欧州 ETSI TS 119 432 V1.3.1 (2026-03) 技術仕様 電子署名および信頼インフラ(ESI);リモートデジタル署名作成のためのプロトコル
こんにちは、丸山満彦です。
リモート署名を安全に、相互運用可能に、規制準拠で実装するための技術仕様。署名鍵をリモートサーバで管理しつつ、署名者の単独制御と法的有効性を担保した電子署名を実現するための、実装者・サービス事業者向けプロトコル標準という感じでしょうか?
クラウド環境など分散システムにおいて、eIDAS規則が求める「適格電子署名(QES)」の技術的要件を満たすリモート署名作成プロセスを、標準化されたAPI・認証フロー・セキュリティ要件として規定していますね...
● ETSI
目次...
| Executive summary | エグゼクティブサマリー |
| Introduction | 序論 |
| 1 Scope | 1 適用範囲 |
| 2 References | 2 参考文献 |
| 2.1 Normative references | 2.1 規範的参考文献 |
| 2.2 Informative references | 2.2 参考参考文献 |
| 3 Definition of terms, symbols and abbreviations | 3 用語、記号および略語の定義 |
| 3.1 Terms | 3.1 用語 |
| 3.2 Symbols | 3.2 記号 |
| 3.3 Abbreviations | 3.3 略語 |
| 4 Signature creation process, service decomposition | 4 署名作成プロセス、サービスの分解 |
| 4.1 Signature creation process steps and data elements | 4.1 署名作成プロセスの手順とデータ要素 |
| 4.2 Service main components and interfaces | 4.2 サービスの主要構成要素とインターフェース |
| 4.3 Signature Creation Application | 4.3 署名作成アプリケーション |
| 4.3.1 Signer's document and hashing | 4.3.1 署名者の文書とハッシュ化 |
| 4.3.2 DTBS composition and formatting | 4.3.2 DTBSの構成とフォーマット |
| 4.3.3 DTBS preparation | 4.3.3 DTBSの準備 |
| 4.3.4 SDO composer | 4.3.4 SDOコンポーザー |
| 4.4 Server Signing Application | 4.4 サーバー署名アプリケーション |
| 4.4.1 Signature creation | 4.4.1 署名の作成 |
| 5 Authentication and authorization | 5 認証と認可 |
| 5.1 Introduction | 5.1 序論 |
| 5.2 Service authorization | 5.2 サービスの認可 |
| 5.2.1 Overview | 5.2.1 概要 |
| 5.2.2 HTTP Basic Authentication and HTTP Digest Authentication | 5.2.2 HTTP ベーシック認証および HTTP ダイジェスト認証 |
| 5.2.3 OAuth 2.0 | 5.2.3 OAuth 2.0 |
| 5.2.4 Other authentication mechanisms | 5.2.4 その他の認証メカニズム |
| 5.3 Signatures creation authorization | 5.3 署名作成の認可 |
| 5.3.1 Overview | 5.3.1 概要 |
| 5.3.2 Creating a remote signature with a credential protected by signature creation service-managed authorization | 5.3.2 署名作成サービス管理認可によって保護された認証情報を使用したリモート署名の作成 |
| 5.3.3 Create a remote signature with a credential protected by OAuth2 | 5.3.3 OAuth2 によって保護された認証情報を使用したリモート署名の作成 |
| 5.4 Credential creation authorization | 5.4 資格情報の作成に関する認可 |
| 5.5 Credential deletion authorization | 5.5 資格情報の削除に関する認可 |
| 6 Architectures and use cases for server signing | 6 サーバー署名のためのアーキテクチャとユースケース |
| 6.1 Introduction | 6.1 序論 |
| 6.2 Architectures for creating remote signatures with a credential protected by signature creation service managed authorization | 6.2 署名作成サービスによる管理認可で保護された資格情報を使用したリモート署名の作成のためのアーキテクチャ |
| 6.3 Architectures for creating remote signatures with a credential protected by OAuth2 | 6.3 OAuth2で保護された資格情報を使用したリモート署名の作成のためのアーキテクチャ |
| 6.4 Architectures for creating remote signatures using the European Digital Identity Wallet | 6.4 欧州デジタルIDウォレットを使用したリモート署名の作成アーキテクチャ |
| 6.4.1 Overview | 6.4.1 概要 |
| 6.4.2 EUDIW as authentication and authorization layer for creating remote signatures | 6.4.2 リモート署名作成のための認証および認可レイヤーとしてのEUDIW |
| 6.4.3 EUDIW participating in the signature creation process | 6.4.3 署名作成プロセスに参加するEUDIW |
