X509 証明書には、一連の keyUsage ビットがあります。そのうちの 2 つは digitalSignature
nonRepudiation です (X.509 の最近の版では、この部分の名前が contentCommitment に変更されています)。
X509 RFC ( https://www.rfc-editor.org/rfc/rfc5280 ) を読みましたが、これらのビットの一般的な使用法について説明しています。
また、PKCS7 RFC ( https://www.rfc-editor.org/rfc/rfc2315 ) を読みましたが、PKCS7 構造などについて説明されており、設定する必要があるビットは指定されていません。
それらの一方または両方を設定する必要があるかどうかを識別するRFCまたはその他の仕様はありますか?
よろしく、ビクター
通常、PKCS#7 ファイルには一連の証明書が含まれています。つまり、ルート CA 証明書、適用される中間 CA 証明書、およびエンドポイント証明書 (SSL、電子メールなど) です。PKCS#7 は通常、これらを 1 つのファイルにまとめるために使用されます。チェーン全体を一度にキーストアまたは他の依存アプリケーションにインポートできるという点で便利です。
キー使用ビットに関しては、特定の証明書のニーズと目的に応じて設定されます。たとえば、ルート CA 証明書には通常、デジタル署名と否認防止セットの両方が含まれます。SSL 証明書の場合、鍵の暗号化とデジタル署名が見つかる場合があります。PKCS#7 ファイルに含まれる CA 証明書について話している場合を除き、キーの使用法と PKCS#7 ファイルの間に相関関係はありません。
ところで、このビットは、その設計における関心の分離に違反しています。否認防止は、ビジネス レベルで交渉される法的問題です。証明書/署名レベルでのビットの使用は無関係です。たとえば、http ://www-personal.umich.edu/~lsiden/tutorials/signed-applet/ShockingTruth.html を参照してください。