Zum Hauptinhalt springen

2.1. New Section 1.1 - Changes Since RFC 4210 (Änderungen seit RFC 4210)

2.1. New Section 1.1 - Changes Since RFC 4210 (Änderungen seit RFC 4210)

Der folgende Unterabschnitt beschreibt Funktionsaktualisierungen zu [RFC4210]. Sie beziehen sich immer auf die Basisspezifikation. Daher werden, wann immer möglich, Verweise auf die ursprünglichen Abschnitte in [RFC4210] verwendet.

Fügen Sie diesen Abschnitt nach dem aktuellen Abschnitt 1 von [RFC4210] ein:

1.1. Changes Since RFC 4210

Die folgenden Aktualisierungen werden in diesem Dokument vorgenommen:

  • Hinzufügen neuer erweiterter Schlüsselverwendungen (extended key usages) für verschiedene CMP-Servertypen, z.B. Registrierungsstelle und Zertifizierungsstelle, um die Autorisierung der im Zertifikat identifizierten Entität auszudrücken, das die jeweilige erweiterte Schlüsselverwendungserweiterung enthält, die als angegebene PKI-Verwaltungseinheit fungiert.

  • Erweiterung der Beschreibung des mehrfachen Schutzes (multiple protection) zur Abdeckung zusätzlicher Anwendungsfälle, z.B. Stapelverarbeitung von Nachrichten.

  • Anbieten von EnvelopedData als bevorzugte Wahl neben EncryptedValue zur besseren Unterstützung der Kryptoagilität (crypto agility) in CMP. Beachten Sie, dass gemäß [RFC4211], Abschnitt 2.1, Punkt 9, die Verwendung der EncryptedValue-Struktur zugunsten der EnvelopedData-Struktur veraltet ist. [RFC4211] bietet der EncryptedKey-Struktur eine Wahl zwischen EncryptedValue und EnvelopedData für die Migration zu EnvelopedData. Aus Gründen der Vollständigkeit und Konsistenz wurde der Typ EncryptedValue in allen Vorkommen in [RFC4210] ausgetauscht. Dies umfasst den Schutz zentral generierter privater Schlüssel, die Verschlüsselung von Zertifikaten und den Schutz von Widerrufskennwörtern. Um die Unterstützung von EnvelopedData anstelle von EncryptedValue ordnungsgemäß zu unterscheiden, wird CMP Version 3 eingeführt, falls eine Transaktion EnvelopedData verwenden soll.

  • Anbieten eines optionalen hashAlg-Feldes in CertStatus, das die Bestätigung von Zertifikaten unterstützt, die mit Signaturalgorithmen signiert sind, z.B. zur Vorbereitung auf kommende Post-Quanten-Algorithmen, ohne direkt einen spezifischen Hash-Algorithmus anzugeben, der zur Berechnung des certHash verwendet werden soll.

  • Hinzufügen neuer allgemeiner Nachrichtentypen zum Anfordern von CA-Zertifikaten, einem Root-CA-Update, einer Zertifikatsanforderungsvorlage oder einem Update der Zertifikatswiderrufsliste (Certificate Revocation List, CRL).

  • Erweiterung der Verwendung von Polling auf p10cr, certConf, rr, genm und Fehlernachrichten.

  • Löschen des obligatorischen Algorithmus-Profils in Anhang D.2 von [RFC4210] und Verweis auf Abschnitt 7 von CMP Algorithms [RFC9481].

Letztes Update am