網(wǎng)址獲得<http:///pda/queryform.asp>。4GB/TXXXX.2—XXXX/ISO14533.2-2021XsdES數(shù)字簽名XMLadvancedelectronicsignature（XadES）在ETSIEN903132-2中定義的能夠識別簽名人并能檢測出非法數(shù)據(jù)篡改的基于XML的數(shù)字簽名。注：在2002年2月12日發(fā)布的萬維網(wǎng)(3.5帶有時間的XadESXadESwithtime（XadES-T）在ETSITS101903中定義的帶有確定的簽名時間信息的XML高級電子簽名。3.6帶有驗證數(shù)據(jù)的XadESXAdESwithvalidationdata（XAdES-X-Long）3.7歸檔的XAdESarchivalXAdES（XAdES-A）在ETSITS101903中定義的帶有簽名主體和有效數(shù)據(jù)等，用于檢測與簽名相關的任何非法數(shù)據(jù)篡改信息的XML數(shù)字簽名。3.8簽名數(shù)據(jù)元signedelement服務于XML電子簽名路徑的數(shù)據(jù)元。一個簽名主體可以有兩個或多個簽名數(shù)據(jù)元。4符號下面表示“要求級別”的符號適用于本文件?！狢條件型；——M必備型；——O可選型。5要求5.1XAdES-T數(shù)據(jù)的生成或驗證應符合本部分給出的下列兩項要求:a)應包含本部分規(guī)定的XAdES-T規(guī)范中所有要求級別為“必備型”的數(shù)據(jù)元；b)應給出本部分規(guī)定的XAdES-T規(guī)范中所有要求級別為“條件型”的與數(shù)據(jù)元相關的詳細規(guī)范。5.2XAdES-A數(shù)據(jù)的生成或驗證應滿足本部分給出的下列兩項要求:a)應包含本部分規(guī)定的XAdES-A規(guī)范中所有要求級別為“必備型”的數(shù)據(jù)元；b)應給出本部分規(guī)定的XAdES-A規(guī)范中所有要求級別為“條件型”的與數(shù)據(jù)元相關的詳細規(guī)范。5GB/TXXXX.2—XXXX/ISO14533.2-20215.3當使用甲方一致性評定時，實施方應通過披露供應商的合規(guī)聲明及附件（見附錄A做出一個符合本部分的聲明，該合規(guī)聲明包括實施狀態(tài)描述（以及條件型數(shù)據(jù)元的規(guī)范）。注：圖1給出了XAdES-T和XAdE6長效簽名規(guī)范6.1已定義的規(guī)范為使電子簽名進行長期驗證，簽名時間應可識別，包括簽名主體信息和驗證數(shù)據(jù)在內(nèi)的非法篡改信息應可檢測，同時保證互操作性。為了滿足這些要求，本部分定義了XAdES的兩個規(guī)范：a)XAdES-T規(guī)范：與XAdES-T數(shù)據(jù)生成和驗證相關的規(guī)范；b)XAdES-A規(guī)范：與XAdES-A數(shù)據(jù)生成和驗證相關的規(guī)范。圖1給出了XAdES-T數(shù)據(jù)和XAdES-A數(shù)據(jù)之間的關系。圖1XAdES-T數(shù)據(jù)和XAdES-A數(shù)據(jù)之間的關系6.2要求級別的表示法本部分針對構(gòu)成XAdES-T數(shù)據(jù)和XAdES-A數(shù)據(jù)（按照某一規(guī)范配置定義了每一項數(shù)據(jù)元的要求級別的表示法。a)必備型（M）要求級別為“必備型”的數(shù)據(jù)元是應使用的數(shù)據(jù)元。如果“必備型”數(shù)據(jù)元有可選的子數(shù)據(jù)元，則應至少有一個子數(shù)據(jù)元是可選的。當選擇一個可選數(shù)據(jù)元時，任何要求級別為“必備型”并且它又是一個可選子數(shù)據(jù)元的數(shù)據(jù)元應是可選的。b)可選型（O）要求級別為“可選型”的數(shù)據(jù)元是由實施方自行決定是否使用的數(shù)據(jù)元。c)條件型（C）要求級別為“條件型”的數(shù)據(jù)元是由實施方自行決定是否使用并分別給出如何處理它們的詳細規(guī)范的數(shù)據(jù)元。