ベリサイン ドキュメント認証サービス(CDS) for Adobe PKI 認証業務運用規程 (Certification Practice Statement) Version 1.0 2010 年 9 月 13 日 (本書は一部編集されています) VeriSign, Inc. 487 East Middlefield Road Mountain View, CA 94043 +1 650.527.8000 http//:www.verisign.com この文章は米国シマンテック・コーポ レーション(Symantec Corporation) が保有する CPS 文章の翻訳版です。 この文書内に差異がある場合は、英語 で記載されている原文が優先されるも のといたします。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED VeriSign Confidential 改訂履歴 バージョン Version 1.0 日付 2010 年 9 月 13 日 説明 Adobe ポリシー管理機関より初回の承認を受ける COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -ii- VeriSign Confidential ベリサイン・ドキュメント認証サービス(CDS) for Adobe PKI 認証業務運用規程(Certification Practice Statement) © 2010 VeriSign, Inc. All rights reserved. Printed in the United States of America. 初回発行年月:2010 年 9 月 13 日 商標について ベリサイン(VeriSign)は VeriSign, Inc. の登録商標である。ベリサインロゴ(VeriSign logo)は VeriSign, Inc. の商標及びサービス・マークである。本文書中のその他の商標及びサービス・マー クは、それぞれの権利者に帰属する。 本文書に関するすべての著作権は、VeriSign, Inc. が留保しており、さらに下記で許諾された場合 を除き、VeriSign, Inc. の書面による事前の同意なく、電子的、機械的、複写、録音その他手段を 問わず、本文書のいかなる部分も複製、検索可能なシステム内での保管、送信を行うことはでき ないものとする。 上記の規定にかかわらず、本文書は以下に定める条件を満たす場合に、非独占的かつ無料で複製 し配布することができる。(i)冒頭の著作権に関する表示及びこの前書きの部分を、複製されたそ れぞれの文書に目立つように表示すること、(ii)本文書がすべて正確に複製され、本文書が VeriSign, Inc. に帰属する旨の記述を含むこと。 本ベリサイン CDS for Adobe 認証業務運用規程の複製許可を求めるその他の要望(ベリサインか らのコピーの要望も含む)はすべて、以下に問い合わせなければならない。 VeriSign, Inc. 487 East Middlefield Road Mountain View, CA 94043 USA Attn: Practices Development 電話: +1 650.527.8000 Fax: +1 650-527.8050 practices@verisign.com COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -iii- 目次 1. はじめに ................................................................ 1 1.1 概要 ................................................................. 1 1.2 ポリシーの識別 ................................................ 2 1.3 コミュニティ及び適用性 .................................. 2 1.3.1 認証機関(CA) ................................................. 2 1.3.2 登録機関(RA) ................................................. 3 1.3.3. エンド・エンティティ ...................................... 4 1.3.4 適用性 ................................................................. 4 1.3.5 PKI ポリシー機関(PA) ................................... 5 1.4 連絡先の詳細 ................................................... 5 1.4.1 仕様管理組織 ...................................................... 5 1.4.2 連絡先 ................................................................. 5 1.4.3 ポリシーに対する CPS 適合性の決定者 ............ 5 2. 一般規定 ................................................................ 6 2.1 義務 ................................................................. 6 2.5.4 他のサービスの手数料 ..................................... 18 2.5.5 返金制度 ........................................................... 18 2.6 公開及びリポジトリ ....................................... 18 2.6.1 認証機関情報の公開 ......................................... 18 2.6.2 公開の頻度 ....................................................... 19 2.6.3 アクセス制限 .................................................... 19 2.6.4 リポジトリ ....................................................... 19 2.7 準拠性監査 ..................................................... 19 2.7.1 準拠性監査の頻度............................................. 19 2.7.2 監査人の身元/資格............................................ 20 2.7.3 監査人と被監査当事者との関係 ....................... 20 2.7.4 準拠性監査の対象となる項目 .......................... 20 2.7.5 欠陥の結果としてとられる処置 ....................... 20 2.7.6 結果の伝達 ....................................................... 20 2.8 機密性 ............................................................ 21 2.8.1 機密とされる情報の種類 .................................. 21 2.8.2 情報公開の状況 ................................................ 21 2.1.1 ポリシー管理機関の義務 .................................... 6 2.9 知的財産権 ..................................................... 21 2.1.2 組織ポリシー管理機関の義務............................. 6 2.1.3 認証機関の義務 .................................................. 7 3. 確認と認証 ........................................................... 22 2.1.4 登録機関の義務 .................................................. 8 3.1 初期登録......................................................... 22 2.1.5 エンド・エンティティの義務............................. 8 3.1.1 識別名の種類 .................................................... 22 2.1.6 依拠当事者の義務 ............................................. 10 3.1.2 意味のある名称であることの必要性................ 23 2.1.7 リポジトリの義務 ............................................. 10 3.1.3 識別名を解釈するための指針 .......................... 23 2.2 責任 ............................................................... 10 3.1.4 唯一の名称 ....................................................... 23 2.2.1 保証及び保証の制限 ......................................... 10 3.1.5 名前の競合が発生した場合の手続き................ 23 2.2.2 保証と責任の否認 ............................................. 11 3.1.6 商標の認識、認証及び役割 .............................. 24 2.2.3 責任の制限........................................................ 12 3.1.7 秘密鍵を所有していることの証明方法 ............ 24 2.2.4 第三者の受益者 ................................................ 13 3.1.8 認証機関証明書発行の認証 .............................. 24 2.3 財務的責任 ..................................................... 13 3.1.9 組織の実在性確認............................................. 24 2.3.1 加入者の責任及び補償 ..................................... 14 3.1.10 個人の実在性確認........................................... 25 2.3.2 依拠当事者の責任及び補償 .............................. 14 3.1.11 グループ証明書の実在性確認 ........................ 26 2.3.3 信頼関係 ........................................................... 14 3.2 証明書のリニューアル、更新、定期的なリキー 2.3.4 行政手続き........................................................ 14 ............................................................................ 26 2.4 解釈及び執行 ................................................. 15 3.2.1 証明書のリニューアル及び変更 ....................... 26 2.4.1 解釈 .................................................................. 15 3.2.2 証明書のリキー ................................................ 27 2.4.2 分離可能性、効力の残存、併合、及び通知 ..... 15 3.2.3 証明書の更新 .................................................... 27 2.4.3 紛争解決手続き及び裁判所の選択 ................... 16 3.3 失効後のリキー .............................................. 27 2.4.4 後継人及び譲受人 ............................................. 17 3.4 失効の申請 ..................................................... 27 2.4.5 権利の不放棄 .................................................... 17 2.4.6 輸出法令の遵守 ................................................ 17 4. 運用要件 .............................................................. 29 2.4.7 暗号化手段の選択 ............................................. 17 4.1 証明書申請 ..................................................... 29 2.4.8 不可抗力 ........................................................... 17 4.1.1 証明書発行者への利用者の公開鍵の受渡 ........ 29 2.5 料金 ............................................................... 17 2.5.1 証明書発行またはリニューアルの手数料 ........ 17 2.5.2 証明書のアクセス手数料 .................................. 18 2.5.3 失効またはステータス情報のアクセス手数料 . 18 4.2 証明書発行 ..................................................... 30 4.3 証明書の受領.................................................. 30 4.4 証明書の効力停止及び失効 ............................ 30 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -iv- 4.4.1 失効 .................................................................. 30 4.4.2 効力停止 ........................................................... 31 4.4.3 証明書失効リスト ............................................. 32 4.4.4 オンラインによるステータス調査 ................... 32 4.4.5 利用可能な失効の公表についての他の形式 ..... 32 4.4.6 失効の公表についての他の形式の要件検査 ..... 32 4.4.7 鍵の危殆化に関する特別な要件 ....................... 32 4.5 セキュリティ監査/監査記録の手続き ............. 33 4.5.1 記録されるイベントの種類 .............................. 33 4.5.7 イベントを生じさせた Subject に対する通知.. 33 4.5.8 脆弱性の評価 .................................................... 33 4.6 記録の保管 ..................................................... 33 4.6.1 保管されるデータ/記録の種類.......................... 33 4.6.2 記録保管の期間 ................................................ 34 6.3 キー・ペアの管理に関する他の点 .................. 41 6.3.1 公開鍵の保管 .................................................... 41 6.3.2 公開鍵と秘密鍵の使用期間 .............................. 41 6.4 起動データ ..................................................... 42 6.4.1 起動データの生成とインストレーション ........ 42 6.4.2 起動データの保護............................................. 42 6.4.3 起動データに関する他の点 .............................. 42 6.5 コンピュータ・セキュリティ管理 .................. 42 6.5.1 特定のコンピュータ・セキュリティの技術的要 件 ............................................................................... 42 6.6 ライフサイクル技術管理 ................................ 42 6.7 ネットワーク・セキュリティ管理 .................. 42 6.8 暗号モジュールのエンジニアリング制御 ....... 43 4.7 鍵の切り替え ................................................. 34 7. 証明書及び CRL のプロファイル ......................... 44 4.8 危殆化及び災害からの復旧 ............................ 34 7.1 証明書のプロファイル ................................... 44 4.9 認証機関の終了 .............................................. 34 7.1.1 バージョン番号 ................................................ 44 5. 物理的、手続的、及び人的なセキュリティ管理 .. 36 5.1 物理的管理 ..................................................... 36 5.2 手続的管理 ..................................................... 36 5.2.1 信頼される役割 ................................................ 36 5.3 人事的管理 ..................................................... 37 5.3.1 経歴、資格、経験及び許可要件 ....................... 37 5.3.3 トレーニング要件 ............................................. 37 6. 技術的セキュリティ・コントロール ................... 38 6.1 キー・ペア生成及びインストレーション ....... 38 7.1.2 証明書エクステンション .................................. 44 7.1.3 アルゴリズム・オブジェクト識別子................ 44 7.1.4 名前の形式 ....................................................... 44 7.1.5 名前制約 ........................................................... 44 7.1.6 証明書ポリシー・オブジェクト識別子 ............ 45 7.1.7 ポリシー制約の使用 ......................................... 45 7.1.8 ポリシー修飾子の構文及び意味 ....................... 