| 6.4.4 EUDIW registration and authentication to authorization servers | 6.4.4 認可サーバーへのEUDIWの登録および認証 |
| 6.4.5 DA / SCA registration and authentication to authorization servers | 6.4.5 認可サーバーへのDA / SCAの登録および認証 |
| 7 Remote signatures creation service API | 7 リモート署名作成サービスAPI |
| 7.1 Introduction | 7.1 序論 |
| 7.2 Service information API | 7.2 サービス情報 API |
| 7.2.1 Description | 7.2.1 説明 |
| 7.2.2 Request message | 7.2.2 リクエストメッセージ |
| 7.2.3 Response message | 7.2.3 レスポンスメッセージ |
| 7.3 Credentials list API | 7.3 認証情報リスト API |
| 7.3.1 Description | 7.3.1 説明 |
| 7.3.2 Request message | 7.3.2 リクエストメッセージ |
| 7.3.3 Response message | 7.3.3 応答メッセージ |
| 7.4 Credentials info API | 7.4 認証情報 API |
| 7.4.1 Description | 7.4.1 概要 |
| 7.4.2 Request message | 7.4.2 リクエストメッセージ |
| 7.4.3 Response message | 7.4.3 応答メッセージ |
| 7.5 Hash(es) signing API | 7.5 ハッシュ署名 API |
| 7.5.1 Description | 7.5.1 概要 |
| 7.5.2 Request message | 7.5.2 リクエストメッセージ |
| 7.5.3 Response message | 7.5.3 応答メッセージ |
| 7.6 Document(s) signing API | 7.6 文書署名 API |
| 7.6.1 Description | 7.6.1 概要 |
| 7.6.2 Request message | 7.6.2 要求メッセージ |
| 7.6.3 Response message | 7.6.3 応答メッセージ |
| 7.7 Signature(s) creation polling API | 7.7 署名作成ポーリング API |
| 7.7.1 Description | 7.7.1 説明 |
| 7.7.2 Request message | 7.7.2 要求メッセージ |
| 7.7.3 Response message | 7.7.3 応答メッセージ |
| 7.8 Credentials creation API | 7.8 認証情報作成 API |
| 7.8.1 Description | 7.8.1 説明 |
| 7.8.2 Request message | 7.8.2 要求メッセージ |
| 7.8.3 Response message | 7.8.3 応答メッセージ |
| 7.8.4 Subject distinguished name of the new credential certificate | 7.8.4 新しい認証情報証明書のサブジェクト識別名 |
| 7.9 Credentials deletion API | 7.9 認証情報の削除 API |
| 7.9.1 Description | 7.9.1 説明 |
| 7.9.2 Request message | 7.9.2 リクエストメッセージ |
| 7.9.3 Response message | 7.9.3 レスポンスメッセージ |
| 8 Remote signatures creation service API based on OASIS DSS-X | 8 OASIS DSS-X に基づくリモート署名作成サービス API |
| 8.1 Introduction and General Provisions | 8.1 序論および一般規定 |
| 8.2 Service information API | 8.2 サービス情報 API |
| 8.3 Credentials list API | 8.3 認証情報リスト API |
| 8.4 Credentials info API | 8.4 認証情報 API |
| 8.5 Hash(es) signing API | 8.5 ハッシュ署名 API |
| 8.6 Document(s) signing API | 8.6 文書署名 API |
| 8.7 Signature(s) creation polling API | 8.7 署名作成ポーリング API |
| 8.8 Credentials creation API | 8.8 認証情報作成 API |
| Annex A (normative): OpenID4VP EUDIW-centric signing flow profile | 附属書 A(規範的):OpenID4VP EUDIW 中心の署名フロープロファイル |
| A.1 Overview | A.1 概要 |
| A.2 Roles & Standards | A.2 役割と標準 |
| A.3 Profile scope & transport | A.3 プロファイルの範囲と転送 |
| A.4 Profile identifiers | A.4 プロファイル識別子 |
| A.5 High-level interaction models | A.5 高レベルな相互作用モデル |
| A.5.1 EUDIW: RP ↔ EUDIW, EUDIW ↔ QTSP | A.5.1 EUDIW: RP ↔ EUDIW、EUDIW ↔ QTSP |
| A.5.2 QTSP: QTSP ↔ EUDIW | A.5.2 QTSP: QTSP ↔ EUDIW |
| A.6 Request construction (RP → EUDIW) | A.6 リクエストの構築 (RP → EUDIW) |
| A.6.1 Introduction | A.6.1 序論 |
| A.6.2 Required parameters (OpenID4VP layer) | A.6.2 必須パラメータ(OpenID4VP レイヤー) |
