CMS (PKI)

[7] CMS / PKCS #7 は、暗号化や署名が行われたデータを表現する構文 (の仕様書) です。

仕様書

[21] RFC 5652 - Cryptographic Message Syntax (CMS) (2015-03-25 06:18:53 +09:00 版) https://tools.ietf.org/html/rfc5652
[24] NSS Certificate Download Specification - Mozilla | MDN (2014-05-07 16:41:21 +09:00 版) https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS/Certificate_Download_Specification
[33] RFC 7468 - Textual Encodings of PKIX, PKCS, and CMS Structures (2015-04-20 12:22:43 +09:00 版) https://tools.ietf.org/html/rfc7468#section-8
[38] RFC 7468 - Textual Encodings of PKIX, PKCS, and CMS Structures (2015-04-20 12:22:43 +09:00 版) https://tools.ietf.org/html/rfc7468#section-9

意味

[40] IETF の見解では、 PKCS #7 が IETF に移管されて改訂したものが CMS のようです。後継ではありますが、別物と認識されていると思われます。実際にはその歴史的連続性から、 CMS のことを PKCS #7 と呼んだり、 PKCS #7 時代も含めて CMS と呼んだりもするようです。また CMS が最新版となって久しいとはいえ、未だ元の PKCS #7 にしか対応していない実装もあるようです。

[41] より話を複雑にしているのは、本来の PKCS #7/CMS のデータ形式ではなく、その一部分であるべき構造を取り出した形の PKCS #7証明書鎖 (>>8) が (もしかすると本来の形よりも) よく用いられており、そちらが単に「PKCS #7」や「CMS」と呼ばれることも多々あるようです。しかも本来の形式は PKCS 標準に加えて RFC 化されていたのに対して、証明書鎖形式は Netscape 社の独自仕様を他社も実装したものであり、 Netscape 社の消滅後は Mozilla プロジェクトが引き継いだ >>24 とはいえ、標準仕様の存在が不明瞭な状態で、混乱を助長しています。

構文

[45] ASN.1の日時形式

文脈

[19] PKCS #7 で規定されるデータ構造は次の場面で使われています。

[47] PKCS #7 応用

`.pem` 符号化

[34] .pem ファイルでは、ラベルとして PKCS #7 の PKCS7 >>33 や CMS の CMS >>38 が用いられます。。

[35] データは、それぞれの仕様の ASN.1 ContentInfo でなければなりません >>33, >>38。 BER を使わなければなりません >>33, >>38。

PKCS #7 証明書鎖

[8] PKCS #7 証明書鎖 (PKCS#7 certificate chain) >>24 や「PKCS #7 形式」、拡張子 .p7b で表されるデータ形式は、証明書群や CRL をまとめたものです。

[25] NSS や Windows などで使われています。証明書鎖の標準的なファイル形式の1つです。

[22] Windows では「Cryptographic Message Syntax Standard - PKCS #7 証明書」と呼ばれています。

[12] Windows には標準で .p7b ファイルの内容を表示できるビューアーが入っているようです。

[14] 拡張子は他に .spc, .p7a, .p7c >>13 や .p7 が使われることがあるようです。いずれも実質的に同じデータ形式を指しているらしいです。

[9] これは PKCS #7 の SignedData データ構造のみを用いて、 1つ以上の証明書を含めたものです >>24。 version, digestAlgorithms, contentInfo, crls, signerInfos は無視されます >>24。

[28] しかし CRL を含めることもあるようです >>27。

[20] ASN.1 仕様上証明書の順番は保持できないようです >>5 が、証明書ダウンロード仕様としては順序が意味を持ちます。実際にどう扱われているのかは不明です。

[10] certification path 上の証明書をまとめて1つのファイルとして扱う時などに使われます。

[11] 本形式は BER によって符号化されたバイナリーファイルといわれます。

[29] しかし DER が使われることもあるようです >>23, >>27。

[26] 更に .pem 形式で符号化されて証明書ダウンロードに用いられることがあります。 (そのままで証明書ダウンロードに用いられることもあります。)

[37] 証明書ダウンロード仕様書では、ラベルとして CERTIFICATE を使っています >>24。 RFC 7468 は、 CERTIFICATE CHAIN が使われることがあるが、対応していない実装もある >>33 としています。 CERTIFICATE CHAIN を生成してはなりません >>33。構文解析器は CERTIFICATE CHAIN を PKCS7 と解釈するべきではありません >>33。

歴史

[1] RSA Laboratories - PKCS #7: Cryptographic Message Syntax Standard (2015-04-07 12:20:24 +09:00 版) http://www.emc.com/emc-plus/rsa-labs/standards-initiatives/pkcs-7-cryptographic-message-syntax-standar.htm

This standard describes general syntax for data that may have cryptography applied to it, such as digital signatures and digital envelopes.
In support of the SET protocol for secure electronic transactions, RSA Laboratories has produced a bulletin detailing changes to be made to PKCS #7 version 1.5 to update it to version 1.6 (which has not yet been published). Version 1.5 is still recommended for general use, and is the basis for the S/MIME specification.

[3] PKCS #7 ファイル内の証明書を表示する (2015-04-07 12:37:49 +09:00 版) https://msdn.microsoft.com/ja-jp/library/cc758042(v=ws.10).aspx

[4] PKCS#7 から PKCS#12 への変換 - あきそふと開発日記 (2015-04-07 12:38:29 +09:00 版) http://akisoftware.com/cgi-bin/blom.exe?akisoft+sl+2df3bf285450ec962202070ee9f87c3591c3d74f

[5] tls - What's the difference between X.509 and PKCS#7 Certificate? - Information Security Stack Exchange (2015-04-07 12:38:40 +09:00 版) http://security.stackexchange.com/questions/73156/whats-the-difference-between-x-509-and-pkcs7-certificate

[6] 荐惹�吾��<ゃ�就綣��ゃ� (2009-05-14 20:39:44 +09:00 �) http://moca.wide.ad.jp/moca_guide/about_fileformat.html

[13] Certificates (2008-09-01 17:55:10 +09:00 版) http://supportline.microfocus.com/documentation/books/nx51ws01/cjcert.htm

As well as the original PKCS #7, there are three revisions: a, b, and c. The standard extensions for these four versions are .spc, .p7a, .p7b and .p7c respectively.