45 7.1.9 クリティカルな Certificate Policy エクステンシ ョンに対する解釈方法 .............................................. 45 7.2 CRL のプロファイル ...................................... 45 7.2.1 バージョン番号 ................................................ 45 7.2.2 CRL 及び証明書失効リスト・エントリ・エクス テンション................................................................. 45 6.1.1 キー・ペア生成 ................................................ 38 6.1.2 秘密鍵の利用者への受渡し .............................. 38 7.3 OCSP プロファイル ....................................... 45 6.1.3 公開鍵の証明書発行者への受渡 ....................... 39 6.1.4 認証機関公開鍵のユーザへの受渡 ................... 39 8. 仕様の管理 ........................................................... 46 6.1.5 鍵のサイズ及び署名アルゴリズム ................... 39 6.1.6 公開鍵のパラメータ ......................................... 39 8.1 仕様変更の手続き........................................... 46 6.1.7 パラメータ品質調査 ......................................... 39 8.2 公開と通知の手続き ....................................... 46 6.1.8 ハードウェア/ソフトウェアの鍵生成 ............... 39 8.3 CPS の承認手続き.......................................... 46 6.1.9 鍵用途目的........................................................ 39 8.4 CPS の放棄 .................................................... 46 6.2 秘密鍵の保護 ................................................. 40 6.2.1 暗号モジュールの基準 ..................................... 40 6.2.3 秘密鍵の預託 .................................................... 40 6.2.4 秘密鍵のバックアップ ..................................... 40 6.2.5 秘密鍵の保管 .................................................... 40 6.2.6 秘密鍵の暗号モジュールへの入力 ................... 41 6.2.7 秘密鍵の起動方法 ............................................. 41 6.2.8 秘密鍵の非活性化の方法 .................................. 41 6.2.9 秘密鍵の破壊の方法 ......................................... 41 Appendix A:証明書及び CRL の形式 .................... 46 Appendix B:定義 .................................................. 47 Appendix C:参考資料 ........................................... 52 Appendix D:頭字語・略語 .................................... 53 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -v- 1. はじめに ドキュメント認証サービス(CDS)は、Acrobat 6.0 製品ファミリで使用可能なサービスである。電 子署名技術を使用する CDS は、認証された PDF 文書が真正であること、つまり、明記されている 作成者によってその文書が発行されており、文書内にある作成者の署名部分が文書作成後に変更され ていないことを受信者に保証する。 電子署名技術は以前からあるものの、セキュリティ・パートナーと共に、文書の作成者と受信者にと って使いやすいソリューションを Adobe PDF プラットフォームで提供している Adobe は、当分野 におけるリーダー企業としての地位を確立している。文書受信者は、サポート対象プラットフォーム で無償の Adobe Reader を使用し、追加のソフトウェアや設定なしで、認証文書を自動的に検証でき る。 VeriSign, Inc.(ベリサイン)は、第三者 PKI サービス・プロバイダの Adobe Systems Incorporated (Adobe)と契約し、登録機関(RA)の全機能を含む認証機関(CA)サービスを提供する。また、 ベリサインは、世界中のアフィリエイト(以下、「アフィリエイト」という)のグローバル・ネット ワークを通じた CDS サービスを提供する場合もある。 認証文書の作成に関心のある組織は、ベリサイン CDS PKI に登録し、身元情報の確認を受けると、 Adobe Acrobat の Standard または Professional で使用される、文書証明用の証明書を受け取る。 本ベリサイン・ドキュメント認証サービス(CDS) PKI 認証業務運用規程(CPS)と Adobe ドキュ メント認証サービス認証ポリシー(CP)は、ベリサインとベリサインのアフィリエイトが、証明書 の発行と管理、及び証明書ベースの Adobe クライアント向け CDS PKI を管理する際に採用する運用 方法を定義する。 1.1 概要 本 CPS は、ベリサインが、ベリサイン CDS PKI(以下、「ベリサイン CDS」という)から電子証 明書を発行する際に採用する運用を規定する。本 CPS は、Internet Engineering Task Force (IETF)の RFC 2527 に準拠して構成される。 ベリサイン CDS PKI は、Adobe CDS 認証ポリシー(CP)の下位認証機関として運用され、証明書 の完全なライフサイクル・サポートと証明書リポジトリ・サービスを Adobe のクライアント・エン ティティに対して提供する。 ベリサイン CDS PKI のアーキテクチャ及び機能上のソリューションは、ベリサインのマネージド PKI(MPKI)サービスに基づく。 ベリサイン CDS PKI は、提示された身元の正当性について、中程度の保証または信頼性を与えるも のである。 ベリサイン CDS PKI のプライマリ・サイトはベリサイン・データ・センタにあり、プライマリ・サ イトから 100 マイル以上離れた場所に、バックアップとミラーリング・データを完備した災害復旧 サイトが配置されている。カスタマのトランザクションはすべて、安全な VPN 接続を介して、プラ イマリ・システムと災害復旧システム間でコピーされる。ベリサインはさらに、アフィリエイト・プ ロセッシング・センタを介して、世界中の拠点で CDS の認証機関及び証明書サービスを提供する場 合がある。このような拠点では、本 CPS に準拠した、同等レベルのセキュリティと災害復旧を提供 するものとする。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -1- 権限を付与されたベリサイン要員は、本 CPS で規定される認証機関の職務を実行する。登録機関の 職務(登録プロセスや身元証明に関する監督など)は、CDS PKI のサービスを購入した組織におけ る信頼されるエンティティによって実行される。 ベリサイン CDS PKI は、本 CPS の Appendix A に列挙する証明書プロファイルに準拠した、X.509 バージョン 3 の証明書を発行する。証明書は、Adobe 承認のアプリケーションで作成された電子文 書の電子署名を検証する目的でのみ、利用者及び依拠当事者が使用できる。 1.2 ポリシーの識別 本 CPS は、Adobe CDS CP に準拠して提供される、ベリサイン CDS PKI サービスのベリサインによ る運用を規定する。Adobe CDS CP オブジェクト識別子は以下のとおりである。 1.2.840.113583.1.2.1 Adobe 証明書ポリシー属性オブジェクト識別子(OID) ベリサイン CDS 認証機関に対して発行される証明書には、Adobe CDS ポリシー OID が含まれる。ベ リサイン CDS PKI サービスからエンド・エンティティに対して発行される証明書には、ユーザの身元 を提示する Adobe CDS ポリシー OID が、ハードウェア暗号モジュール・ストレージ及び使用される 電子署名キーに含まれる。 ポリシー・オブジェクト識別子は、本 CPS の 7.1.6 に従って設定される。 1.3 コミュニティ及び適用性 本 CPS では、Adobe PKI 階層の構成要素の PKI コミュニティについて規定する。これには、CDS 下位認証機関及び利用者が含まれる(Adobe ルート認証機関にチェーンされた利用者の証明書は、 その証明書に依存するすべての依拠当事者と共に、Adobe によって Acrobat® に埋め込まれる)。 本 CPS は、認証機関、登録機関、信頼される代理人、リポジトリ、ならびに利用者及び依拠当事者 のエンド・エンティティのいずれかの役割を果たし、本 CPS 及び CP に基づいて承認された人物及 びエンティティの権利と責務を規定する。 本 CPS では、Adobe 承認のアプリケーションで作成した Adobe Acrobat 文書の電子署名及び署名検 証のために、X.509 バージョン 3 の公開鍵証明書を作成及び管理する際に従うポリシーと手順を定義 する。 CDS PKI コミュニティ内で発行された証明書には、セクション 1.2 で示した OID を使った証明書ポ リシー・エクステンションが設定される。 1.3.1 認証機関(CA) ベリサインは、Adobe ルート認証機関の下の Adobe トラスト階層内に、多層型の CDS 認証機関階 層を確立した。レベル 1 の下位認証機関は、レベル 2 以降にある、1 つ以上の下位認証機関の電子 証明書に対し、作成、署名、及び発行を行う権利を Adobe ポリシー機関によって付与された単独の ベリサイン中間認証機関である。レベル 2 の下位認証機関は、Adobe CDS CP に基づき、Adobe CP 及び本 CPS の要件に従って、エンド・エンティティの電子証明書に対して作成、署名、及び発行を 行う権利をベリサインによって付与されたエンティティである。組織は、専用の CDS 認証機関を所 有する、または共有の CDS 認証機関を使用できる。 Adobe ルート認証機関は、ベリサイン CDS 認証機関階層によって発行されるすべての証明書に対し、 「トラスト・アンカー」の役割を果たす。ベリサインのレベル 2 の下位 CDS 認証機関は、CP 及び COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -2- 本 CPS の要件に従って、電子証明書に対して作成、署名、及び発行を行う権利をベリサイン・ポリ シー管理機関によって付与されたエンティティである。 ベリサイン CDS PKI は、CDS 証明書の発行及び管理のあらゆる側面について責任を負う。これには、 証明書の管理プロセス、証明書の公開、証明書の失効とリキー、認証機関署名鍵の生成と破棄のほか、 CDS 証明書に関連する認証機関のサービス、運用、及びインフラストラクチャのあらゆる側面が、 本 CPS の要件、表明、保証の規定に従って確実に履行されるようにすることが含まれる。 ベリサイン CDS 認証機関は、CDS 署名された文書を信頼できるのは Adobe 承認のアプリケーショ ンで検証された場合のみであることについて、少なくとも発行された各エンド・エンティティの証明 書でユーザへの通知を行い、依拠当事者に通知するための合理的なあらゆる努力を行う責任を負う。 1.3.1.1 他の参加者 アフィリエイトは、通信技術または金融サービス業界における一流の信頼される第三者であり、特定 の地域において、ベリサイン中間 CDS 認証機関の下でレベル 2 の認証機関を運用するために、ベリ サインと契約を締結している者を指す。 プロセッシング・センタ(ベリサインまたは特定のアフィリエイト)は、証明書発行に使用する暗号 モジュールを収容するセキュアな設備を構築するエンティティである。プロセッシング・センタは、 ベリサイン CDS 認証機関階層内で認証機関の役割を果たし、証明書の発行、管理、失効、リニュー アルなどのあらゆる証明書ライフサイクル・サービスを実行する。バックエンド機能をベリサインに アウトソースするが登録機関としての責任は保持するアフィリエイトは、サービス・センタと呼ばれ る。 アフィリエイト・プロセッシング・センタは、図 1 に示すとおり、ベリサイン CDS 認証機関階層内 の専用認証機関として機能する。アフィリエイト及びアフィリエイトのカスタマ組織は、セクション 2.1 に従って組織認証機関の構成要素に準拠し、組織ポリシー管理機関を確立するものとする。 1.3.1.2 関連機関 1.3.1.2.1 準拠性監査 ベリサインは、ベリサインの運用規程文書及び本文書のセクション 2.7 に規定するとおり、ベリサイ ンによる運用に関連する管理の検査を 1 年ごとに実施する、独立したセキュリティ監査法人 (KPMG など)のサービスを維持する。 1.3.1.2.2 リポジトリ ベリサインは、セキュアなデータ設備で CDS リポジトリを運用する。この LDAP 準拠のディレクト リには、CDS 認証機関証明書と関連する CRL が保管される。ベリサイン CDS リポジトリに保管さ れる情報に対する更新は、その権限を付与されたベリサイン要員のみ行える。利用者及び依拠当事者 は、リポジトリ内の証明書、証明書の状態、及び CRL エントリの照会、表示、ダウンロードを、 http クエリーを使用して行うことができる。 1.3.2 登録機関(RA) ベリサイン要員及び指定されたクライアント組織要員は、ベリサイン CDS PKI のために登録機関の 職務を実行する。組織登録機関は、信頼される代理人によって実行される手動の身元確認プロセスに 依拠できる。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -3- ベリサインは、従業員または組織のパートナーの身元を確認するため、組織登録機関の承認に先立ち、 組織と契約関係を締結する。組織登録機関は、CP 及び本 CPS の要件に従い、ベリサインとの契約 の履行義務を負う。組織登録機関の要員には、ベリサイン Class 3 の管理者証明書が発行され、これ により、組織の下位 CDS 認証機関に対する、安全かつ認証された特権付きのアクセスが可能になる。 登録機関証明書は、FIPS 140 レベル 2 ハードウェア・セキュリティ・モジュール(HSM)に保存さ れる。 ベリサインは、CP 及び本 CPS の要件に準拠するため、契約を締結することにより、信頼される代 理人に拘束されることを組織に要求できるものとする。 1.3.2.1 信頼される代理人 信頼される代理人は、組織登録機関の信頼性に関する要件を満たし、組織登録機関の代理人として身 元証明機能を実行する人物である。信頼される代理人は、政府発行の写真付き ID 及びその他の身分 証の提示に基づき、利用者の身元を検証する責任を負う。 組織またはアフィリエイトの権限を付与された従業員が、信頼される代理人の役割を担うこともでき る。信頼される代理人は、CDS 利用者証明書の所有者であるが、認証機関の登録職務に対する特権 付きのアクセス権は持たない。 1.3.3. エンド・エンティティ 1.3.3.1 利用者 CDS 利用者は、CDS 証明書に Subject としてその名前が表示されるエンティティであり、このエン ティティは、CDS CPS に従って鍵と証明書を保護及び使用する。利用者には、権限が付与された個 人、組織、または組織の役割が含まれ、これらの利用者は、自らに対して発行された CDS 証明書を 所有し、その証明書を使用して Portable Document File(PDF)文書への署名を行う。 CDS 認証機関は利用者であるが、本文書で使用する「利用者」という用語は、証明書の署名及び発 行以外の使用目的で証明書を要求するエンティティのみを意味する。 1.3.3.2 依拠当事者 依拠当事者は、利用者の署名の確認を求める、CDS 文書の受信者である。 依拠当事者は、「利用者の名前」と「公開鍵」との結び付きの正当性に依存する。依拠当事者は、文 書または署名が改ざんされていないかどうか、及び署名者の証明書で危殆が生じていないかどうかを 判断する際に、Adobe 承認のアプリケーションを使用する責任を負う。 1.3.4 適用性 権限が付与されたベリサイン CDS 認証機関のみが、本ポリシーに従って利用者に対して CDS 電子 署名証明書を発行できる。発行された CDS 証明書は、電子署名及び真正の Adobe Acrobat 文書であ ることを確認する目的でのみ使用できる。 発行された CDS 証明書は、Adobe 文書の内容の機密性を示すものではない。Adobe Acrobat 文書内 で特定のテキスト情報を作成するかどうかの判断は、組織のセキュリティ・ポリシー及びデータ機密 性の分類規定に基づき、組織のみが責任を負うものとする。この評価は、組織によって行われるもの とし、本 CPS で規定するものではない。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -4- CDS PKI は、中程度に分類される保証 PKI であり、この PKI によって発行される証明書は、中程度 の保証リスクに相当する Adobe 文書の署名に適している。リスク分析は、組織のセキュリティ・ポ リシー、リスク評価、及びデータ機密性の分類規定に基づいて、組織のみが責任を負うものとする。 1.3.5 PKI ポリシー機関(PA) Adobe Systems のポリシー機関(PA)は、CP に基づいて証明書を発行する各認証機関に対し、CP の管理、CPS の承認、及び準拠性監査についての責任を負う。Adobe ポリシー機関は、Adobe のマ ネジメント・チームの厳選されたメンバーで構成される。 ベリサイン・ポリシー管理機関(PMA)は、CP に従って PKI 実装を管理するために設立される。こ の団体は、CPS の策定及び各認証機関に対して実施される準拠性監査の実行について責任を負い、 Adobe ポリシー機関に対して定期的な報告と重要事項の上位者への報告を行う。この団体は、ベリ サイン・ポリシー管理機関と呼ばれる。 1.3.5.1 組織ポリシー管理機関(PMA) 本 CPS に基づいて CDS PKI サービスを契約した組織は、組織の構成要素(登録機関やリポジトリ など)を管理するための管理団体も設立し、ネーム・スペースの競合を解決する。この団体は、組織 ポリシー管理機関(組織ポリシー管理機関)と呼ばれる。 1.4 連絡先の詳細 1.4.1 仕様管理組織 本 CPS の管理責任を負う組織は、ベリサイン業務運用策定グループである。本 CPS に関連する質 問または意見は、セクション 1.4.2 に指定する宛先に送るものとする。 1.4.2 連絡先 本 CPS の内容、適用範囲、または解釈について質問がある場合は、次の宛先に送るものとする。 VeriSign, Inc. 487 East Middlefield Road Mountain View, CA 94043 Attn: Practices Development – CPS +1 650-527.8000 +1 650-527.8050(Fax) practices@verisign.com 1.4.3 ポリシーに対する CPS 適合性の決定者 ベリサイン認証業務運用規程(CPS)の文書は、ベリサイン・ポリシー管理機関による独自の審査 に基づいて承認され、セクション 2.7 で規定するとおり、準拠性監査の対象となる。 Adobe ポリシー機関(PMA)は、下位の CDS 認証機関の CPS の適合性を承認する最終権限を有し、 Adobe CDS CP との準拠性を保証する。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -5- 2. 一般規定 本セクションでは、義務に関する一般規定を定め、本 CPS に記載されている CDS PKI に参加する 当事者間の特定の責務を定義し、割り当てる。本当事者とは以下を意味する。 • • • • • • • • ポリシー機関(PA) 組織のポリシー管理機関(PMA) 認証機関(CA) 登録機関(RA) 信頼される代理人(TA) 利用者 依拠当事者(RP) リポジトリ 各当事者は本条項により、各当事者に割り当てられる権限及び義務を定める以下の規則及び義務を通 知されるものとする。これらの規則及び義務は、以下の場合に当事者によって合意を得たものとみな される。 • 認証機関、登録機関、信頼される代理人の場合は、本 CPS が公開されたとき、 • 利用者の場合は、証明書の申請を提出したとき、及び • 依拠当事者、または本 CPS に基づいて発行される証明書のその他の受領者の場合は、証明書、 または証明書に記載されている公開鍵を参照することで確認可能な電子署名に依拠したとき。 その他の義務は、本 CPS のその他の条項及び利用規約に定めるものとする。 2.1 義務 2.1.1 ポリシー管理機関の義務 ベリサイン・ポリシー管理機関は以下の義務を負うものとする。 • • • • • 本ポリシーに基づいて証明書を発行するすべての認証機関に適用される、ベリサイン CDS CPS を承認する、 定期的な準拠性監査を審査して、中間認証機関及び下位認証機関が承認された CPS に従って 業務を行っていることを確認する、 障害、認証機関の危殆化、または停止が発生したときに、適切なエンティティに通知する、 ネーム・スペース制御手順を審査して、本 CPS に基づいて発行されるすべての証明書に一意 の識別名が割り当てられることを確実にする、及び CPS に加えられた変更を調整し、Adobe CDS CP に基づいて業務を行っている認証機関が継 続的に準拠していることを確実にする。 2.1.2 組織ポリシー管理機関の義務 ベリサイン・アフィリエイト及びカスタマ組織は、組織のポリシー管理機関を 1 つ指名するものと する。組織のポリシー管理機関は以下の義務を負うものとする。 • • 定期的な準拠性監査を審査して、組織によって運用される登録機関及び認証機関の構成要素 が、承認された CPS に従っていることを確実にする、 障害、危殆化、または停止が発生したときに、適切なエンティティに通知する、及び COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -6- • ネーム・スペース制御手順を審査して、組織内で一意の識別名が割り当てられることを確実 にする。 2.1.3 認証機関の義務 ベリサインは、Adobe ポリシー機関に本 CPS 文書、及び本文書に変更が加えられた場合はその変更 を提供して、適合性評価を受けるものとする。ベリサイン CDS 認証機関階層内のすべての認証機関 は、以下を始めとする、本文書の規定に従うものとする。 • 承認された CPS の規定に従い業務を維持する、 • 該当する記録または文書の有効期限内で、かつ 3 年を下回らない期間の業務に関する要求に 対応するため、ユーザと認証機関の業務の記録を維持する、 • 承認された CPS に基づいて業務を行う承認された登録機関からのみ、登録情報が受領される ようにする、 • セクション 4 で規定されているように、証明書の発行及び失効について利用者に通知する、 • 利用者及び登録機関が、それぞれセクション 2.1.6 及び 2.1.4 に規定されている義務に反する 行為を行ったことが判明した場合、セクション 4.4 に規定される失効に関する条項に従って、 その利用者及び登録機関の証明書を失効する、 • セクション 2.1.8 に規定される義務を満たすオンライン・リポジトリのサービスを運用また は提供し、該当する場合は、リポジトリのサービス・プロバイダにそのプロバイダの負う義 務を伝える、 • すべての依拠当事者に、CDS 認証機関が発行した証明書について以下を表明及び保証する、 o o o • その証明書に含まれている情報の検証にあたって適正な評価がなされ、証拠が維持されて いること、 証明書に含まれている情報が、すべての重要な点において、利用者が提供した情報を正確 に反映していること、及び 利用者が、ポリシーの条項に従って証明書を受領し、利用規約に拘束されること。 すべての依拠当事者に、CDS が署名した文書について以下を表明する、 o Adobe がサポートするプラットフォーム上で文書が検証された場合にのみ依拠が許可さ れることを、証明書内の User Notice 修飾子を介して通知すること、 • 証明書のリキー及び差し替え証明書を提供すること、及び • プライバシー・ポリシーを公開し、それを厳守すること。 レベル 1 認証機関は以下の義務を負うものとする。 • レベル 1 認証機関によって署名されたすべてのレベル 2 認証機関が、すべての重要な点にお いて、本ポリシー及び該当する CPS に準拠したことを確認するため、監査手続きを準備する、 及び • すべてのレベル 2 認証機関が Adobe CDS CP に準拠し、今後も準拠することを、Adobe ル ート認証機関に表明及び保証する。 レベル 2 認証機関は以下の義務を負うものとする。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -7- • すべての重要な点において、Adobe CDS CP 及び本 CPS に準拠していることを表明及び保 証する、 ベリサイン CDS 認証機関階層内で専用の認証機関を運用しているアフィリエイト・プロセッシン グ・センタは、国内法令に従って独自の CPS を作成することもできる。これらの CPS は、少なく とも Adobe CDS CP 及び本 CPS に規定されるすべての要件に準拠する必要があり、また、セクシ ョン 1.4.3 に従って承認を受けなければならないものとする。 2.1.4 登録機関の義務 本 CPS で規定される登録職務を実行する登録機関は、本 CPS 及び統治する CP の規定に準拠する 必要がある。これらの義務に反する行為を行った登録機関については、登録機関の責務が取り消され るものとする。本ポリシーをサポートする登録機関は、以下を始めとする、本文書の規定に従うもの とする。 • セクション 3.1.10 に従って、証明書申請者の身元確認を実行する、 • 有効かつ適切な情報のみを証明書要求に含め、その証明書に含まれている情報の検証にあた って適正な評価がなされたという証拠を維持する、及び • セクション 2.1.6 に従って利用者に義務が課せられるようにし、また、それらの義務に反し た場合の結果について利用者に通知されるようにする、及び • 承認された CPS の規定に従った業務を維持する。 ベリサイン登録機関エンティティと組織登録機関エンティティの違いについては、セクション 5.2.1.2 で説明する。 2.1.4.1 信頼される代理人の義務 本 CPS で規定される識別職務及び認証職務を実行する信頼される代理人は、本 CPS 及び定める CP の規定に準拠する必要がある。これらの義務に反する行為を行った信頼される代理人については、信 頼される代理人の責務が取り消されるものとする。本 CPS をサポートする信頼される代理人は、以 下を始めとする、本文書の規定に従うものとする。 • セクション 3.1.10 に従って、証明書申請者の身元確認を手動で実行する、 • 有効かつ適切な情報のみを証明書要求に含め、その証明書に含まれている情報の検証にあた って適正な評価がなされたという証拠を維持する、及び • セクション 2.1.3 に従って利用者に義務が課せられるようにし、また、それらの義務に反し た場合の結果について利用者に通知されるようにする。 2.1.5 エンド・エンティティの義務 2.1.5.1 信頼される役割の義務 信頼される役割の資格を持つ個人は、以下の義務を負うものとする。 • 本 CPS、及び該当する利用規約の定めに従って、それぞれの秘密鍵を常に保護する、 • 秘密鍵へのアクセスに必要な情報(PIN、パスワード、パスフレーズ、または秘密鍵を保護す るために採用されているその他の情報や手段を含むがこれらに限定されない)を保護する、 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -8- • 自分の秘密鍵に危殆が生じた、または自分の秘密鍵が紛失したと信ずる場合、または信ずべ き理由がある場合は、時宜に即して、ベリサイン認証機関に通知する。また、かかる通知は、 CP 及び本 CPS に沿った手段で直接または間接的に行われるものとする、 • 本 CPS 及び該当する利用規約の規定に従い、秘密鍵及び証明書の使用にあたって課せられる すべての条項、条件、及び制限に従う、 • 本 CPS によって明示的に許可される場合や、ベリサインからの書面による許可を受けた場合 を除き、ベリサイン CDS PKI の技術的実装を監視、妨害、またはリバース・エンジニアリン グしないことに同意する、及び • キー・ジェネレーション・セレモニのすべての要件及び手順に準拠する。 2.1.5.2 利用者の義務 利用者は以下の義務を負うものとする。 • • CDS 認証機関、登録機関、及び/または信頼される代理人とのすべてのコミュニケーションに おいて、自らを正確に表し、提供する情報の正確性を保証する、 • 本 CPS 及び該当する利用規約の規定に従い、秘密鍵及び証明書の使用にあたって課せられる すべての条項、条件、及び制限に従う、 • 本 CPS によって明示的に許可される場合や、ベリサインからの書面による許可を受けた場合 を除き、ベリサイン CDS の技術的実装を監視、妨害、またはリバース・エンジニアリングし ないことに同意する、及び ベリサインまたはベリサイン CDS リポジトリに、(i) 中傷的、わいせつ、性的、虐待的、偏見的、 悪態的、または人種差別的、(ii) 違法行為を唱導する、または実行する意図を持って違法行為につ いて議論する、または (iii) その他の法に触れる表現を含むいかなる資料も送信しないことに同意 する。 利用者は、少なくとも以下の義務を課す、拘束力を持つ利用規約に同意するものとする。 a) 信頼されるシステムを使用して公開鍵のペアを生成する、あるいは、CDS 下位認証機関 またはその登録機関によって安全なハードウェア・トークン内に生成されたキー・ペア を使用し、あらゆる合理的な事前措置を講じて、秘密鍵の紛失、開示、または不正使用 を防止する、 b) 証明書申請時に利用者が提供した情報及び利用者が行った表明がすべて真実であること を保証する、 c) 本ポリシーに従って、CDS のみを目的として証明書を使用する、 d) 利用者の秘密鍵の紛失、開示、またはその他の危殆化の事実あるいは疑いがあるときに、 即座に証明書の失効を要求する、及び e) セクション 2.3.1 に規定される、利用者の責任及び利用者による補償に同意する。 2.1.5.3 スポンサーの義務 セクション 3 及び 4 に規定するように、利用者が組織から支援を受けている場合、または利用者が 組織を代表している場合に、利用者は直接または間接的に証明書を申請する。申請が他者の代理とし て間接的に提出された場合、スポンサーシップがあるとみなされる。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -9- PKI スポンサー(セクション 5.2.1.6 に規定)は、セクション 2.1.5.2 に従って、その申請に関連付 けられた証明書に対する利用者の義務を負うものとする。また、PKI スポンサーを利用する利用者組 織は、以下の責任を負うものとする。 • 利用者の認識及び明確な行動を伴ってのみ秘密鍵が使用されるようにするプロセスを維持す る、 • 利用者が組織エンティティを代表する場合は、少なくとも、組織内の単一の個人(証明書管 理者)の認識及び明確な行動を伴ってのみ秘密鍵が使用されるようにするための、起動デー タを変更するプロセスを維持する、 • 特定の文書に署名した人を判断できるようにする情報を維持する、 • 証明書の Subject として解釈される個人(証明書管理者)が証明書発行の目的に沿ったセキ ュリティ・トレーニングを受けたことを保証する、 • 組織のメンバー間で組織の証明書が共有されることを防止する、 • 利用者の秘密鍵の紛失、開示、またはその他の危殆化の事実あるいは疑いがあるときに、即 座に CDS 認証機関に通知する、及び • 証明書の Subject (証明書管理者)が拘束力のある利用者規約に同意したことを保証する。 2.1.6 依拠当事者の義務 依拠当事者は、電子署名された文書への依拠に課される制限を管理するユーザ通知を受領し、それに 従うものとする。ベリサイン CDS によって発行された証明書に由来する文書署名に依拠当事者が依 拠するのは、Adobe がサポートするプラットフォームを使用してその電子署名が検証された場合の みとする。 本セクションに定める義務を履行しない依拠当事者は、依拠する電子署名及び/または証明書に関す るすべてのリスクを負う。 2.1.7 リポジトリの義務 ベリサイン CDS リポジトリは、証明書、CRL、及びその他の失効情報を提供する義務を負う。一般 への公開が意図されていない、利用者に関するいかなる機密情報も、ベリサイン CDS リポジトリで 公開されない。したがって、ベリサイン CDS リポジトリは、制限されない閲覧のみのアクセスを、 利用者、依拠当事者、及びその他の関係者に提供する。ベリサイン CDS リポジトリには、セクショ ン 2.6.4 に記載されている手段を用いてアクセスできる。ベリサインは、パフォーマンスの強化を目 的として、証明書及び CRL を別のリポジトリに複製できる。かかるリポジトリは、ベリサインまた はその他の当事者によって運用できるものとする。 2.2 責任 2.2.1 保証及び保証の制限 本セクションでは、本 CPS に従ってベリサイン CDS 階層のすべてのレベルの認証機関から利用者 及び依拠当事者に提供される、保証、保証の否認、及び責任の制限を定める。 2.2.1.1 認証機関による保証 ベリサインは利用者に以下を保証する。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -10- • 証明書に記載される事実には、ベリサインが把握し、またはベリサインに起因する重要な不 実の記載は存在しないこと、 • 証明書に記載される情報には、ベリサインが証明書を生成するときに、相当な注意を払うこ とを怠ったことによって生じた誤りが存在しないこと、 • かかる証明書が本 CPS に定めるすべての重要な要件に合致していること、及び • 失効サービス及びリポジトリの使用がすべての重要な点において本 CPS に従っていること。 ベリサインは、証明書に合理的に依拠する依拠当事者に以下を保証する。 • ベリサインは、証明書の発行にあたって CPS に実質的に従っていること、及び • かかる証明書に記載されている、または参照することによって組み込まれる情報はすべて、 発行日時点で正確であること。 2.2.1.2 利用者の表明 利用者は、ベリサインが発行する CDS 証明書を受領することによって、証明書の受領時点で、及び 証明書の運用期間を通じて、利用者から通知されるまで、ベリサイン、及び証明書に記載されている 情報に合理的に依拠するすべての当事者に対し以下について保証及び合意するものとする。 • 証明書に記載される公開鍵に対応する秘密鍵を用いて生成するそれぞれの電子署名が、利用 者の電子署名であり、電子署名を生成する時点において、証明書が受領され、有効なもので あること(有効期間内で、保留または失効されてもいないこと)、 • 権限を付与された者以外の何人も利用者の秘密鍵にアクセスしたことがないこと、 • 利用者がベリサインに対して行った、証明書に記載されている情報に関するすべての表明が 真実であること、 • 証明書に記載されているすべての情報は、利用者が知りえる情報あるいは告示されている情 報を忠実に反映しており、CPS セクション 2.3.1 で規定されているような重大な誤りが証明 書の情報にあったとしても、ベリサインに直ちに通知するとは限らないこと、 • 証明書が、正当で合法的な目的のためにのみ、かつ、本 CPS を遵守した態様によってのみ、 使用されていること、及び • 利用者がエンドユーザであること。また、証明書に記載された公開鍵に対応する秘密鍵を、 いかなる証明書(あるいは公開鍵を証明するその他の形式)または CRL に署名をする目的で 使用しないこと。 利用者は、証明書を受領することによって、本 CPS 及び該当する利用規約の諸条件に合意すること を認める。 2.2.2 保証と責任の否認 2.2.2.1 特定の否認 Adobe ルート 認証機関の否認 CDS プロバイダ規約に定める他のすべての保証の否認に加え、Adobe ルート認証機関は、以下の保 証も含め、CDI PKI で発行されたすべての証明書に関連する一切の保証を否認する。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -11- • 証明書に記載されている、または Adobe ルート認証機関以外のエンティティによって、ある いはかかるエンティティのためにその他の手段で生成、発行、または開示されたすべての情 報の正確性、信憑性、信頼性、完全性、最新の状態であること、商品性、または適合性につ いての保証、 • Adobe ルート認証機関以外のエンティティによって実装された暗号化処理によって提供され るセキュリティに関する保証、 • 証明書に記載されている情報の表明に関する保証、 • あらゆるメッセージの否認防止に関する保証、及び • あらゆるソフトウェアまたはアプリケーションに関する保証。 ベリサインの否認 本 CPS に特別の定めがある場合を除き、ベリサインは a) 証明書に記載されている表明について、何人にも、またはいかなるエンティティにも責任を 負わない。ただし、かかる証明書が CPS に実質的に従って作成され、さらに、前述の否認が、 怠慢、無謀、または詐欺的な不法行為に関するベリサインの責任に適用されるものではない ことを前提とする。 b) ベリサインのあらゆる証明書またはあらゆるメッセージについて、「否認防止」を保証しな い(否認防止は、法律及び適用可能な最終的な紛争解決の仕組みによってのみ判断されるた め)、及び c) ベリサインが排他的に保有、管理、またはライセンス供与されていない、いかなるハードウ ェアまたはソフトウェアについても、その基準またはパフォーマンスに関して保証しない。 CPS セクション 2.3.3(信頼関係の否認)も参照。 2.2.2.2 免責事項 本 CPS 及び該当する利用規約に定められている場合を除き、また、適用される法律上許される範囲 内において、ベリサインは、商品性に関するいかなる保証、特定の目的への適合性に関するいかなる 保証、証明書の申請者、利用者、及び第三者によって提供された情報の正確性に関するいかなる保証 も含め、明示または黙示を問わず、あらゆる種類のいかなる人物またはエンティティに対する一切の 保証及び義務を否認し、さらに、厳格責任となる、または厳格責任と認められる可能性がある、ベリ サインによるいかなる行為についても、それが単独のものであるか、他の人物あるいはエンティティ と連帯して行ったものであるかを問わず、一切の責任を否認する。 2.2.3 責任の制限 2.2.3.1 損害高に関する制限 Adobe ルート認証機関の責任の制限 Adobe ルート認証機関は、いかなる状態においても、依拠当事者と主張するいかなる当事者あるい はその他の何人またはいかなるエンティティに対しても、使用、収入、利益の損失、データの紛失ま たは破損、その他の商業的または経済的損失、その他の直接的、間接的、偶発的、特別、懲罰的、ま たは結果的損害についても、かかる損害が発生する可能性について報告を受けていたとしても、ある COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -12- いは、かかる損害が予測可能なものであったとしても、一切の責任を負わない。この制限は、証明書 ポリシーの基本的条項の基本的違反の場合でも適用されるものとする。 Adobe は、Adobe ルート認証機関の証明書とルートを形成する、さらに後順位の CDS 下位認証機関 証明書または利用者証明書を発行する、いかなる CDS 下位認証機関が発行した証明書に依拠するい かなるトランザクションに対しても、義務または責任を負わない。Adobe は、下位認証機関 CPS、 または、利用規約、依拠当事者規約、あるいは CDS 下位認証機関とのその他の適用可能な契約の諸 条件に従って、これらの CDS 下位認証機関または利用者証明書に対して責任を負う。 ベリサインの責任の制限 利用者または依拠当事者が、本 CPS に基づく支払要求とは別の、適用される法律上許される範囲内 における、請求、法的措置、訴訟、仲裁、またはその他の手続きを開始した場合、ベリサインの責任 は以下のように制限されるものとする。 主契約、不法行為、あるいはベリサイン CDS 認証機関、その登録機関、または信頼される代理人が 行った怠慢、無謀、詐欺的な行為によるその他の損害についてのベリサインの責任総額は、いかなる 当事者に対しても、ベリサイン CDS 証明書の使用またはそれへの依拠を伴うあらゆる事象(すべて のトランザクションの総計)について、5 千米ドル(US$5,000)に制限されるものとする。この責 任の制限は、電子署名、認証行為、関連する暗号化されたメッセージ、またはかかるトランザクショ ンに起因する請求の数に関係なく、同じものとする。 2.2.3.2 損害の特定要素の除外 本 CPS に明示的に定める場合を除き、また、適用される法律上許される範囲内において、ベリサイ ンは、何人またはいかなるエンティティに対しても、証明書、電子署名、または、本 CPS によって 提供または予定されるその他のトランザクション、製品、またはサービスの使用、提供、ライセンス 供与、履行、または不履行によって生じる、あるいはそれに関連して生じる、いかなる間接的、特別、 依存的、偶発的、または結果的損害(利益の損失またはデータの損失を含むがそれに限定されない) について、かかる損害が発生する可能性について報告を受けていたとしても、責任を負わないものと する。 適用される法律上許される範囲内において、ベリサインは、何人またはいかなるエンティティに対し ても、証明書、電子署名、または、本 CPS によって提供または予定されるその他のトランザクショ ンまたはサービスの使用、提供、ライセンス供与、履行、または不履行によって生じる、あるいはそ れに関連して生じるいかなる懲罰的損害についても責任を負わないものとする。 2.2.4 第三者の受益者 セクション 2.2.2(保証と責任の否認)において、Adobe Systems Incorporated は第三者受益者とし て意図される。 