6GB/TXXXX.2—XXXX/ISO14533.2-20216.3要求級別的設置標準構(gòu)成XAdES-T和XAdES-A數(shù)據(jù)的數(shù)據(jù)元要求級別應符合以下要求：a)XAdES中定義的要求級別為“必備型”的數(shù)據(jù)元，以及長效簽名的生成和驗證必要的數(shù)據(jù)元，要求級別應是“必備型”。在XAdES中定義的要求級別為“可選型”的數(shù)據(jù)元可以定義為“必備型”、“可選型”或“條件型”。b)外部定義的數(shù)據(jù)元要求級別應是“條件型”。c)與確定的應用互動的數(shù)據(jù)元，要求級別應是“條件型”。d)帶有關聯(lián)條件的數(shù)據(jù)元，要求級別應是“條件型”。e)僅包含參考信息的數(shù)據(jù)元，要求級別應是“可選型”。6.4未配置的可選數(shù)據(jù)元的處置當驗證處理所使用的XAdES數(shù)據(jù)包含未配置的數(shù)據(jù)元時，應采取下列措施：a)當上一級數(shù)據(jù)元的要求級別為“必備型”，并且一個或多個從屬的可選數(shù)據(jù)元將被選定時，或者一個或多個相關的可選數(shù)據(jù)元將被選定時，應提醒驗證方對上述數(shù)據(jù)元的驗證需求進行配置，否則驗證無法完成。示例：在驗證處理時，僅在處理位于“Reb)當“CounterSignature（附屬簽名）”是一個未配置的數(shù)據(jù)元時，應提醒驗證方對上述數(shù)據(jù)元的驗證需求進行配置，否則驗證無法完成。c)并非上述規(guī)定的可選數(shù)據(jù)元可忽略。6.5XAdES-T規(guī)范6.5.1概述在6.5.2和6.5.3中規(guī)定了構(gòu)成XAdES-T數(shù)據(jù)元的要求級別。6.5.2簽名數(shù)據(jù)元表1規(guī)定了構(gòu)成XML簽名數(shù)據(jù)元的要求級別。表1簽名數(shù)據(jù)元MMMM7GB/TXXXX.2—XXXX/ISO14533.2-2021MOMMMM6.5.3對象數(shù)據(jù)元、簽名數(shù)據(jù)元以及非簽名數(shù)據(jù)元表2、表3和表4規(guī)定了構(gòu)成簽名特性和非簽名特性數(shù)據(jù)元的要求級別。在表2、表3以及表4中沒有列出的簽名特性和非簽名特性數(shù)據(jù)元的要求級別應是“條件型”。表2對象數(shù)據(jù)元MMOQualifyingPropertiesRefC表3簽名特性數(shù)據(jù)元8GB/TXXXX.2—XXXX/ISO14533.2-2021SignedSignaturePropertiMSignaturePolicyIdentifierCSignatureProductionPlace（CCSignedDataObjectProperties（CCCommitmentTypeIndicatiCAllDataObjectsTimeStamp（所有數(shù)據(jù)對象時戳）CIndividualDataObjectsTC表4非簽名特性數(shù)據(jù)元UnsignedSignaturePrMOMOCUnsignedDataObjectProperC6.6XAdES-A規(guī)范6.6.1概述在6.6.2、6.6.3中規(guī)定了構(gòu)成XAdES-A數(shù)據(jù)的數(shù)據(jù)元要求級別。6.6.2XAdES-A規(guī)范的結(jié)構(gòu)XAdES-A規(guī)范被定義為擴展形式的XAdES-T規(guī)范加上表5中規(guī)定的非簽名屬性。與XAdES-T對應部分的各數(shù)據(jù)元要求級別應在6.5中規(guī)定。6.6.3附加的非簽名屬性9GB/TXXXX.2—XXXX/ISO14533.2-2021附加非簽名屬性的數(shù)據(jù)元要求級別應在表5中說明。