| A.6.3 dcql_query (selecting an acceptable signing certificate) | A.6.3 dcql_query(許容可能な署名証明書の選択) |
| A.6.4 transaction_data (the QES transaction) | A.6.4 transaction_data(QES トランザクション) |
| A.7 Response handling (EUDIW → RP) | A.7 応答処理(EUDIW → RP) |
| A.7.1 Inline (VP Token) - x509PresentationResponse | A.7.1 インライン(VP トークン) - x509PresentationResponse |
| A.7.2 Out of band (HTTP POST to responseURI) | A.7.2 アウトオブバンド(responseURI への HTTP POST) |
| A.7.3 EUDIW processing | A.7.3 EUDIW 処理 |
| A.8 Transaction data processing & UX rendering (EUDIW) | A.8 トランザクションデータの処理および UX レンダリング(EUDIW) |
| A.9 Complementary approval flow | A.9 補完的な承認フロー |
| A.10 Security & privacy requirements | A.10 セキュリティおよびプライバシー要件 |
| A.11 Conformance checklist (RP) | A.11 適合性チェックリスト(RP) |
| A.12 Examples | A.12 例 |
| A.12.1 Authorization request (core parameters) | A.12.1 認可要求(コアパラメータ) |
| A.12.2 Example 'qesRequest' (transaction_data before base64url encoding) | A.12.2 「qesRequest」の例(base64url エンコード前の transaction_data) |
| A.12.3 VP Token (inline) - PAdES result | A.12.3 VP トークン(インライン) - PAdES 結果 |
| A.12.4 Out of band POST to responseURI | A.12.4 responseURI へのアウトオブバンド POST |
| Annex B (normative): EUDIW QES creation approval profile | 附属書 B(規範的):EUDIW QES 作成認可プロファイル |
| B.1 Overview | B.1 概要 |
| B.2 Roles and architecture | B.2 役割とアーキテクチャ |
| B.3 Signature authorization attestation | B.3 署名認可の証明 |
| B.4 Profile scope & transport | B.4 プロファイルの範囲と転送 |
| B.5 Profile identifiers | B.5 プロファイル識別子 |
| B.6 Data model for approval | B.6 承認のためのデータモデル |
| B.6.1 Introduction | B.6.1 序論 |
| B.6.2 qesApprovalRequest | B.6.2 qesApprovalRequest |
| B.6.3 Computing qesApproval (EUDIW) | B.6.3 qesApproval の計算 (EUDIW) |
| B.7 OpenID4VP request (QTSP → Wallet) | B.7 OpenID4VP リクエスト (QTSP → ウォレット) |
| B.8 EUDIW response (EUDIW → QTSP) | B.8 EUDIW レスポンス (EUDIW → QTSP) |
| B.8.1 VP Token / DC API response | B.8.1 VP トークン / DC API 応答 |
| B.8.2 Using qesApproval at the AS/SCSP | B.8.2 AS/SCSP における qesApproval の使用 |
| B.9 Processing & rendering requirements (EUDIW) | B.9 処理およびレンダリング要件 (EUDIW) |
| B.10 Security & privacy | B.10 セキュリティおよびプライバシー |
| B.11 Conformance checklist (SCSP) | B.11 適合性チェックリスト (SCSP) |
| B.12 Working sequence | B.12 動作シーケンス |
| Annex C (normative): Specific recommendations for qualified signatures and/or seals creation | 附属書 C (規範的): 適格な署名および/またはシールの作成に関する具体的な推奨事項 |
| C.1 Introduction | C.1 序論 |
| C.2 Separation of Responsibilities | C.2 責任の分離 |
| C.3 Authentication and Authorization Layer | C.3 認証および認可層 |
| C.4 Signature Creation Service | C.4 署名作成サービス |
| C.5 Strong Binding Between Consent and DTBS | C.5 同意と DTBS 間の強力な結びつき |
| C.6 Use of FAPI 2.0 for EUDIW-Based Clients | C.6 EUDIW ベースのクライアントにおける FAPI 2.0 の使用 |
| C.7 SCS API Security Recommendations | C.7 SCS API セキュリティに関する推奨事項 |
| Annex D (informative): Change history | 附属書 D(参考):変更履歴 |
| History | 履歴 |
Recent Comments