2.3 財務的責任 ベリサインは、その業務の遂行と義務の履行に足る十分な財政的基盤を有し、利用者、証明書の受領 者、及び、ベリサインが発行する証明書とタイム・スタンプに依拠するその他の人物に対する責任を、 合理的な範囲で負担できる。ベリサインはまた、専門職業人賠償責任保険に加入しているものとする。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -13- 2.3.1 加入者の責任及び補償 本 CPS に定める利用者のその他の義務を制限することなく、利用者は、証明書の 1 つ以上の電子署 名を検証し、証明書に記載されている表明に合理的に依拠する第三者に対して、証明書内の不実の記 載について責任を負う。 利用者は、証明書を受領することによって、結果的に責任を生じさせるあらゆる行為または不作為、 あらゆる損失または損害、ならびにあらゆる種類のあらゆる訴訟及び経費について、Adobe ルート 認証機関、ベリサイン、その代理人、及び請負業者を補償し保護することに同意する。かかる経費に は、ルート認証機関、ベリサイン、及びその代理人と請負業者が負担する、証明書の使用または発行 に起因し、かつ、(i) 利用者(または利用者によって承認された人物の指令に従って行動する人物) が虚偽または不実の表明を行った、(ii) 利用者が重要な事実を開示することを怠った場合で、不実の 表明または事実を開示しないことが懈怠または、ベリサイン、あるいは証明書を受領するか証明書に 依拠する人物を欺く意図をもってなされた、あるいは (iii) 利用者の秘密鍵の保護、信頼すべきシステ ムの使用、またはその他利用者の秘密鍵の危殆化、喪失、開示、変更、もしくは権限のない使用を防 ぐために必要な措置をとることを怠ったことによって生じる、合理的な弁護士費用が含まれる。 2.3.2 依拠当事者の責任及び補償 本 CPS に定める依拠当事者のその他の義務を制限することなく、依拠当事者は、Adobe Systems が 承認するプラットフォーム上で検証されていない、あるいは、電子署名に依拠する前に証明書のステ ータスのチェックに失敗した、CDS が署名した文書への依拠に責任を負う。 依拠当事者は、CDS が署名した文書を受領することによって、依拠当事者の義務の不履行から、 Adobe ルート認証機関、ベリサイン、その代理人、及び請負事業者を補償し、保護することに同意 する。 2.3.3 信頼関係 ベリサイン CDS 認証機関は、Adobe ルート認証機関の代理人、被信託者、受託者、またはその他の 代表者ではない。 ベリサイン CDS 認証機関または登録機関は、利用者または依拠当事者の代理人、被信託者、受託者、 またはその他の代表者ではない。ベリサインと利用者の関係、及びベリサインと依拠当事者の関係は、 代理人と代表者との関係とは異なる。利用者も依拠当事者も、契約あるいはその他の手段によって、 ベリサインにいかなる義務も負わせる権限を持たない。ベリサインは、これとは反対に、いかなる表 明も、明示的、黙示的、出頭による、またはその他の手段によるとは問わず、行わないものとする。 2.3.4 行政手続き ベリサインの年次レポートは、書面による要求をセクション 1.4 に記載されている住所に提出するこ とによって入手できる。ベリサインの財務状況は、http://corporate.verisign.com/investor/secfilings.html で公開されている。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -14- 2.4 解釈及び執行 2.4.1 解釈 2.4.1.1 準拠法 本 CPS の執行力、解釈、及び有効性については、契約その他法の選択についての規定にかかわらず、 またバージニア州における商業的な関連を立証することなく、米国バージニア州法に準拠し、米国バ ージニア州法に従って解釈される。この法の選択は、すべてのユーザについて、当該ユーザの居住地 または証明書を使用する場所にかかわらず、統一的手続き及び解釈を確保するために行われるもので ある。 2.4.1.2 矛盾する条項 本 CPS に定める条項は、CDS 下位認証機関 PKI プロバイダ規約と矛盾しない範囲で、ベリサイン CDS 階層に適用される。本 CPS と CDS 下位認証機関 PKI プロバイダ規約が矛盾する場合は、CDS 下位認証機関 PKI プロバイダ規約が優先されるものとする。 本 CPS とその他の規則、指針、または契約とが矛盾する場合、本 CPS の条項が法律によって禁止 されている場合を除き、利用者は本 CPS の条項に拘束されるものとする。Adobe CDS CP と本 CPS に矛盾がある場合は、Adobe CDS CP が本 CPS より優先されるものとする。 2.4.1.3 解釈 別段の定めがある場合を除き、本 CPS は、特定の状況下において、商業的に合理的な方法で一貫し て解釈されるものとする。 2.4.1.4 本 CPS の表題及び付属書類 本 CPS の表題、副題、及びその他の見出しは、便宜上、及び参照目的でのみ使用されるものであり、 本 CPS のいかなる条項の解釈、理解、または執行にも使用されないものとする。付属書類は、本 CPS の定義を含め、本 CPS の不可分かつ法的に拘束力のある部分である。 2.4.2 分離可能性、効力の残存、併合、及び通知 2.4.2.1 分離可能性 理由及び範囲を問わず、本 CPS のいずれかの条項、及びその条項の適用が無効または執行不能と判 断された場合、本 CPS の残りの条項(及び、無効または執行不能な条項の、他の人物または状況へ の適用)は、その当事者の意図に最も合理的に効力をもつように解釈されるものとする。責任の制限、 あらゆる保証またはその他の義務に対する否認または制限、あるいは損害の免責を定める、本 CPS のすべての条項が、他のいかなる条項からも分離可能かつ独立したものとして意図されており、それ 自体として執行可能であることを、明示的に理解し、合意されたものとする。 2.4.2.2 効力の残存 CPS セクション 2.7(監査) ~ 2.8(機密情報)、CPS セクション 2.2.2 ~ 2.2.3(保証の否認と責 任の制限)、及び CPS セクション 2.4(解釈及び執行)に定める義務及び制限は、本 CPS が終了し てもその効力が残存するものとする。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -15- 2.4.2.3 併合 ベリサインの権利及び義務に直接影響する、本 CPS のいかなる条件または条項も、影響を受ける当 事者による認証メッセージまたは認証文書による場合を除き、また、本 CPS に別段の定めがある場 合を除き、口頭で改訂、放棄、補完、修正、または終了できないものとする。 2.4.2.4 通知 本 CPS の当事者が、本 CPS に関して何らかの通知、要望、または要求を求めている、あるいは求 められている場合はそれに応じて、かかる通信が、本 CPS の要件に従って電子的に署名されたメッ セージを使用するか、または書面によって行われるものとする。電子通信は、送信者が受信者から、 有効で、電子的に署名された受領通知を受け取ったときに、効力を生ずるものとする。かかる受領通 知は 5 日間以内に受け取られる必要があり、そうでない場合は書面による通知が送られる必要があ る。書面による通知は、書面によって受渡の確認を行う宅配便によって、あるいは、郵便料金前払い の配達証明書付きの配達証明郵便または書留郵便によって、下記の住所まで配達される必要がある。 VeriSign 宛て: VeriSign, Inc. 487 East Middlefield Road Mountain View, CA 94043 USA Attn: Certification Services (+1 650-961-8820) ベリサインから他の当事者宛て: VeriSign, Inc. に記録されている、その当事者への送付記録における最新の住所。 2.4.3 紛争解決手続き及び裁判所の選択 ベリサイン・ポリシー機関は、本 CPS に従って発行された証明書を使用した結果紛争が発生した場 合に、エンティティ間の紛争解決を促すものとする。 2.4.3.1 当事者間での紛争の通知 本 CPS の何らかの側面、または本 CPS に従ってベリサインが発行した証明書が関係する紛争に関 して、何らかの紛争解決の手段(以下に詳述する訴訟または仲裁を含む)を講じる前に、権利を侵害 された当事者は、ベリサイン及びその他すべての当事者に対して紛争を通知して、当事者間での紛争 解決を求めるものとする。 2.4.3.2 正式な紛争解決 紛争は、以下の条項に従って解決されるものとする。 (i) 紛争の欠かすことのできない当事者がカナダまたは米国の居住者であるか、カナダまたは米国に 本拠地を置く、あるいはカナダまたは米国で事業を営む組織である場合は、紛争の欠かすことのでき ない当事者がそれぞれ別の紛争解決の手段(仲裁など)に同意する場合を除き、本 CPS の条項を執 行する、または本 CPS あるいはかかる当事者間の事業上の関係に関連して生じるすべての訴訟は、 米国バージニア州ファエファクス郡に属する連邦裁判所または州立裁判所で裁かれるものとする。各 当事者は、かかる当事者に関して、かかる裁判所が排他的な人的訴訟管轄権を持つ裁判地であること に同意し、各当事者はかかる裁判所の排他的人的訴訟管轄権と裁判地に従う。各当事者は、本 CPS COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -16- に関連して行われたあらゆる法的措置に関し、いかなる陪審裁判の権利も放棄する。当事者によって 別の紛争解決が選択された場合、仲裁可能性及び手続きはバージニア州法に準拠するものとする。 (ii) 紛争のいずれかの当事者または複数の当事者がカナダまたは米国の居住者ではないか、カナダま たは米国に本拠地を置く、あるいはカナダまたは米国で事業を営む組織ではない場合。本 CPS に関 連して発生するすべての紛争は、1 名以上の仲裁人によって本条項を反映するように必要に応じて修 正された、国際商業会議所(ICC)の調停仲裁規則に従って最終的に解決されるものとする。仲裁地 は米国のニューヨークまたはサンフランシスコとし、手続きは英語で実施されるものとする。1 名の 仲裁人のみが関与する場合、その 1 名の仲裁人は、当事者双方の合意によって任命されるものとす る。15 日以内に当事者間で仲裁人に関する合意が得られなかった場合は、コンピュータ・ソフトウ ェア法、情報セキュリティ、及び暗号化について精通した、またはその分野に関する特別な資格を有 する仲裁人(弁護士、学識者、コモンロー法域の裁判官など)を ICC が選出するものとする。 2.4.4 後継人及び譲受人 本 CPS は、明示的、黙示的、または明白であるかを問わず、後継人、執行者、相続人、代表者、管 理者、及び譲受人の利益のために効力を生じ、それらを法的に拘束する。本 CPS に詳述する権利及 び義務は、当事者、法律の運用(合併の結果や、議決権のある株式持分での経営権の譲渡の結果を含 む)、またはその他の手段によって譲渡可能である。ただし、かかる譲渡が、認証機関の業務の終了 または停止に関する CPS セクション 4.9 に従って実行されること、さらに、かかる譲渡が、譲渡す る側の当事者が他の当事者に対してかかる譲渡の時点で負う、その他のいかなる負債または義務の更 改に影響しないことを条件とする。 2.4.5 権利の不放棄 いかなる当事者によるものであれ、本 CPS の条項の執行失敗が、その条項、またはその他のあらゆ る条項の将来の執行を放棄するものとはみなされない。 2.4.6 輸出法令の遵守 ベリサイン CDS と併せて使用される特定のソフトウェアの輸出には、該当する政府当局の承認を必 要とする場合がある。当事者は、適用される輸出法令を遵守するものとする。 2.4.7 暗号化手段の選択 すべての関係者は、セキュリティ・ソフトウェア、ハードウェア、及び暗号化/電子署名のアルゴリ ズム(それぞれのパラメータ、手順、手法を含む)を選択するにあたって、それらの関係者(ベリサ インではない)が全責任を負い、独自の判断で選択したことを認める。 2.4.8 不可抗力 ベリサインは、天災、戦争行為、疫病、停電、火災、地震、及びその他の災害を含むがそれらに限定 されない、制御不能な事象に起因する、いかなる保証不履行、遅延、本 CPS に基づく履行の失敗に ついても、責任を負わないものとする。 2.5 料金 2.5.1 証明書発行またはリニューアルの手数料 ベリサインは、エンドユーザ利用者に対し、証明書の発行、管理、及びリニューアルに関し、手数料 を請求できる。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -17- 2.5.2 証明書のアクセス手数料 ベリサイン CDS 証明書は、依拠当事者に無料で提供される。 2.5.3 失効またはステータス情報のアクセス手数料 ベリサイン CDS 証明書失効リスト(CRL)は、依拠当事者に無料で提供される。ベリサイン CDS は、OCSP を介した証明書ステータス情報へのアクセス手数料を請求する場合がある。 2.5.4 他のサービスの手数料 規定しない。 2.5.5 返金制度 ベリサイン CDS は、証明書業務の運用及び証明書の発行において、厳格な実務とポリシーを厳守し、 これに従う。しかしながら、理由の如何を問わず、利用者が自己に発行された証明書について十分に 満足しない場合、利用者はベリサインに対して、発行から 30 日以内に証明書を破棄し、利用者に返 金するよう要請できる。利用者または利用者の証明書に関して、本 CPS に基づく保証またはその他 の重大な義務にベリサインが違反した場合には、その最初の 30 日の期間後も、利用者は、ベリサイ ンに対し、証明書を破棄し、返金するよう要請できる。利用者は、 http://www.verisign.com/repository/refund に記載されているベリサインの返金制度に従って、返金を 要請できる。この返金制度は、利用者にとっての唯一の救済方法ではなく、また利用者がよることの できる他の救済方法を制限するものではない。 2.6 公開及びリポジトリ 2.6.1 認証機関情報の公開 CDS リポジトリは、以下に挙げる、公開された最小限の情報を格納しているか、またはそれらの情 報へのアクセスを提供する。 1. すべての有効な、かつ有効期間内の、ベリサイン CDS 証明書、 2. 失効を含む、証明書ステータス情報、 3. 最新の発行済み CRL、 4. ベリサイン CDS 利用者証明書の署名を検証するのに必要な、ベリサイン CDS 証明書、 5. 利用者または依拠当事者によるベリサイン CDS 証明書の使用に関連するとベリサイン CDS がみなす、その他すべての関連情報、及び 6. 少なくとも以下の項目を含む、本 CPS の簡略版のコピー。 • • • • • • 公開された CPS の有効期間、 セクション 1.4(CDS 認証機関の連絡先情報)、 セクション 2(一般規定) セクション 3.1 ~ 3.4(初期登録、証明書のリキー、及び証明書の失効)、 セクション 4.4(証明書の 効力停止及び失効)、 セクション 8(認証業務運用管理)、及び COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -18- • 依拠当事者の利益になると CDS 認証機関がみなすその他の情報(Adobe CDS ポリシ ー・ルートまたは CDS 認証機関証明書の失効通知を提供するため、CDS ルート・トラス ト・アンカーを開示する仕組みなど)。 ベリサイン CDS CPS は、ベリサインの専有情報とみなされる。 2.6.2 公開の頻度 リポジトリに公開される情報はすべて、ベリサイン CDS がかかる情報を利用できるようになった後 直ちに公開される。 利用者が証明書を受領すると、ベリサイン CDS は直ちに、CDS リポジトリ内の証明書のステータ スを保留から有効に変更する。 証明書を失効すると、ベリサイン CDS は直ちに、CDS リポジトリ内に示された証明書のステータ スを有効から失効に変更する。 CRL は、セクション 4.4.3 の規定に従って生成及び公開される。 2.6.3 アクセス制限 一般への公開が意図されていない、利用者に関するいかなる機密情報も、CDS リポジトリで発行さ れない。したがって、ベリサイン CDS PKI は、そのリポジトリ内で公開された一般情報にいかなる 閲覧アクセス制限も課さないものとする。利用者及び依拠当事者は、HTTP クエリーを介して、証明 書、証明書ステータス、及び CRL 情報にアクセスできる。 ベリサイン CDS PKI は、一般への公開が意図されていない、または修正が意図されていない、リポ ジトリ内のすべてのデータ、またはその他の方法で CDS が維持しているすべてのデータを保護する ものとする。ベリサイン CDS リポジトリ内に格納されている情報の更新は、権限が付与された CDS 要員に限定されるものとする。 2.6.4 リポジトリ ベリサイン CDS PKI は、利用者及び依拠当事者が使用できるオンライン・リポジトリを運用する。 ベリサイン CDS リポジトリは、LDAP 技術を使用して実装される。エンドユーザは、HTTP クエリ ーを使用して、CDS 証明書、証明書ステータス、または CRL を検索できる。 すべての合理的な努力を用いて、リポジトリを 1 日 24 時間、週に 7 日(「24 x 7」)利用可能にす る(日常保守の対象となる)。 2.7 準拠性監査 準拠性監査は、監査基準書(SAS) 70 及び WebTrust for CA 指針に定義される、米国公認会計士協 会(AICPA)が定める基準に従って実施される。ベリサイン CDS CPS は、その既存の商習慣及び統 制に基づく。そのようなものとして、毎年独立した SAS 70 及び WebTrust for CA 監査では、ベリサ インの CDS CPS への準拠が保証される。 2.7.1 準拠性監査の頻度 ベリサイン CDS は、ベリサインの年に 1 回繰り返し実施される PKI 監査の一部として、年に 1 回 の準拠性監査を受けるものとする。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -19- 2.7.2 監査人の身元/資格 ベリサイン CDS の監査人は、AICPA のメンバーであり、WebTrust 監査を実施する資格を有する。 CDS を監査するため、ベリサインは、ベリサインの商用 PKI 監査の実施に責任を負う、同じ専門の 独立監査法人を使用する。ベリサイン CDS の監査人は、専門的資格を有し、かつ、5 年を超える期 間ベリサインにこれらのサービスを提供してきたため、ベリサインの商習慣及びポリシーを熟知して いる。監査チームは、物理的、人的、技術的、及び論理的セキュリティに関連するすべての事項につ いて幅広い経験を有する。具体的には、準拠性監査チームは、次に該当する経験を有する。 • • • • 少なくとも 5 年間の、セキュリティ監査の実施経験、 少なくとも 3 年間の、PKI エンジニアリング/設計の経験、 少なくとも 6 年間の、暗号化エンジニアリングの経験、及び 少なくとも 6 年間の、コンピュータ・セキュリティの経験。 2.7.3 監査人と被監査当事者との関係 ベリサイン CDS の監査人は、そのセキュリティ監査サービスに関してベリサインと契約関係にあり、 ベリサイン CDS の運用に関連するいかなる役割または責任も持たない。 組織ポリシー管理機関は、本 CPS の項目の実装において、資格を有する監査人の識別及び採用に責 任を負う。 2.7.4 準拠性監査の対象となる項目 準拠性監査は、ベリサインが提供する CDS サービスの品質を保証するシステムをベリサインが構築 しており、CP 及び本 CPS の要件に準拠していることを検証するための、WebTrust for CA 監査を構 成する。ベリサイン認証機関/登録機関の業務のすべての側面が、準拠性監査の調査対象となる。準 拠性監査は、レベル 1 及びレベル 2 を含むものとする。 これらの準拠性監査に加え、ベリサイン及びアフィリエイトは、CDS PKI の信頼性を保証するため のその他の審査及び調査を実施する権限を持つ。 2.7.5 欠陥の結果としてとられる処置 準拠性監査によって、CP の要件または本 CPS の規定と、PKI 機関の設計、運用、または保守との 間に相違が発見された場合は、以下の処置が講じられるものとする。 • 準拠性の監査人がその相違を指摘する、 • 準拠性の監査人が、セクション 2.7.6 で特定される当事者に、その相違を通知する、 • その相違を是正する責任を負う当事者は、改善措置(予想される工期を含む)をポリシー機 関に提案し、合意を求める。 相違の性質と重大度、及びどの程度迅速に是正できるかに応じて、ポリシー機関は、認証機関または 登録機関の運用の一時的停止を決定し、発行された証明書を無効にすることができる。 2.7.6 結果の伝達 準拠性の監査人は、準拠性監査の結果をベリサインに報告し、ベリサイン CDS は、WebTrust 監査 結果の概要及び該当する部分を Adobe ポリシー機関に伝達する。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -20- 30 日後、準拠性監査報告、及び、認証機関または登録機関によって実施された、または実施されて いる是正措置の確認が、Adobe ポリシー機関に提供される。改善措置の履行及び有効性を確認する ために、特別な準拠性監査が必要な場合がある。 2.8 機密性 2.8.1 機密とされる情報の種類 利用者から受領した、証明書以外のすべての情報は、ベリサインによって機密情報として扱われ、ベ リサイン CDS リポジトリには掲載されない。この情報には、以下が含まれる。DUNS ナンバー、勤 務先または自宅の住所、電話番号、及びクレジット・カード・データは、機密情報として扱われる。 