對于沒有在表5規(guī)定的數(shù)據(jù)元要求級別應為“條表5附加的非簽名屬性CompleteCertificateReCompleteRevocationROOCAttributeCetrificateRefs（屬性證書參CAttributeRevocationRefs（屬性撤消參考）CSigAndRefsTimeStampMCMCMOCCertificatesmaintainedbytrustedservCM00CCertificatesmaintainedbytrustedservCGB/TXXXX.2—XXXX/ISO14533.2-2021AttrAuthoritiesCertValues（官方屬性證書CAttributeRevocationValues（屬性撤消值）CArchiving（歸檔）MArchiveTimeStamp（歸檔時戳）OMCCCDAnyunsignedsignaturotherversionofXAdCb.不推薦使用。如果使用的話，使用簽名參考時戳，或者使用僅參考時戳。并按照ETSITS101903v1.1.1.的要求。d.如果委托其他可信的“歸檔時戳”服務機構(gòu)維護歸檔時戳6.7時戳驗證數(shù)據(jù)驗證過去的時間戳的需要依靠信任錨的認證和撤證信息。時間戳驗證數(shù)據(jù)需要證書鏈中的各項證書，從TSA證書到信任錨證書以及屬于每一項這類證書的撤銷信息。如下所述，驗證數(shù)據(jù)可以隨XadES-A數(shù)據(jù)一起存放。不與XadES-A數(shù)據(jù)一起存放時，驗證數(shù)據(jù)應當通過另一安全方法存放，包括但不限于由CA作為TTP或由TSA儲存。在對之前的時間戳進行驗證中，驗證數(shù)據(jù)按照下述方法存放，或另行使用其他安全方法進行存放。附錄B規(guī)定了與時戳標記結(jié)構(gòu)相關的要求。a)簽名時戳的驗證數(shù)據(jù)應當在下列生成時的某一處所或由CA等機構(gòu)予以保存。GB/TXXXX.2—XXXX/ISO14533.2-20211)非簽名屬性中的數(shù)據(jù)元如下：-CertificateValues（證書值）-RevocationValues(撤銷值)2)在簽名時戳中時間標記（簽名時戳標記）數(shù)據(jù)元如下：-CertificateSet（證書集合）-RevocationInfoChoices(撤消信息選擇)3)簽名時戳標記中非簽名屬性數(shù)據(jù)元如下：-CertificateValues（證書值）-RevocationValues(撤銷值)注：上述1）和2)中的數(shù)據(jù)元在XML中進行定義，3)中的數(shù)據(jù)元b)歸檔時戳驗證數(shù)據(jù)應在下列生成時的某一處所或由CA等機構(gòu)予以保存。1)在歸檔時戳中時間標記（歸檔時戳標記）數(shù)據(jù)元如下：-CertificateSet（證書集合）-RevocationInfoChoices(撤消信息選擇)2)歸檔時戳標記中非簽名屬性數(shù)據(jù)元如下：-CertificateValues（證書值）-RevocationValues(撤銷值)注：上面1）中的數(shù)據(jù)元在XML中進行定義，2)中的數(shù)GB/TXXXX.2—XXXX/ISO14533.2-2021（規(guī)范性附錄）提供方一致性聲明及其附件A.1概述本附錄給出了提供方與XAdES長效簽名規(guī)范一致性聲明的格式。A.2提供方一致性聲明格式提供方與長效簽名規(guī)范一致性聲明編號簽發(fā)人姓名簽發(fā)人地址聲明的對象：上面所描述的聲明的對象與下面長效簽名規(guī)范的要求一致。XAdES-T規(guī)范和/或XAdES-A規(guī)范。A.3規(guī)定了所使用的數(shù)據(jù)元。附加信息：（操作檢查的結(jié)果等可以寫在此處）簽名人和代表在此簽名： （簽發(fā)地點和日期）（姓名，頭銜）A.3提供方一致性聲明的附件格式A.3.1概述提供方一致性聲明的附件應包括從A.3.2到A.3.7的條款。