この情報は CDS 設備でローカルに格納され、権限が付与された要員にのみアクセスが制限される。 ベリサイン CDS は、申請者の名前または身元を特定できる情報を開示または売却せず、本 CPS に 従う場合を除き、かかる情報を共有しない。 2.8.2 情報公開の状況 ベリサインは、法律、政府の定める規則または規制、あるいは正当な司法権を持つ裁判所の命令によ って求められる場合を除き、機密情報をいかなる第三者にも開示しない。ベリサインは、認証された、 合理的に明確な要求について事前にベリサイン法務の許可を得ることなく、いかなる機密情報も開示 しない、または開示するように要求されない。 2.9 知的財産権 別段の合意がない限り、以下のセキュリティ関連情報資料及びデータにおける財産権は、以下に示す 当事者の財産とみなされる。 • 証明書及び CRL:証明書及び CRL は、ベリサイン CDS の私有財産である。ベリサインは依拠 当事者に対して、証明書及び CRL を使用するライセンスを供与する。 • CPS:CPS は VeriSign, Inc. の私有財産である。 • 識別名:識別名は、指定された人物(またはその雇用主あるいは代表者)の私有財産である。 • 利用者の秘密鍵:利用者の秘密鍵は、それらが保管または保護されている物理媒体の如何にかか わらず、それらを正当に使用する、または使用することが可能な利用者(またはその雇用主ある いは代表者)の私有財産である。 • 利用者の公開鍵:利用者の公開鍵は、それらが保管または保護されている物理媒体の如何にかか わらず、利用者(またはその雇用主あるいは代表者)の私有財産である。 • ベリサインの秘密鍵:ベリサイン CDS の秘密鍵は、VeriSign, Inc. の私有財産である。 • ベリサインの公開鍵:ベリサイン CDS の公開鍵は、VeriSign Inc. の財産である。ベリサインは、 かかる鍵の使用について、依拠当事者にライセンス供与する。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -21- 3. 確認と認証 3.1 初期登録 3.1.1 識別名の種類 CDS 認証機関によって発行された証明書は、Subject と Issuer のフィールドに、X.500 の識別名形 式を使用したゼロ以外の識別名を持つ。これらの識別名は、地政学的な名前を示す X.501 識別名の 形式である。 Adobe CDS ルート認証機関に割り当てられた X.501 識別名は、以下のとおりである。 • C=US, o=Adobe Systems Incorporated, ou=Adobe Trust Services, cn=Adobe Root CA ベリサイン CDS 認証機関に割り当てられた X.501 の識別名と専用の組織の認証機関は以下のとおり である。 • • • C=US, o=VeriSign Inc., ou=Adobe Trust Services, cn=VeriSign Intermediate CA for Adobe CDS (レベル 1 認証機関) C=US, o=VeriSign Inc., ou=CDS Signing, cn=VeriSign CA for Adobe CDS (共有認証機関 サービス向けのレベル 2 認証機関) C=US, o=<組織名>, ou=<未定>, <(オプション)ou=未定,> cn=<組織名> for Adobe CDS (専用認証機関サービス向けのレベル 2 認証機関) 組織は、共有のベリサイン認証機関または組織専用の認証機関を利用できる。選択する内容に応じ、 利用者に割り当てられる X.501 識別名は、以下のいずれかのディレクトリ情報ツリーから割り当て られる。 • • C=US, o=VeriSign Inc., ou=CDS Signing, cn=<コモン・ネーム> C=US, o=<組織名>, ou=<未定>, <(オプション)ou=未定,> cn=<コモン・ネーム> 利用者のコモン・ネームは次の 3 つの値のいずれかとなり、利用者の識別名全体は一意の値を構成 するものとする。 • • • cn=<個人名> cn=<組織名> cn=<組織での役割(最高財務責任者など)> 利用者が個人の場合、コモン・ネームは次のいずれかの形式となる。 • • • cn=<名前のイニシャル>. <名字> cn=<名前> <ミドルネーム> <名字> cn=<名前> <ミドルネーム> <名字>, dnQualifier=<整数> 最後の形式の場合、dnQualifier は、一意の名前を形成するための整数値となる。最後の形式は、そ れ以外の 2 つの名前形式がすでに利用者に割り当てられている場合に使用される。 ベリサイン・アフィリエイト・プロセッシング・センタは、専用認証機関として運営する。アフィリ エイト CDS 認証機関に割り当てられた X.501 の識別名と専用の組織の認証機関は以下のとおりであ る。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -22- C=US, o=<アフィリエイト名>, ou=未定, <(オプション)ou=未定,> cn=<アフィリエイト名> CA for Adobe CDS (レベル 2 認証機関) アフィリエイトのカスタマは、共有のアフィリエイト認証機関またはカスタマ組織専用の認証機関を 利用できる。選択する内容に応じ、利用者に割り当てられる X.501 識別名は、以下のいずれかのデ ィレクトリ情報ツリーから割り当てられる。 • • • C=US, o=<アフィリエイト名>, ou=未定, <(オプション)ou=未定,> cn=<コモン・ネーム> C=US, o=<アフィリエイトのカスタマ名>, ou=未定, <(オプション)ou=未定,> cn=<コモ ン・ネーム> 発行される証明書には、ゼロ以外の Subject 名フィールドが含まれる。Subject の代替名フィールド は、クリティカルではないとマークされている場合に使用できる。 ベリサイン CDS の証明書は、subjectAltName フィールドで代替名形式を提示できる。 3.1.2 意味のある名称であることの必要性 本 CPS に従って発行された利用者の証明書は、依拠当事者が理解でき、使用できる名前を含む。証 明書で使用される名前は、その名前が割り当てられる利用者を意味のある方法で識別できるものでな ければならない。 識別名に含まれるコモン・ネームは、人に理解されやすい方法で利用者を表すものでなければならな い。人物の場合、これは通常、次のようなコモン・ネーム形式が優先で使用されて正式名称となる。 cn=<名前のイニシャル> <名字> 認証機関証明書内の Issuer 名は通常、依拠当事者によって解釈されるものではないが、この CP で は、認証機関によって意味のある名前を使用することが求められる。コモン・ネームが含まれる場合、 そのコモン・ネームは次のように Issuer を表すものとする。 cn=<組織名> CA for Adobe CDS RFC 5280 で規定されているとおり、認証機関証明書内の Subject 名は、たとえ Subject 名が意味の ある名前でなくても、Subject によって発行される証明書内の Issuer 名と一致する必要がある。 3.1.3 識別名を解釈するための指針 識別名を解釈するための指針は、該当する証明書のプロファイルに記載されている(セクション 7.1.2.及び Appendix A を参照)。 3.1.4 唯一の名称 組織登録機関は、CDS 発行の認証機関ドメイン内で発行されるすべての証明書について、名前が一 意であることを保証する。重複を防ぎ、CDS 証明書の識別名及びシリアル・ナンバーの一意性を保 証するため、証明書の申請依頼に含まれる情報は、自動的にベリサイン CDS データベースと照合さ れる。 3.1.5 名前の競合が発生した場合の手続き 名前の競合が見つかった場合、ベリサイン・ポリシー機関は、必要に応じて調査及び修正を行う。必 要であれば、組織ポリシー管理機関が自らの範囲内で名前の競合を解決する。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -23- 3.1.6 商標の認識、認証及び役割 ベリサイン CDS は、管轄の裁判所が他社の商標を侵害するとみなすような名前を含む証明書を故意 に発行してはならない。証明書申請者は、証明書申請において、他者の知的財産権を侵害するような 名称を使用してはならない。ベリサインは、証明書申請者が証明書申請に記載の名称の知的財産権を 有しているかどうかの検証を行わない。また、ドメイン・ネーム、商号、商標、サービス・マークに 関する紛争を仲裁、調停、その他の方法で解決するものではない。ベリサインは、証明書申請者に何 らの責任を負うことなく、上記の紛争を理由として証明書申請を拒絶する権利を有する。 3.1.7 秘密鍵を所有していることの証明方法 利用者はすべての電子署名証明書依頼に対してキー・ペアを生成し、ベリサイン CDS PKI は、証明 書依頼内の公開鍵に対応する秘密鍵を所有していることの証明を求めるものとする。この証明を確立 するための技術上のメカニズムとは、公開鍵を含む利用者の証明書申請依頼が、対応する秘密鍵を使 用して電子的に署名されていることを確認することである。 スマート・カードを発行する場合、証明書申請依頼は、署名及び暗号化されたメッセージとして、 HTTP リンクを介して CMS ワークステーションから CDS 認証機関に送信される。 すべての証明書申請依頼について、ベリサイン CDS 認証機関は、それが正しい形式のメッセージで あり、その完全性が改ざんされていないことを保証するため、電子署名の正当性チェックを実行する。 認証機関または登録機関の直接管理の下で鍵生成が実行される場合、所有証明は必要ない。 利用者の制御が及ばないところで生成された秘密鍵は、安全かつ管理された方法で生成され、セクシ ョン 4.2 で規定する、責任ある方法で証明書の Subject または権限が付与された代理人に送信される。 利用者のキー・ペアの生成については、セクション 6.1.1.2 で詳しく説明する。 3.1.8 認証機関証明書発行の認証 組織またはアフィリエイトは、ベリサイン中間 CDS 認証機関の下の専用 CDS 認証機関が、組織の すべての利用者証明書に署名するように、CDS 下位認証機関の証明書を依頼できる。組織の申請者 に対する認証は、セクション 3.1.9 従い、ベリサイン登録機関によって実行される。 アフィリエイトのカスタマ組織は、アフィリエイト下位 CDS 認証機関の下の専用 CDS 認証機関が、 組織のすべての利用者証明書に署名するように、CDS 下位認証機関の証明書を依頼できる。組織の 申請者に対する認証は、セクション 3.1.9 に従い、アフィリエイト登録機関によって実行される。 監査では、セクション 2.7 に従い、認証機関の運用を調査して、本 CPS への準拠性を確認するもの とする。 ベリサイン・ポリシー管理機関は、情報の確認、依頼元の代表者の承認、及び代表者による組織の名 前での操作権限の付与について、最終権限を持つ。 認証機関利用者は、セクション 3.1.7 に従い、秘密鍵を所有していることの証明を提示するものとす る。 3.1.9 組織の実在性確認 登録機関は、証明書依頼に含まれている組織の実在性を確認する。確認の対象は次のとおりである。 • • 組織名、住所、DUNS ナンバー(または類似の、信頼性のある第三者による確認情報) 依頼元の代表者が組織の名前で活動することについての確認及び権限付与 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -24- 確認は、依頼を受け取った発行認証機関によって実行される(レベル 1 または 2)。 組織の依頼が、専用の下位認証機関の証明書に対するものである場合、その依頼はセクション 3.1.8 に従って処理される。組織の依頼が、CDS 利用者証明書に対するもので、それを組織の代理として 使用することを目的としている場合は、セクション 3.1.11 に従い、組織登録機関が依頼を処理する。 3.1.10 個人の実在性確認 組織登録機関は、申請者の実在性情報が確認されたことを保証する。実在性は、最初の証明書発行か ら遡って 30 日以内に確立されたものに限る。 手動確認 登録機関は、遠方にいる申請者の実在性証明の補足資料として、政府から発行された写真付き身分証 明の原本のファックスまたは電子メールのコピー、あるいは申請者の身分証明となる公正証書を承認 できる。登録機関による申請者の確認及び公正証書の確認にあたり、最低限必要な手続きは次のとお りである。 少なくとも、申請者の確認手続きには次の手順が含まれなければならない。 1) 組織に問い合わせることで、申請者からの依頼が組織によって承認されたことを確認する。 2) 組織の公式記録を使用して申請者の情報を確認する。 3) 次のプロセスに基づき、組織登録機関が申請者の実在性を確認する。 i) 申請者は、現在有効な写真付き身分証明を少なくとも 1 つ提出する(政府から発行された 正式な写真付き身分証明を所有していることが実在性の立証となる) ii) 上記の手順 3) i) で説明した資格情報について、組織登録機関は、その有効性と正当性を 確認するものとする(例:組織 ID が有効であることを確認する)。通常これは、資格情 報を発行した組織が管理するデータベースに照会することで行われるが、他の同等の方法 を使用してもよい。組織登録機関は、公証人により資格情報の有効性と正当性が確認され たことを示す公正証書を受け取ることが望ましい。 4) 組織登録機関は、申請者の署名を記録及び保管する。これが、紛争解決のための監査証跡と なる。 さらに、組織登録機関は、以下の情報を記録することにより、各証明書の発行時に実行したプロセス を記録する。 • 実在性確認を実行する組織登録機関または信頼される代理人の実在性、 • CPS が求める、申請者の実在性を確認した人物による署名済みの宣言(28 U.S.C. 1746 (偽 証罪に関する宣言)で規定する形式を使用)、 • 申請者の ID から取った一意の識別番号、または ID の複写。 • 確認を行った日時。 • 申請者による直筆署名入りの、実在性に関する宣言(28 U.S.C. 1746(偽証罪に関する宣 言)で規定する形式を使用)。利用者はさらに、秘密鍵の使用と保護、及び秘密鍵の喪失ま たは侵害の疑いがある場合の報告義務を含め、利用規約に規定されている責務を理解及び認 識していることを証明するものとする。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -25- 信頼される代理人は、組織登録機関の代理人の役割を果たすことができる。信頼される代理人は、利 用者申請フォーム及び申請者から収集されたすべての情報を、速達書留、Federal Express、または その他の類似手段を通じて、安全な方法で組織登録機関に直接郵送する。信頼される代理人は、組織 登録機関に送る写真付き ID のコピー及び利用者申請フォームを認証する。 信頼される代理人による確認は、組織登録機関の責任(上記の手順 1)、2)、及び手順 3) の実在性を 証明する情報の確認の実行)を軽減するものではない。 自動確認 組織は、管理者による介入なしで確認手続きを実行する自動確認プロセス(以下、「登録機関プロセ ス」という)を導入できる。この自動化された手続きは、申請者の実在性を、組織が持つ既存情報と 照合して検証(既に存在する身元を確認)することで、申請者の実在性をリアルタイムで検証する。 これは、申請者だけが知り得るシェアド・シークレット情報を送信することで実現される。登録機関 プロセスは、シェアド・シークレットを、組織の安全なデータ・ストアに保存されている身元情報と 照合し、申請者との関係性が現在も続いていることを検証する。 3.1.11 グループ証明書の実在性確認 通常、証明書は 1 名の利用者に対して発行される。しかし、組織の代表者または組織の役割(最高 財務責任者など)に対して証明書が発行される場合もある。このような場合、1 つの資格に対して複 数のエンティティが存在することとなり、複数の管理者によって共有される秘密鍵に対応する証明書 が発行されることがある。 組織登録機関は、グループ証明書を発行する前に、指定したスポンサーについて、セクション 3.1.10 に規定される情報を記録する。スポンサーの認証に加え、グループのメンバーに対して次の 手続きが実行される。 • • • • • 組織登録機関は、秘密鍵を確実に制御する責任を負う。これには、秘密鍵の使用権限を持つ 利用者の一覧の管理、及び、いつ、どの利用者に鍵の制御権があったかを把握する責任を含 む。 subjectName 識別名は、個人名など、Subject が 1 名の個人であることを暗示するものであ ってはならない。 証明書は、nonRepudiation ビットをアサートする。 共有の秘密鍵を保有する人物の一覧は、該当する認証機関またはそれが指定する代表者に提 示され、保持される。 共有鍵アプリケーションでの使用を目的とした HSM の発行手続きは、CP のその他すべての 規定(鍵生成、秘密鍵の保護、利用者の責任など)に準拠しなければならない。 3.2 証明書のリニューアル、更新、定期的なリキー 3.2.1 証明書のリニューアル及び変更 証明書のリニューアルとは、名前、鍵、権限は以前と同じのまま、有効期限を新たに延長し、シリア ル・ナンバーを新しくした、新しい証明書を作成することを意味する。証明書の変更とは、鍵は以前 の同じのまま、名前と権限を新しくした、新しい証明書を作成することを意味する。 ベリサイン CDS は、利用者の証明書のリニューアルまたは変更は行わない。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -26- CDS 認証機関証明書に対する変更は、発行認証機関が、Subject 情報の変更証明を確認した後で許可 される。 認証機関の危殆化が生じた場合、利用者は、最初の証明書申請プロセスを繰り返す必要がある。 3.2.2 証明書のリキー ベリサイン CDS は、利用者及び認証機関の証明書に対するリキーをサポートする。証明書のリキー とは、公開鍵とシリアル・ナンバーだけを新たに変えた(公開鍵は新たな別の秘密鍵に対応)、以前 と同一の新しい証明書が作成されることを意味する。また、有効期限も新たに割り当てられることが ある。証明書のリキー後、古い証明書はさらにリキーされるが、失効させることができる。 所有する証明書の有効期限が切れておらず、最初の利用者申請データに変更点がない利用者は、現在 有効な署名証明書の電子認証に基づいて証明書のリキーを行うことができる。現在の証明書が期限切 れまたは失効している場合、利用者は、最初の証明書発行時の手続きと同じものを使用する場合のみ 新しいキーを取得できる。 ベリサイン CDS は、署名証明書のリキー用に、SSL 保護されたウェブ・ページを提供する。電子認 証の方法には、最新かつアクティブな秘密鍵を保有していることを証明する方法、またはチャレン ジ・フレーズを使用する方法(またはこれと同等のもの)がある。最初の申請時、利用者は、チャレ ンジ・フレーズを選択して送信する(または同等の方法を使用する)。証明書のリニューアルの際、 利用者の再申請情報と共に、チャレンジ・フレーズ(またはこれと同等のもの)が正しく提示され、 連絡先情報を含む申請情報が変更されていな場合、リニューアルされた証明書は自動的に発行される。 CDS 認証機関証明書の証明書リキーについては、セクション 4.7 で説明する。 3.2.3 証明書の更新 ベリサイン CDS は、利用者の証明書の更新は行わない。個人名、権限、または特権が変更された場 合、利用者は、セクション 3.1.10 に定義された手続きを使用して新しい証明書を申請しなければな らず、古い証明書は失効するものとする。 CDS 認証機関証明書の更新は、セクション 4.7 で規定される鍵の切り替え手続きに従うものとする。 3.3 失効後のリキー 失効後のリキーの際、利用者は、身元確認などの最初の登録要件を繰り返す必要がある。 3.4 失効の申請 ベリサイン CDS は、利用者が CDS 証明書の失効を申請するための SSL 保護されたオンラインのウ ェブ・ページを提供する。利用者は、証明書申請プロセスで選択した、自分のチャレンジ・フレーズ を提示することで認証される。利用者はまた、電子署名された電子メール・メッセージを組織登録機 関に送信することで、証明書の失効を申請することもできる。組織登録機関は、署名付きメールの電 子署名を確認することで、その申請を認証する。利用者がチャレンジ・フレーズまたは自身の証明書 を送信できない場合、利用者は、電話、ファックス、電子メール、郵便、または宅配便サービスを使 用して組織登録機関に問い合わせることができる。組織登録機関は、利用者の証明書を失効する前に、 コミュニケーション内容を認証する。申請元や使用方法によっては、申請情報が厳格に調査され、そ の真正性を確認するための問い合わせが実施される。 信頼される代理人は、電子署名した電子メール・メッセージをベリサインに送信することで、利用者 のスポンサー付き証明書の失効を申請できる。組織登録機関は、署名済み電子メールの電子署名を検 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -27- 証し、利用者が所属する組織に関連する証明書について信頼される代理人が失効を申請していること を確認することにより、申請を認証する。 組織登録機関は、利用者の組織に関連する証明書のみを失効できる。 ベリサイン登録機関または組織登録機関は、正当な理由により、利用者の証明書を失効できる。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -28- 4. 運用要件 4.1 証明書申請 CDS PKI 機関が申請者からの証明書申請要求を処理するときは、以下の手順を実行する。 • (利用している組織またはスポンサー組織によって)申請者の証明書取得の承認を確定する (セクション 3.1.9 ~ 3.1.11 参照)。 • 申請者の実在性を確定して記録する(セクション 3.1.9 ~ 3.1.11 参照)。 • 申請者の公開鍵を取得し、必要とされる各証明書の秘密鍵を申請者が所有していることを確 認する(セクション 3.1.7 参照)。 • すべての情報が証明書に含まれることを確認する。 証明書申請処理に関する CDS PKI とのすべてのコミュニケーションは電子的に行われ、SSL によっ て保護される。CDS 認証機関によって発行される証明書の申請プロセスの詳細は、以下のとおりで ある。 1) CDS 証明書を申請する申請者は申請フォームに入力し、権限が付与された組織の職員から申 請の承認を取得しなければならない。 2) 申請者は、(同意テキスト及び確認チェック・ボックスのクエリー表示によって)利用規約 の諸条件を承諾することを認めて、申請フォームを組織登録機関に提出し、セクション 3.1.9 ~ 3.1.11 に従って身元情報を添付しなければならない。 3) ハードウェア・デバイスを取得したら、利用者は、組織でホスティングされ、SSL で保護さ れた証明書受領用ウェブ・ページに提示される組織登録機関から、承認済みのパスコードを 受け取る。 4) 署名証明書の公開鍵/秘密鍵のペアがハードウェア・デバイスで生成され、証明書署名要求 (CSR)が生成される。証明書署名要求には、Appendix A で指定されているエンド・エンテ ィティ証明書プロファイルに沿った形で、証明書に必要な公開鍵、利用者の名前、電子メー ル・アドレス、組織データが含まれる。 CSR は SSL セッション経由で CDS 認証機関に送信され、秘密鍵の所有証明が調査される。 その後 CDS 認証機関は要求に署名し、証明書を CDS リポジトリに掲載してから、証明書を ハードウェア発行システムに戻す。そして証明書は利用者のデバイスにダウンロードされる。 または、組織は管理者の介入なしで申請プロセスの手順を実行する自動承認サーバを利用できる。こ のプロセスでは、利用者と、組織によって身元情報を活用する登録機関プロセス間で共有されるシェ アド・シークレット情報を申請者が送信しているかを検証し(少なくともセクション 3.1 の規定内容 と同等のもの)、組織との関係性が続いていることを確認する。シェアド・シークレット情報は、身 元情報の結び付きを生じさせるために、承認された組織データ・ストアに対して検証される。 認証が成功すると、前述の手順 3) のとおり CDS 認証機関は証明書を発行する。 4.1.1 証明書発行者への利用者の公開鍵の受渡 利用者の身元情報及び公開鍵は、CSR(PKCS#10)プロトコルを使用して暗号化された形式で、 FIPS 140 レベル 2 準拠の HSM から CDS 認証機関に受け渡される。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -29- 4.2 証明書発行 証明書に含まれているすべての情報は、証明書発行前に検証される。CDS 認証機関は要求に署名し、 証明書をハードウェア発行システムに転送する。そして利用者のハードウェア・デバイスに証明書が ダウンロードされる。 証明書はセクション 6.2.1 に従い、FIPS 140 レベル 2 HSM 内で発行される。ベリサイン CDS は、 使用期間が 1 年、2 年、3 年のいずれかの利用者証明書を発行できる。 秘密鍵と公開鍵のセキュアな受渡/交換については、セクション 6.1.2 ~ 6.1.4 に規定されている。 4.3 証明書の受領 証明書生成の通知は、証明書発行/受領プロセスにおいて必ず行われる。証明書申請要求の提出にお ける申請者の行動により、生成された証明書を受領し、証明書に関して利用規約で規定されている該 当する義務、及びセクション 2.1.6 で規定されている責任を負うことまで定められる。 4.4 証明書の効力停止及び失効 4.4.1 失効 4.4.1.1 失効が行われる場合 CDS 証明書は、Subject と、証明書内で定義される Subject の公開鍵を結び付けるものが有効ではな いと認識された場合に失効されるものとする。以下のような状況下で、証明書が失効される。 • 利用者の証明書において組織との関係を含む身元情報が、証明書の有効期間満了前に変更さ れている、 • 証明書の Subject が本 CPS または利用者規約の要件に違反したことを証明できる、 • 秘密鍵に危殆が生じている疑いがある、 • 利用者または権限を有する他の当事者が証明書の失効を要求している、 • 証明書の継続的な使用が CDS PKI に悪影響を与える可能性がある、または • Adobe ポリシー機関からの要求がある。 前述の状況のいずれであっても、関連付けられた証明書は失効し、CRL に配置される。失効した証 明書は、少なくとも 1 つの CRL に掲載される。 4.4.1.2 証明書の失効を申請できる者 利用者は自身の証明書の失効を要求する権限がある。Adobe ポリシー機関、ベリサイン登録機関、 組織登録機関、または信頼される代理人を含む、権限を有する他の当事者は、利用者に代わって、利 用者の証明書の失効を要求できる。 信頼される代理人が失効を要求できるのは、信頼される代理人の組織に関連付けられている利用者の 証明書だけである。失効理由を含む書面による通知も、電子メール、郵便、電話、またはファクシミ リを通じて、証明書が失効された利用者に提供される。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -30- 4.4.1.3 失効申請要求の手続き 失効要求では、失効させる証明書を特定し、失効理由を含めなければならない。失効要求は、手動で または電子的に署名でき、組織登録機関によって認証されなければならない。鍵の危殆化または不正 使用の疑いが理由で失効が要求されている場合は、利用者及び登録機関の失効要求でそう示す必要が ある。失効プロセスは以下のとおりである。 利用者による証明書失効要求:CDS 利用者は、電子署名されたメッセージを組織登録機関に送信す ることで、証明書の失効を要求できる。メッセージには失効の理由を含めなければならない。組織登 録機関は、署名されたメッセージの署名を検証することで要求を確認する。利用者が自身の秘密署名 鍵を所有していない場合は、ベリサインでホスティングされている失効用ウェブ・ページにおいて、 証明書申請時に選択した一意のチャレンジ・フレーズを提示することで、その利用者は自身の証明書 の失効も要求できる。ウェブ・ページは SSL を使用して保護される。組織登録機関による失効要求 検証で合格すると、CDS PKI はリポジトリ内の証明書ステータスを「有効(valid)」から「失効 (revoked)」に変更し、失効した証明書のシリアル・ナンバーを次回公開の CRL に掲載する。 信頼される代理人による証明書失効要求:信頼される代理人は、電子署名されたメッセージを組織登 録機関に送信することで、利用者の証明書の失効を要求できる。組織登録機関は、署名されたメッセ ージの署名を検証し、利用者証明書での関係性が信頼される代理人の関係性と同じであることを確認 することで、要求の有効性を確認する。メッセージには、証明書が失効される利用者の名前と電子メ ール・アドレス、及び失効理由が特定されていなければならない。組織登録機関による失効要求検証 で合格すると、CDS はリポジトリ内の証明書ステータスを「有効(valid)」から「失効 (revoked)」に変更し、失効した証明書のシリアル・ナンバーを次回公開の CRL に掲載する。 登録機関による証明書失効要求:組織登録機関は、組織に関連付いている CDS 利用者証明書の失効 を要求する。失効を要求するための CDS へのアクセスは、SSL を使用して保護され、有効な登録機 関証明書の提示が求められる。CDS は登録機関証明書を検証し、失効される証明書において、登録 機関の関係性と組織の関係性が同じかどうかを調査する。これらの調査に合格すると、CDS はリポ ジトリ内の証明書ステータスを「有効(valid)」から「失効(revoked)」に変更し、失効した証明 書のシリアル・ナンバーを次回公開の CRL に掲載する。 CDS は失効したすべての証明書を集約し、新しい CRL に電子署名し、セクション 4.4.3 で指定され ている頻度に従って CRL をリポジトリに掲載する。 4.4.1.4 失効申請の猶予期間 CDS 認証機関による証明書の失効申請に猶予期間はない。利用者または組織登録機関は、失効させ る必要があると判断されてからできる限り迅速に CDS 認証機関が証明書を失効するよう申請する義 務を負う。CDS 認証機関は、正式な失効申請を受け取ったら、現実的に可能な範囲でなるべく速や かに証明書を失効する。失効申請は、CRL 発行から 2 時間以内に受領した申請を除き、次回の CRL が公開される前に処理される。CRL 発行から 2 時間以内に受領した失効申請は、次回の CRL が公開 される前に処理される。 4.4.2 効力停止 証明書の効力停止はサポートされていない。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -31- 4.4.3 証明書失効リスト CDS PKI は少なくとも 24 時間ごとに CRL を発行し、それら CRL には 24 時間の有効性間隔 (nextUpdate)がある。最新の CRL が掲載されると、置き換えられた CRL はリポジトリから削除 される。最新の CRL には、失効したすべての証明書が含まれる。 ベリサインのレベル 1 中間認証機関はオフラインで運用されており、他の認証機関への証明書発行 及び CRL への署名のみに使用される。オフライン認証機関向けの CRL は、365 日ごとに公開され る。 CDS PKI は、失効した証明書に関する情報の取得方法についての情報を公開し、依拠当事者に CDS CPS を介して証明書の失効ステータスを調査する必要があるかどうかを助言する。依拠当事者が CDS 証明書の失効情報を取得できない場合、その依拠当事者は証明書の使用を拒否するか、情報を 得た上でリスク、責任、及び真正性が保証できない証明書を使用するという結果を受け入れる決定を 下す。 4.4.4 オンラインによるステータス調査 ベリサイン CDS は、オンライン CSA を提供して、Online Certificate Status Protocol(RFC 5019 準 拠の OCSP)を使用した証明書ステータス調査を可能にする。OCSP レスポンダー証明書が、FIPS 140 レベル 3 ハードウェア・トークンで発行される。OCSP レスポンダー証明書は、ステータスが 調査される証明書に署名したのと同じ鍵を使用し、同じ認証機関によって署名される。 OCSP レスポンダーは、失効ステータス応答で正確な最新情報が提供されることを確実にし、すべ ての応答に電子署名するものとする。OCSP ステータス情報の配布は、セクション 4.4.3 で指定され ている CRL 発行要件を十分に満たすものとする。 鍵の危殆化で証明書が失効された場合、ステータス情報は更新され、遅滞なく依拠当事者に提供され る。オンラインでのステータス調査を使用するクライアント・ソフトウェアは、CRL の取得または 処理は必要ない。 4.4.5 利用可能な失効の公表についての他の形式 ベリサイン CDS は、ベリサイン Class 3 証明書で保護されたウェブ・ページも提供しており、この ウェブ・ページでは依拠当事者が利用者証明書の失効ステータスのクエリーを行うことができる。 4.4.6 失効の公表についての他の形式の要件検査 規定しない。 4.4.7 鍵の危殆化に関する特別な要件 認証機関の鍵の危殆が生じた場合、ベリサイン・ポリシー管理機関に直ちに通知される。CDS PKI は、危殆の範囲に応じて、影響を受ける利用者に通知する手続きを開始する。 • Adobe ルート認証機関は、ARL を公開することで、CDS レベル 1 認証機関の証明書の失効 をすべての依拠当事者に伝える。 • ベリサインのレベル 1 認証機関は、ARL を公開することで、レベル 2 CDS 認証機関の証明 書の失効をすべての依拠当事者に伝える。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -32- その後、危殆が生じた認証機関は新しい署名キー・ペアを生成し、最初のシステム初期化時に実行さ れた手続きと同じものを使用して運用を復帰させ、すべての利用者証明書のリキーを行う。新しい CDS 認証機関証明書は、セクション 4.2.2 の定義どおりに配布される。 4.5 セキュリティ監査/監査記録の手続き 4.5.1 記録されるイベントの種類 セキュリティに関する重要なイベントはすべて監査ログに記録される。電子ベースの監査データは自 動的に収集される。監査対象プロセスに電子データがないときは、必要に応じて、手動データを記録 できる。 4.5.7 イベントを生じさせた Subject に対する通知 イベントを生じさせた Subject に対しては何らも通知されない。 4.5.8 脆弱性の評価 ベリサインは、多面的で主体的なアプローチによって、信頼できる CDS 操作を確保する。 ベリサインは四半期ごとに脆弱性評価を実施して、外部ネットワークの脅威に対する保護機能を判断 する。外部のコンサルタントに加え、ベリサイン要員もこの定期的な評価を実行する。最終的にベリ サインは、1 年に 1 回の広範囲に及ぶ SAS 70 タイプ 2 監査、及び WebTrust 監査を実施して、この 業務運用文書に従って運用を検証する。 4.6 記録の保管 4.6.1 保管されるデータ/記録の種類 ベリサイン CDS 監査プロセスは、認証機関のキー・ペアの初期化時に、紙と電子記録形式のいずれ かで、以下の情報を記録する。 • • • 認証機関システム設備の設定ファイル 認証機関の認定(必要な場合) 認証機関が拘束される CDS CPS 及びあらゆる契約上の合意 以下のデータは、CMA 操作時に保管用に記録される。 • • • • • • • • • • • 認証機関の認定(該当する場合) Certificate Policy Certification Practice Statement 契約上の義務 認証機関の運用に関するその他の合意 システム及び設備の設定 システムまたは設定に対する変更及び更新 セキュリティ監査データ(セクション 4.5 に準拠) 失効申請、及び失効したすべての証明書 発行/公開されたすべての CARL 及び CRL 証明書申請及び利用者の身元確認データ(セクション 3.1.10 に準拠) COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -33- • • • • • 利用者規約 発行/公開されたすべての証明書 リキーの記録 保管内容を検証するためのその他のデータまたは申請 準拠性監査人に必要とされた書類 4.6.2 記録保管の期間 証明書、CRL、及び CDS 公開鍵を含む CDS 保管記録は、少なくとも 10 年 6 か月の期間にわたっ て保管される。現在すべてのデータベース記録は、オンラインで保管され、即時アクセスできる。深 刻なシステム障害の発生時にオンライン・システムを確実に復旧させるために、フル・システム・バ ックアップのオフサイト・ストレージが維持されている。システム・バックアップは、オフサイトの サード・パーティ施設で保管される。 CDS 記録の保管に使用されるメディアは、前述した保管期間に耐えうるものを使用する。 4.7 鍵の切り替え CDS 認証機関は、その秘密署名鍵を使用して、証明書と CRL にのみ署名する。本 CPS に従って定 められた認証機関のキー・ペアは、技術的な方法によって、有効期間が認証機関証明書の有効性間隔 の有効期限よりも長い利用者証明書に署名することが防止される。CDS 認証機関キーが変更される と、古い CDS 認証機関キー・ペアは保持され、古い CDS 認証機関の署名キーで署名された証明書 が発行されていた利用者に CRL が発行される。 CDS 認証機関は、キー・ロールオーバー証明書をサポートしない。認証機関のリキーを行うと、認 証機関の公開鍵用に新しい証明書を発行することが求められる。 4.8 危殆化及び災害からの復旧 ベリサインは、セクション 5.1.1 で規定されているように、プライマリ・サイトから離れた場所にあ るベリサイン所有の施設で災害復旧施設(DRF)を保持している。ベリサイン DRF は、プライマ リ・サイトと同じセキュリティ・ポリシーと手続きで運用される。 ベリサインは、CDS PKI サービスを含むマネージド PKI サービスのすべてに災害復旧プランを作成 してきた。災害復旧プランでは、ベリサイン災害復旧チームがバックアップ・データ及び CDS キー のバックアップ用コピーを使用して、ベリサイン CDS 運用を復帰させる手続きを定める。 4.9 認証機関の終了 Adobe ポリシー機関は、ベリサイン CDS 認証機関階層内で、いずれかの CDS 下位認証機関が終了 する際には、事前に通知されるものとする。Adobe ポリシー機関及びベリサインは、適切に運用を 終了させるための適切な手続きに合意する。 ベリサイン CDS 認証機関が運用を終了させる必要がある場合、ベリサイン CDS は認証機関が終了 する前に、利用者、依拠当事者、及びかかる終了により影響を受ける他のエンティティに対し、その 旨を通知するよう商業上合理的な努力をする。CDS 認証機関が終了する場合、その CDS 認証機関 で署名された証明書も失効される。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -34- 利用者及び依拠当事者に対する混乱を最小限に抑える終了プランが作成される。かかる終了プランは、 適宜次の事項に言及する。 • • • • • • • • • • 利用者、依拠当事者、及びカスタマ等、終了により影響を受ける当事者に対し、当該認証機 関の状況を知らせる通知の提供、 かかる通知費用の取扱い、 ベリサインにより当該認証機関に発行された証明書の失効、 本 CPS で必要とされている期間中における当該認証機関の記録の保存、 利用者及びカスタマ・サポート・サービスの継続、 オンライン・ステータス調査サービスの維持等失効サービスの継続、 必要に応じ、利用者の証明書で、有効期間内かつ失効されていないものの失効、 必要な場合、有効期間内かつ失効されていない証明書について、終了プランまたは規定によ り失効された利用者への返金。または、後継の認証機関による代替証明書の発行、 当該認証機関の秘密鍵及びかかる秘密鍵を含むハードウェア・モジュールの処分、及び 当該認証機関のサービスを後継の認証機関に移行するために必要な規定。 失効通知の配布は、CPS セクション 4.8 の規定どおりに実行される。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -35- 5. 物理的、手続的、及び人的なセキュリティ管理 5.1 物理的管理 ベリサイン CDS 設備は、認証機関の職務を専門とし、認証機関に関連しない職務は実行しない。 5.2 手続的管理 5.2.1 信頼される役割 CDS リポジトリの制限された操作へのアクセスを含み、証明書の発行、使用、効力停止、または失 効に重大な影響を与える可能性がある暗号操作にアクセスしもしくはこれを管理するベリサイン CDS のすべての従業員、独立請負業者、及びコンサルタントは、信頼される地位で役割を果たして いるものとみなされる。 5.2.1.2 役員 役員の役割は、ベリサイン CDS PKI の以下のエンティティによって果たされる。 ベリサイン登録機関は、組織登録機関の身元確認、及びクライアント組織からの登録機関証明書の申 請要求の処理について責任を負う。ベリサイン登録機関は、証明書申請要求の承認、及び証明書失効 要求の処理を行い、さらに必要な場合は申請プロセス時に登録機関利用者のサポートも行う。ベリサ イン登録機関の役割を果たす全要員は、総合的な身元調査で合格しているものとする。 組織登録機関は、ベリサインと CDS PKI サービスの契約を締結している組織の代理機関である。組 織登録機関は、組織に関連付いているユーザ・コミュニティのエンド・エンティティ利用者に対して、 ベリサイン CDS 登録機関と同等の職務を実行する。組織登録機関は、ベリサイン CDS に対するセ キュアなリモート・インターフェースを有する。組織登録機関とベリサイン CDS 間のすべてのコミ ュニケーションは、証明書ベースのアクセス管理を使用した SSL セッションを経由する。組織登録 機関の証明書は、FIPS 140 レベル 2 HSM に保存される。 アフィリエイト組織登録機関は、ベリサイン CDS 登録機関と同等の職務を実行する。 5.2.1.5 信頼される代理人 信頼される代理人は、登録プロセス時の利用者の身元確認において、組織登録機関の代理として行動 する権限が付与された要員である。信頼される代理人は、CDS PKI へのログイン・アクセスは行わ ない。 5.2.1.6 PKI スポンサー PKI スポンサーは、公開鍵証明書の Subject として指名されている別のエンティティの利用者の役割 を果たす。PKI スポンサーとは、以下の代理として証明書を申請している申請者である。 • • • 別の個人利用者(独立請負業者、別の関連要員など) 組織の役割、または 組織 PKI スポンサーは、組織登録機関、及び該当する場合は信頼される代理人と協力して、セクション 3.1.9、3.1.10 及び 3.1.11 に従ってエンティティを登録し、本書で定められている利用者の義務を果 たす責任を負う。 . COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -36- 証明書を含む HSM の管理所有権限が付与されているスポンサー組織内の個人は、証明書管理者と呼 ばれ、セクション 2.1.6.3 で規定されている義務を負う。 5.3 人事的管理 5.3.1 経歴、資格、経験及び許可要件 ベリサイン CDS 及び CDS リポジトリに監視外でアクセスできる要員はすべて明示的に承認されて おり、確実な忠実性、信頼性、及び完全性を要する。 ベリサイン CDS は、特定の「高リスク」の業務を識別し、それらの業務には「信頼される要員」を 割り当てることを求める広範な人的セキュリティ・プログラムを策定する。信頼される地位が付与さ れるのは、独立した調査会社によって実施された身元調査で合格した場合のみである。従業員はトレ ーニングを受け、信頼される従業員として継続雇用される条件として、コーポレート・セキュリティ、 独自のプログラム・セキュリティ、及び人的なセキュリティ/完全性の要件への準拠を維持する責任 を完全に自覚しているものとする。 CMA 設備の運用を任命される要員の条件は、以下のとおりである。 • • • • • • • • 適切なトレーニング・コースを受講済みである、 自身の業務を果たす能力があることを実証した、 信頼できる人物である、 CMA としての業務を妨げる他の業務を抱えていない、 業務の怠慢や不履行を理由として、これまで意図的に CMA またはその他の信頼される業務 から退いたことがない、 安全検査で故意に拒否されたことがない、または安全検査を取り消したことがない、 有罪判決を受けたことがない、及び 承認機関より書面で指名されている、または PKI サービス契約の当事者である。 5.3.3 トレーニング要件 運用要員は、監視外の業務を自主的に実行する前に、十分なトレーニングを受けているものとする。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -37- 6. 技術的セキュリティ・コントロール 6.1 キー・ペア生成及びインストレーション 6.1.1 キー・ペア生成 キー・ペアは、キー・ペアの承認ユーザ以外には誰にも秘密鍵が知られない方法で生成されるように する。秘密鍵は、ローカル送信や、キー・リカバリー機能による処理や保存のために暗号化されない 限り、モジュール外では表示されない。 6.1.1.1 認証機関キー・ペアの生成 CDS 認証機関キー・ペアは、ハードウェア・トークン上のセキュアなキー・セレモニ・ルーム内で 生成される。セレモニは、鍵生成手続きが正常に実行されたことを証明するために、ビデオ・テープ に録画される。役割の分離を含むすべてのセキュリティ要件に従っていることを確認するために、全 監査記録が作成される。 6.1.1.2 利用者キー・ペアの生成 CDS 電子署名証明書の利用者キー・ペアは、FIPS 140 レベル 2 HSM で生成され、キー・ペアを生 成したモジュール(スマート・カードなど)からはエクスポートできない。利用者の秘密鍵は、暗号 モジュールのハードウェア保護領域外でプレーン・テキスト形式で表示されることはない。 ベリサイン登録機関と組織登録機関の鍵は、FIPS 140 レベル 2 HSM で生成される。 6.1.2 秘密鍵の利用者への受渡し FIPS 140 レベル 2 HSM に保存される電子署名証明書の鍵生成は、デバイス上で実行される。秘密 鍵は、ハードウェア・デバイスの暗号化領域内のみに保存されるため、利用者の秘密鍵を受け渡す必 要はない。 CDS 認証機関は、1 人の利用者にのみ証明書を発行する。場合によっては、CDS は、1 つの資格で 複数のエンティティが使用するグループ証明書を発行し、セクション 3.1.11 の規定どおりにエンド ユーザがグループ証明書(組織または組織の役割)を共有できるようにする。かかる証明書では、証 明書の Subject に組織名または役割名が示され、nonRepudiation ビットは設定されない。かかるグ ループ証明書では、セクション 2.1.6.3 で規定されている主要利用者として「行動する」証明書管理 者が特定される。 非特定のエンドユーザ向けに鍵が生成されるときには、管理者が、証明書の受け渡し及び HSM の取 扱いにおいて、以下の管理事項が守られていることを確認する。 • いずれかの証明書管理者を所有している場合、秘密鍵は、意図しない起動、危殆化、紛失か ら保護されなければならない、 • 秘密鍵は、別の証明書管理者への HSM の受け渡し時に、意図しない起動、危殆化、紛失か ら保護されなければならない、及び • 証明書管理者は、HSM の受領を認めるものとする。 組織登録機関は、対応する申請に含まれている情報に対する詳細な照合に基づいて、正確な HSM 及 び起動データが適切な証明書管理者に中断されることなく提供されることを保証する。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -38- 組織登録機関は、管理者が正しい HSM を受領したことの確認の記録を保持する。 6.1.3 公開鍵の証明書発行者への受渡 利用者の身元情報及び公開鍵は、PKCS #10 申請を経由して SSL 保護されたセッションで証明書発 行者に同時に受け渡される。 このデータの受け渡しの形式は、使用されているウェブ・ブラウザの種類によって異なる。ブラウザ の種類を問わず、秘密鍵の所有を証明する方法として、公開鍵は対応する秘密鍵によって署名される。 6.1.4 認証機関公開鍵のユーザへの受渡 ルート認証機関の証明書は、依拠当事者による署名検証のために、Adobe の承認済み構成要素内で 利用できる。 6.1.5 鍵のサイズ及び署名アルゴリズム 署名アルゴリズムは、RSA PKCS#1 に準拠する。鍵のサイズ及びハッシュ・アルゴリズムの詳細は 以下のとおりである。 • レベル 1 及びレベル 2 認証機関を含む、すべてのベリサイン CDS 認証機関のキー・ペアは、 2048 ビットの RSA キー・ペアである。 • すべてのエンド・エンティティ証明書のキー・ペアは、2048 ビット RSA キー・ペアであり、 FIPS 140 レベル 2 暗号ハードウェア・デバイスに保存されるものとする。 CDS 認証機関のトラスト・アンカーは、Adobe CDS ルート認証機関であり、これには少なくとも 2048 ビットの公開鍵が含まれる。 6.1.6 公開鍵のパラメータ [PKCS-1] において定義された RSA アルゴリズムで使用する素数は、[PKCS-1] に従って生成及び調 査される。 6.1.7 パラメータ品質調査 Digital Signature Standard(DSS)において定義された署名アルゴリズムの公開鍵パラメータは、 FIPS 186 に従って生成される。パラメータ調査(主として素数のテストを含む)は、FIPS 186-2 に 従って実行される。 6.1.8 ハードウェア/ソフトウェアの鍵生成 認証された FIPS 140 レベル 2 HSM は、すべての利用者キー・ペア、ならびにキー・ペア生成で使 用される疑似乱数及びパラメータを生成するために使用される。鍵生成の材料に使用される疑似乱数 は FIPS が承認した方法で生成される。対称鍵は、ソフトウェアまたはハードウェアのメカニズムを 使用して生成できる。 6.1.9 鍵用途目的 ベリサイン CDS 認証機関は、電子署名の鍵用途エクステンションを使用するクライアント電子署名 証明書を発行する。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -39- エンド・エンティティ利用者証明書に結び付けられる公開鍵は、電子署名のみに使用され、 digitalSignature 及び nonRepudiation ビットをアサートする。共有されるグループ証明書は、 nonRepudiation ビットをアサートしない。 CDS 認証機関の証明書に結び付けられる公開鍵は、証明書の署名及びステータス情報(CRL など) のみに使用される。Subject の公開鍵が別の証明書の検証に使用される CDS 認証機関の証明書は、 keyCertSign ビットをアサートする。Subject の公開鍵が CRL の検証に使用される CDS 認証機関の 証明書は、cRLSign ビットをアサートする。証明書と CRL の両方の検証に使用される CDS 認証機 関の証明書の場合、keyCertSign ビットと cRLSign ビットの両方がアサートされない。 すべての証明書は、Appendix A で定義されている証明書プロファイルを満たす。 6.2 秘密鍵の保護 6.2.1 暗号モジュールの基準 すべての暗号モジュールは、暗号モジュールのセキュリティ要件である FIPS 140 の要件を満たす。 ベリサイン CDS 登録機関、組織登録機関、及び利用者は、すべての暗号操作に FIPS 140 レベル 2 HSM を使用する義務を負う。 ベリサイン CDS 認証機関は FIPS 140 レベル 3 ハードウェア暗号モジュールを使用する。 ベリサイン CDS 証明書署名キー・ペアの管理に特化したすべての暗号モジュールは、非対称の秘密 暗号鍵がプレーン・テキストで出力されることがないように運用される。 CDS 登録機関の鍵と証明書は、FIPS 140 レベル 2 HSM に含まれる。ベリサイン、または組織登録 機関によって実行される登録機関の職務は、セキュアな施設にある CDS 認証機関から物理的に切り 離される。 6.2.3 秘密鍵の預託 CDS 認証機関の秘密鍵は預託を行わない。利用者の秘密署名鍵も預託を行わない。 6.2.4 秘密鍵のバックアップ 6.2.4.1 認証機関の秘密署名鍵のバックアップ ベリサイン CDS 認証機関の秘密鍵のバックアップ用コピーは、災害復旧を迅速にするために作成さ れる。 6.2.4.2 利用者の秘密鍵のバックアップ ベリサイン CDS 利用者は、自身の秘密鍵が不正に開示されないようにする義務を負う。 利用者の秘密署名鍵は、バックアップやコピーを行うことができない。 6.2.5 秘密鍵の保管 CDS 認証機関の秘密署名鍵及び利用者の秘密署名鍵は、保管されない。詳細は、セクション 6.2.3 及びセクション 6.2.4 を参照。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -40- 6.2.6 秘密鍵の暗号モジュールへの入力 ベリサイン CDS 認証機関がその秘密鍵のバックアップ用コピーを作成する場合、その鍵は暗号化さ れた形式でハードウェア・トークンに転送される。鍵はハードウェア保護領域外においてプレーン・ テキスト形式で存在することはない。 登録機関及び利用者の秘密鍵は、FIPS 140 レベル 2 HSM で生成される。登録機関及び利用者の秘 密鍵は、HSM の領域外においてプレーン・テキスト形式で存在することはない。 6.2.7 秘密鍵の起動方法 ベリサイン CDS 認証機関のハードウェア・トークンは、PIN ベースの起動メカニズムを使用する。 ベリサイン CDS 利用者は、鍵生成時にパスワードか PIN を選択する義務を負う。秘密鍵を起動させ る場合に、パスワードまたは PIN の入力が求められる。パスワードを把握するエンティティは利用 者のみとし、ベリサイン CDS が利用者のパスワードを知ることはない。利用者は起動データの内容 が漏洩しないよう保護するものとする。同様に、登録機関 HSM のパスワードを把握するエンティテ ィは登録機関のみである。 6.2.8 秘密鍵の非活性化の方法 ベリサイン CDS 認証機関のハードウェア・トークンは、アクセス制御されているセキュアな施設内 で運用される。データ・センタへのアクセスは厳格に制御される。トークンは、そのリーダーから取 り外されると秘密鍵を非活性化する。使用しないときは、トークンはボルト(資格情報コンテナ)に 保存される。 登録機関 HSM は、登録機関ワークステーションから取り外されると非活性化される。利用者 HSM は、タイム・アウト時間に達した場合またはリーダーから取り外された場合に自動的に非活性化され る。 6.2.9 秘密鍵の破壊の方法 秘密署名鍵は、必要でなくなった場合、または対応する証明書が有効期限切れまたは失効した場合に 破壊される。ベリサイン CDS 認証機関の秘密鍵の破壊が必要な場合、そのためにハードウェア・ト ークンの初期化操作が実行される。登録機関の秘密鍵の破壊が必要な場合、登録機関モジュールの “initialize” コマンドが使用されて秘密鍵が上書きされる。スマート・カードに保存されている利用者 の秘密鍵の破壊が必要な場合、組織登録機関がカードを再初期化して秘密鍵を上書きできる。 6.3 キー・ペアの管理に関する他の点 6.3.1 公開鍵の保管 公開鍵は、証明書保管の一部として保管される。 6.3.2 公開鍵と秘密鍵の使用期間 ベリサインのレベル 1 及びレベル 2 CDS 認証機関キー・ペアの使用期間は、最長 11 年である。 利用者の公開鍵及び秘密鍵の使用期間は、最長で 1 年、2 年、3 年のいずれかになる。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -41- 6.4 起動データ 6.4.1 起動データの生成とインストレーション ベリサイン CDS 利用者は、自身の秘密鍵を保護するために、パスワード/PIN を選択することを要求 される。選択に関するガイドラインは、申請プロセス時に示される。 登録機関は、自身の PIN を選択することも要求される。PIN の選択に関するガイドラインは、申請 プロセス時に示される。 6.4.2 起動データの保護 ベリサイン CDS 認証機関の起動データ PIN は、複数のシェアに分割され、それぞれが別々の不揮発 性ストレージ・メディア(ハードウェア・トークン)に書き込まれる。指定した信頼される従業員 1 人に 1 つずつシェアが提供される。PIN を復帰させるには、12 分の 3 のシェアが必要となる。 6.4.3 起動データに関する他の点 セクション 6.4.1 参照。 6.5 コンピュータ・セキュリティ管理 6.5.1 特定のコンピュータ・セキュリティの技術的要件 ベリサイン CDS は、監査要件、身元確認と認証、ドメインの完全性の適用、任意アクセス制御を含 むセキュリティ機能が評価されたオペレーティング・システムを採用する。 6.6 ライフサイクル技術管理 ベリサイン認証機関及び登録機関を運用するために調達される設備(ハードウェア及びソフトウェ ア)は、ランダム選択など、いずれかの特定の構成要素が改ざんされる可能性を小さくするために購 入される。 ベリサイン CDS 及び登録機関のソフトウェア・アプリケーションは、ベリサインのシステム開発及 び変更管理手続きに従って管理された環境で社内開発される。 ベリサインが開発したソフトウェアは、最初にロードされる際、当該ソフトウェアがベリサインによ り開発されたもので、インストレーションの前に変更されていないこと及び使用しようと意図してい るバージョンであることを証明する方法を提供する。調達した CDS 認証機関及び登録機関のソフト ウェアは、最初にロードされる際、変更されることなく、適切なバージョンがベンダによって提供さ れたことが確認される。 設備の更新は、最初の設備と同じ方法で購入または開発され、トレーニングを受けた信頼される要員 によって制御及び監査された方法で実装される。 6.7 ネットワーク・セキュリティ管理 ベリサイン CDS は、外部の脅威に対するリスクを緩和するように設計されている。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -42- 6.8 暗号モジュールのエンジニアリング制御 本 CPS 6.2 参照。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -43- 7. 証明書及び CRL のプロファイル Appendix A では、さまざまな証明書及び CRL の形式について説明する。 7.1 証明書のプロファイル 7.1.1 バージョン番号 CDS は X.509 バージョン 3 証明書のみを発行する。 7.1.2 証明書エクステンション ベリサイン CDS は、本 CPS の Appendix A で規定されているように、証明書プロファイルを使用す る。このプロファイルは、RFC 5280 に準拠する。 ベリサイン CDS は、クリティカルではない Adobe プライベート・エクステンション、TimeStamp 及び ArchiveRevInfo を含む証明書を発行する。クリティカルではないプライベート・エクステンシ ョンは、ベリサイン CDS によって発行される証明書に含まれる。 7.1.3 アルゴリズム・オブジェクト識別子 本 CPS に基づいて発行される証明書は、署名に以下の OID を使用する。 sha-1WithRSAEncryption {iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-1(1) 5} Sha256WithRSAEncryptio n {iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-1(1) 11} 本 CPS に基づいて発行される証明書は、Subject の鍵が生成されたアルゴリズムを特定するために 以下の OID を使用する。 rsaEncryption {iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-1(1) 1} ベリサイン CDS は、前述の暗号アルゴリズムに関連する公開鍵のみを認証し、証明書、証明書失効 リスト、及び OCSP 応答など別の形式の証明書ステータス情報を含むその他の PKI 製品への署名に は前述の署名暗号アルゴリズムのみを使用する。 7.1.4 名前の形式 証明書の Subject フィールドには、X.500 識別名が設定され、RFC 5280 によってさらに制約される 場合は属性タイプも設定される。 本書のポリシーに基づいて発行された証明書の Issuer フィールドには、X.500 識別名が設定され、 RFC 5280 によってさらに制約される場合は属性タイプも設定される。 7.1.5 名前制約 ベリサイン CDS は名前制約を適用しないが、組織登録機関は登録機関ドメインに割り当てられる管 轄のネーム・スペースに制限される。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -44- 7.1.6 証明書ポリシー・オブジェクト識別子 ベリサイン CDS 認証機関によって発行された証明書は、セクション 1.2 で規定されたように OID を 提示する。 7.1.7 ポリシー制約の使用 ベリサイン CDS はポリシー制約を適用しない。 7.1.8 ポリシー修飾子の構文及び意味 ポリシー修飾子の構文は、Adobe CDS CP の URI を含む IA5String である。 証明書には少なくとも、Adobe がサポートしているプラットフォームで文書が検証された場合にの み依拠が許可されることを依拠当事者に示す User Notice 修飾子が含まれる。 7.1.9 クリティカルな Certificate Policy エクステンションに対する解釈方法 CDS 認証機関によって発行された証明書は、クリティカルな Certificate Policy エクステンションを 含まない。 7.2 CRL のプロファイル CDS 認証機関によって発行される CRL は、Appendix A で規定される CRL プロファイルに準拠する。 7.2.1 バージョン番号 本 CPS に基づいて発行された CRL は、X.509 バージョン 2 の CRL である。CDS 認証機関は、機 関失効リスト(ARL)や、パーティション分割されたその他の CRL を発行しない。 7.2.2 CRL 及び証明書失効リスト・エントリ・エクステンション CDS 認証機関は、Appendix A で説明されている CRL プロファイルで指定されたエクステンション に準拠する CRL を発行するものとする。 7.3 OCSP プロファイル CDS CSA は、CRL 署名に指定されたアルゴリズムを使用して OCSP 応答に署名するものとする。 OCSP レスポンダー証明書は、Appendix A で説明されている OCSP プロファイル で指定されたエ クステンションに準拠するものとする。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -45- 8. 仕様の管理 8.1 仕様変更の手続き 本 CPS に関するコメントや問題点については、本書のセクション 1.4.2 で特定された当事者に直接 連絡するものとする。 適用前の Adobe ポリシー機関は、本 CPS の重要な変更を許可しなければならない。 8.2 公開と通知の手続き ポリシー機関によって CPS の変更が許可されてから、本書の更新バージョンがポリシー機関に提供 される。 本 CDS CPS の要約バージョンは、ベリサイン・ドキュメント・リポジトリ (http://www.verisign.com/repository/index.html)に掲載される。利用者及び依拠当事者に影響が及 ぶ本 CPS の更新は、ベリサインのウェブ・サイトに掲載される。 8.3 CPS の承認手続き Adobe ポリシー機関は、本 CPS について提案されたすべての変更を最終的に承認する機関である。 CDS 認証機関及び組織登録機関は、開始操作の前に、許可される CDS CPS のすべての要件を満た すものとする。 8.4 CPS の放棄 Adobe ポリシー機関は、本 CPS と共に準拠している CP に提供されたすべての放棄提案を最終的に 承認する機関である。 Appendix A:証明書及び CRL の形式 CDS PKI に関連付いている証明書及び CRL は、以下の X.509 証明書及び証明書失効リストのエクス テンション・プロファイルで指定されている証明書及び CRL 形式を利用する。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -46- Appendix B:定義 Access アクセス 任意の情報システム(IS)リソースを利用する機能。 