A.3.2所引用的ETSITS101903版本號GB/TXXXX.2—XXXX/ISO14533.2-2021A.3.3規(guī)范實施的范圍表A.1規(guī)范實施A.3.4與XAdES-T規(guī)范的一致性表A.2簽名數(shù)據(jù)元MMMMMOMMMM表A.3簽名人信息MMGB/TXXXX.2—XXXX/ISO14533.2-2021OQualifyingPropertiesReferenceC表A.4簽名特性SignedSignaturePropertiMSignaturePolicyIdentifierCSignatureProductionPlace（CCSignedDataObjectProperties（CCCommitmentTypeIndicatiCAllDataObjectsTimeStamp（所有數(shù)據(jù)對象時戳）CIndividualDataObjectsTC表A.5非簽名特性UnsignedSignaturePrMOTrustedsigningtime（可MOCUnsignedDataObjectProperCGB/TXXXX.2—XXXX/ISO14533.2-2021A.3.5與XAdES-A規(guī)范的一致性表A.6附加非簽名特性CompleteCertificateReCompleteRevocationROOCAttributeCetrificateRefs（屬性證書參CAttributeRevocationRefs（屬性撤消參考）CSigAndRefsTimeStampMCMCMOCCertificatesmaintainedbytrustedservicCM00CCertificatesmaintainedbytrustedservicCGB/TXXXX.2—XXXX/ISO14533.2-2021b.不推薦使用。如果使用的話，使用簽名參考時戳，或者使用僅參考時戳。并按照ETSITS101903v1.1.1.的要求。A.3.6“條件型”數(shù)據(jù)元所引用的規(guī)范A.3.7備注GB/TXXXX.2—XXXX/ISO14533.2-2021（規(guī)范性附錄）時戳標記的結(jié)構(gòu)B.1概述本附錄給出了長效簽名時戳結(jié)構(gòu)要求。B.2規(guī)范性說明本部分中的簽名時戳標記和歸檔時戳標記應符合CMS,TSP,CAdES。注：在IETFRFC3161中定義了TSP。B.3構(gòu)成數(shù)據(jù)元的要求級別在表B.1中規(guī)定了簽名時戳標記各數(shù)據(jù)元和歸檔時戳標記各數(shù)據(jù)元的要求級別。表B.1時戳標記各數(shù)據(jù)元的要求級別MMMDigestAlgorithmIdentiMMMMTSTInfoOOAttributeCertificateV1（屬性證書VOAttributeCertificateV2（屬性證書VOOtherCertificateFormaOOGB/TXXXX.2—XXXX/ISO14533.2-2021OOtherRevocationInfoFormaOMMMMOSubjectKeyIdentifieODigestAlgorithmIdenMMMMSigningCertificateReferencMOOOtherSigningCertificCSignatureAlgorithmIdentifier（MM0CompleteCertificateReferences0CompleteRevocationReferenc0OOOOStorageofthecertificatebyCA（COOGB/TXXXX.2—XXXX/ISO14533.2-2021OCGB/TXXXX.2—XXXX/ISO14533.2-2021（資料性附錄）EN與ISO規(guī)定之間對要求級別的區(qū)別C.1區(qū)別本附錄給出了EN與ISO規(guī)定之間對要求級別的區(qū)別長效簽名時戳結(jié)構(gòu)要求。MMMDigestAlgorithmIdentiMMMMOOAttributeCertificateV1（屬性證書VOAttributeCertificateV2（屬性證書VOOtherCertificateFormaOOOOtherRevocationInfoFormaOMMMMOGB/TXXXX.2—XXXX/ISO14533.2-2021SubjectKeyIdentifieODigestAlgorithmIdenMMMMSigningCertificateReferencMOOOtherSigningCertificCSignatureAlgorithmIdentifier（MM0CompleteCertificateReferen0CompleteRevocationReferenc0O