Access Control アクセス制御 承認されたユーザ、プログラム、プロセス、及び他のシステムのみに、情報システム・ リソースへのアクセスを許諾するプロセス。 Accreditation 認定 指定された承認機関が行う公式通知であり、許容できるリスク・レベルで所定の安全保 護機能を用いて特定のセキュリティ・モードで IS が稼働することを承認するものであ る。 Applicant 申請者 認証機関に証明書を申請してから、証明書発行手続きが完了するまでの利用者は、「申 請者」と呼ばれることもある。 Archive 保管 物理的に切り離された場所での長期保存。 Attribute Authority 属性機関 CMA によって承認された、身元情報(identity)に対する属性の関連性を検証する権限 を有するエンティティ。 Audit 監査 独立した審査、記録の調査、そしてシステム制御の妥当性の評価、既定ポリシーと操作 手順を準拠していることの確認、及び制御、ポリシー、手順に必要な変更の推奨のため の行動。 Audit Data 監査データ 一連のイベント及び 1 つのイベントにおける変更の再生及び検査を可能にするシステ ム活動の発生順の記録。 Authenticate 認証する 身元情報(identity)が示されたときにエンティティの身元情報を確認すること。 Authentication 認証 送信、メッセージ、または送信元が本物であることを証明するためのセキュリティ手 段、または特定のカテゴリの情報を受信する個人の権限を検証する方法。 Backup バックアップ 必要に応じて復旧を迅速にするために作成される、ファイル及びプログラムのコピー。 Binding 結び付き 関連する 2 つの情報要素を関連付けるプロセス。 Biometric 生体認証 身体的または行動的な個人の特性。 Certificate 証明書 情報を電子的に表現したものであり、少なくとも (1) 証明書を発行した認証機関を特定 し、(2) 利用者を指定または特定し、(3) 利用者の公開鍵を含み、(4) 運用機関を特定 し、(5) 証明書を発行した認証機関によって電子署名されている。本 CP で使用される 「証明書」とは、X.509 v.3 証明書の「Certificate Policies」フィールドにおいて本 CP の OID を明示的に言及している証明書を指す。 Certificate Management Authority (CMA) 証明書管理機関 (CMA) 認証機関または登録機関。 Certification Authority (CA) 認証機関(CA) 証明書の作成と割り当てについて、1 人以上のユーザに信頼されている機関。 [ISO9594-8] COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -47- CA facility 認証機関の施設 認証機関が証明書の発行及び失効を実行するために使用する設備、要員、手続、及び仕 組みが集まったもの。 Certificate-related Information 証明書関連情報 利用者の郵送先住所などの情報。証明書に含まれないが、認証機関が証明書管理に使用 する可能性があるもの。 Client (application) クライアント(アプ リケーション) システム・エンティティ。通常は、サーバによって提供されるサービスを利用する人的 ユーザに代わって行動するコンピュータ・プロセスのこと。 Compromise 危殆化 権限のない者に情報が漏洩すること、もしくは意図的かどうかを問わず、オブジェクト の不正な漏洩、改ざん、破棄、または紛失が発生した可能性があるシステムでセキュリ ティ・ポリシー違反が生じていること。 Computer Security Objects Registry (CSOR) NIST によって運営されているコンピュータ・セキュリティ・オブジェクトのレジスト リ。 Confidentiality 機密性 不正なエンティティまたはプロセスに情報が漏洩しないことを保証すること。 Cryptographic Module 暗号モジュール 暗号アルゴリズムを含む暗号化のロジックまたはプロセスを実装し、モジュールの暗号 境界内に含まれる一連のハードウェア、ソフトウェア、ファームウェア、またはそれら の組み合わせ。 Cryptoperiod 暗号期間 各鍵設定が有効な状態を維持する期間。 Data Integrity データの完全性 作成から受領までの間にデータが変更されていないことを保証すること。 E-commerce 電子商取引 ネットワーク・テクノロジー(特にインターネット)を使用して商品やサービスの売買 を行うこと。 Erroneous Issuance 誤発行 CPS によって要求される手続きに重要な点において従わずに証明書が発行されるこ と、証明書上に Subject として記載されている者以外の者に対して証明書が発行される こと、またはかかる証明書上に Subject として記載されている者の許可を受けずに証明 書が発行されること。 Firewall ファイアウォール ローカル・セキュリティ・ポリシーに従ってネットワーク間のアクセスを制限するゲー トウェイ。 Hardware Security Module (HSM) ハードウェア・セキ ュリティ・モジュー ル(HSM) A 電子署名の生成を保護するために電子秘密鍵の保存に使用される、不正使用防止策の 施されたハードウェア・デバイス。HSM は、鍵の保存、及び機密性の高い暗号処理の 実行のための安全な環境を提供するセキュアな暗号プロセッサを利用する。 Impersonation なりすまし 名前や身元情報に関係する、誤ったまたは偽造した情報に基づき、本 CPS に従って発 行された証明書を要求すること、及び発行されること。 Integrity 完全性 情報の改ざんまたは破棄に対して保護すること。 Intellectual Property 知的財産 所有権を伝達し、有形または仮想での使用/表現を管理する有益で芸術的、技術的、産 業的な情報、知識、またはアイデア。 Intermediate CA 中間認証機関 別の認証機関の下位に位置し、自身も下位に認証機関がある認証機関。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -48- Key Escrow 鍵の預託 鍵復旧をサポートするために利用者の暗号化証明書に関連付いているキー・ペアのプラ イベート・コンポーネントを保有すること。 Key Exchange 鍵交換 セキュアな通信を確立するために公開鍵(及びその他の情報)を交換するプロセス。 Key Generation Material 鍵生成の材料 暗号鍵の生成で使用された乱数、疑似乱数、及び暗号パラメータ。 Local Registration Authority (LRA) ローカル登録機関 (LRA) ローカル・コミュニティの責任を負う登録機関。 Naming Authority 命名機関 識別名(DN)の割り当て、及び各 DN が意味を持ち、ドメイン内で一意になるように する責任を負う組織のエンティティ。 Non-repudiation 否認防止 送信者が受渡しの証明を与えられ、さらに受信者が送信者の身元情報の証明を与えられ ることで、両者ともデータを処理したことを否定できないという保証。 Non-verified Subscriber Information 確認を実施しない利 用者情報 証明書申請者から認証機関または登録機関に対し送信された情報で、証明書に含まれる が、当該認証機関または登録機関により確認されていない情報。当該認証機関及び登録 機関は当該情報が証明書申請者から送信されたものであるという事実以外には何らの保 証も行わない。 Object Identifier (OID) オブジェクト識別子 (OID) 国際的に認められた標準化機関によって登録された特別に形式化された番号。ISO 登録 基準に基づいて登録された一意な英数字/数字の識別子で特定のオブジェクトやオブジ ェクト・クラスを示す。連邦政府において PKI OID は、サポートされている 4 つのポ リシーと暗号アルゴリズムをそれぞれ一意に特定するために使用される。 Out-of-Band アウトオブバンド 現行のコミュニケーション手法と異なる手段や方式を使用する当事者間のコミュニケー ション(米国郵政公社の郵便サービスを使用する当事者が、現行のコミュニケーション をオンラインで行っている別の当事者とコミュニケーションを行うなど)。 PKI Sponsor PKI スポンサー 公開鍵の証明書の Subject として指名されている組織の役割または組織に代わって利用 者の役割を果たし、本書で定められている利用者の義務を果たす責任を負う。 Policy Authority (PA) ポリシー機関(PA) 証明書ポリシーの作成と更新の監視、認証業務運用規程の確認、認証機関のポリシー準 拠に関する監査結果の確認、ドメイン内での受渡しに関する非ドメイン・ポリシーの評 価、及び PKI 証明書ポリシーの全般的な監視及び管理を行う機関。ポリシー管理機関 (PMA:Policy Management Authority)とも呼ばれる。 Privacy プライバシー データ及びシステムへのアクセスが、対象とするユーザ・コミュニティ及び受信者に制 限されている状態。 Private key compromise 秘密鍵の危殆化 本 CPS で定められた証明書に記載されている公開鍵に対応する秘密鍵において、紛 失、盗難、改ざん、または不正なアクセスが生じている状態。暗号分析や鍵の抽出によ るがこれらに限定されない。 Public Key Infrastructure (PKI) 公開鍵基盤(PKI) 公開鍵証明書を発行、維持、失効するために構築されたフレームワーク。 Registration Authority (RA) 登録機関(RA) 証明書の Subject の身元確認と認証の責任を負うエンティティ。申請者データを認証機 関に送信する自動設備を利用し、証明書の署名や失効処理は行わない。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -49- Root CA ルート認証機関 階層型の PKI において、セキュリティ・ドメインで最も信頼性の高いデータとして機 能する公開鍵を持つ認証機関(信頼パスの出発点)。 Re-key (a certificate) (証明書の)リキー 暗号システム申請で使用されている暗号鍵の値を変更すること。 Relying Party 依拠当 事者 証明書及び証明書に記載されている公開鍵を参照することで検証できる電子署名を受け 取り、それを信頼する立場の者。[ABADSG] Renew (a certificate) (証明書の)リニュ ーアル 新しい証明書を発行することで、公開鍵の証明書によって提示されたデータの結び付き の正当性を延長する行為またはプロセス。 Repository リポジトリ 証明書または証明書に関連するその他の情報を保存及び取得するための信頼されるシス テム。[ABADSG] Revocation 失効 特定の日時で証明書の運用期間を完全に終了させる行為またはプロセス。 Risk リスク 特定の脅威が特定の脆弱性を悪用して弊害をもたらす可能性として表現される損失予 想。 Risk Tolerance リスク許容度 望む成果を達成するためにエンティティが受け入れるリスクのレベル。 Server サーバ クライアントからの要求に応えてサービスを提供するシステム・エンティティ。 Signature Certificate 署名証明書 データの暗号化やその他の暗号機能の実行ではなく、電子署名の検証を対象とした公開 鍵を含む公開鍵証明書。アイデンティティ証明書とも呼ばれる。 Subordinate CA 下位の認証機関 階層型の PKI において、別の認証機関によって証明された証明書署名鍵を持つ認証機 関。その活動は別の認証機関によって制御される。(Superior CA を参照) Subscriber 利用者 (1) エンティティに発行された証明書において命名または特定された Subject、及び (2) 証明書に記載されている公開鍵に対応する秘密鍵を持つエンティティ。[ABADSG].現利 用者とは、CDS 発行の有効な証明書を所有する者である。 Superior CA 上位の認証機関 階層型の PKI において、別の認証機関の証明書署名鍵を証明した認証機関。その認証 機関の活動を制御する。(Subordinate CA を参照) System Equipment Configuration システム設備構成 システムのハードウェア及びソフトウェアのすべてのタイプ及び設定を包括的に説明し たもの。 Technical Nonrepudiation 技術的な否認防止 公開鍵のメカニズムで、否認防止セキュリティ・サービスをサポートする技術的な証拠 の提供に貢献するもの。 Threat 脅威 データの破棄、漏洩、改ざんや、サービス拒否などの形で、情報システムに損害を与え る可能性のある状況またはイベント。 Trust List トラスト・リスト 依拠当事者によって他の証明書の認証に使用される「信頼される証明書」を集めたも の。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -50- Tier 層 鍵のかかったドアや閉じた門などの障壁のことであり、個人に対して強制的なアクセス 制御を行い、次のエリアに移動するにはそれぞれ個人の積極的な応答(ドアの鍵を開 く、門を開くなど)を必要とするもの。連続する各層はさらにアクセスが制限され、侵 入や不正アクセスに対する物理的なセキュリティが強化される。さらに、物理的なセキ ュリティ層はそれぞれ、次に続く内部の層を含んでいる。内部の層は完全に外部の層に 含まれている必要があり、外部の層とは共通の外壁を持つことはできず、最も外部の層 は建物の外壁となる。 Trusted Agent 信頼される代理人 登録プロセス時の利用者の身元確認作業において、証明書管理機関の代理として行動す る権限を有するエンティティ。信頼されるエージェントは、認証機関での自動インター フェイスは持っていない。 Trusted Certificate 信頼される証明書 安全で認証された受渡しに基づいて、依拠当事者に信頼されている証明書。信頼される 証明書に含まれる公開鍵は、証明パスを開始するのに使用される。「トラスト・アンカ ー」とも呼ばれる。 Trusted Timestamp 信頼されるタイム・ スタンプ 特定のデジタル・オブジェクトが特定の時間に存在したことを、信頼される機関によっ て電子署名された提示。 Two Person Control 二者制御 実行されるタスクに関して誤ったまたは不正な手続きを検出でき、確立されたセキュリ ティ及び安全要件に熟知している、承認された 2 名以上の個人によって、検証が必要 な情報をそれぞれ継続的に監視及び管理されること。 Update (a certificate) (証明書の)更新 既存の公開鍵証明書に結び付けられているデータ項目、特に Subject に付与された権限 が新しい証明書の発行によって変更される行動またはプロセス。 Unauthorized Revocation 不正な失効 利用者の承認を得ずに証明書を失効すること。 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -51- Appendix C:参考資料 以下の文書には、本ポリシーの内容についての背景、例、または詳細情報が記載されている。 番号 タイトル リビジ ョン ABADSG 『Digital Signature Guidelines(電子署名のガイドライン)』 http://www.abanet.org/scitech/ec/isc/dsgfree.html 1996 年 8 月 1 日 FIPS140 『Security Requirements for Cryptographic Modules(暗号モジュ ールのセキュリティ要件)』 http://csrc.nist.gov/publications/index.html 2001 年 5 月 21 日 FIPS112 『Password Usage(パスワードの使用法)』 http://csrc.nist.gov/ 1985 年 5 月 5 日 FIPS186-2 『Digital Signature Standard(電子署名の基準)』 http://csrc.nist.gov/fips/fips186-2.pdf 2000 年 1 年 27 日 NS4009 『NSTISSI 4009, National Information Systems Security Glossary (NSTISSI 4009、国家情報システムのセキュリティ用語集)』 1999 年 1 月 PACS 『Technical Implementation Guidance:Smart Card Enabled Physical Access Control Systems(テクニカル実装ガイド:スマ ート・カード対応の物理アクセス制御システム)』 http://smart.gov/information/TIG_SCEPACS_v2.2.pdf 2.2 2004 年 7 月 27 日 PKCS-1 『PKCS #1 v2.1:RSA Cryptography Standard(PKCS #1 v2.1: RSA 暗号基準)』 http://www.rsasecurity.com/rsalabs/node.asp?id=2125 2.1 2002 年 6 月 14 日 PKCS-12 『Personal Information Exchange Syntax Standard(個人情報交 換の構文の標準)』 http://www.rsasecurity.com/rsalabs/node.asp?id=2138 1.0 1999 年 6 月 24 日 RFC2527 『Certificate Policy and Certification Practices Framework(証明 書ポリシーと認証業務運用フレームワーク)』Chokhani/Ford 著 http://www.ietf.org/rfc/rfc2527.txt 1999 年 3 月 RFC3647 『Certificate Policy and Certification Practices Framework(証明 書ポリシーと認証業務運用フレームワーク)』Chokhani/Ford 著 http://www.ietf.org/rfc/rfc3647.txt 2003 年 11 月 RFC5019 『The Lightweight Online Certificate Status Protocol (OCSP) Profile for High-Volume Environments(大容量環境向けの軽量な OCSP(Online Certificate Status Protocol)プロファイル』 http://www.rfc-editor.org/pipermail/rfc-dist/2007September/001760.html RFC5280 『Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile(インターネット X.509 公開鍵基盤証明書及び証明書失効リスト(CRL)プロファイ ル)』 COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -52- 日付 2008 年 5 月 Appendix D:頭字語・略語 CA Certification Authority CDS Certified Document Services CMA Certificate Management Authority CP Certificate Policy CPS Certification Practice Statement CRL Certificate Revocation List CSOR Computer Security Objects Registry DES Data Encryption Standard DN Distinguished Name DSA Digital Signature Algorithm DSS Digital Signature Standard FIPS Federal Information Processing Standard I&A Identification and Authentication ID Identity(身元を提示する認証情報でもある) ISO International Organization for Standards NIST National Institute of Standards and Technology OCSP Online Certificate Status Protocol OID Object Identifier PA Policy Authority PIN Personal Identification Number PKCS Public Key Certificate Standard PKI Public Key Infrastructure PMA Policy Management Authority RA Registration Authority RFC Request For Comment RSA Rivest, Shamir, Adelman(暗号化及び電子署名アルゴリズム) S/MIME Secure Multipurpose Internet Mail Extensions SSL Secure Socket Layer USC United States Code USD United States Dollar * * * 文書の最後* * * COPYRIGHT ©2010 VERISIGN, INC. ALL RIGHTS RESERVED -53-
© Copyright 2024 Paperzz