Passa al contenuto principale

2.1. New Section 1.1 - Changes Since RFC 4210 (Modifiche da RFC 4210)

2.1. New Section 1.1 - Changes Since RFC 4210 (Modifiche da RFC 4210)

La seguente sottosezione descrive gli aggiornamenti delle funzionalità a [RFC4210]. Sono sempre correlati alla specifica di base. Pertanto, i riferimenti alle sezioni originali in [RFC4210] vengono utilizzati quando possibile.

Inserire questa sezione dopo l'attuale Sezione 1 di [RFC4210]:

1.1. Changes Since RFC 4210

I seguenti aggiornamenti sono effettuati in questo documento:

  • Aggiunta di nuovi utilizzi estesi delle chiavi (extended key usages) per vari tipi di server CMP, ad esempio, autorità di registrazione e autorità di certificazione, per esprimere l'autorizzazione dell'entità identificata nel certificato contenente la rispettiva estensione di utilizzo esteso delle chiavi che agisce come entità di gestione PKI indicata.

  • Estensione della descrizione della protezione multipla (multiple protection) per coprire casi d'uso aggiuntivi, ad esempio, elaborazione batch di messaggi.

  • Offrire EnvelopedData come scelta preferita accanto a EncryptedValue per supportare meglio l'agilità crittografica (crypto agility) in CMP. Si noti che, secondo [RFC4211], Sezione 2.1, punto 9, l'uso della struttura EncryptedValue è stato deprecato a favore della struttura EnvelopedData. [RFC4211] offre alla struttura EncryptedKey una scelta tra EncryptedValue e EnvelopedData per la migrazione a EnvelopedData. Per ragioni di completezza e coerenza, il tipo EncryptedValue è stato scambiato in tutte le occorrenze in [RFC4210]. Ciò include la protezione delle chiavi private generate centralmente, la crittografia dei certificati e la protezione delle passphrase di revoca. Per differenziare correttamente il supporto di EnvelopedData invece di EncryptedValue, la versione 3 di CMP viene introdotta nel caso in cui una transazione dovrebbe utilizzare EnvelopedData.

  • Offrire un campo hashAlg opzionale in CertStatus che supporta la conferma dei certificati firmati con algoritmi di firma, ad esempio, preparandosi per i prossimi algoritmi post-quantistici, senza indicare direttamente un algoritmo hash specifico da utilizzare per calcolare il certHash.

  • Aggiunta di nuovi tipi di messaggi generali per richiedere certificati CA, un aggiornamento della CA radice, un modello di richiesta di certificato o un aggiornamento dell'elenco di revoca dei certificati (Certificate Revocation List, CRL).

  • Estensione dell'uso del polling a p10cr, certConf, rr, genm e messaggi di errore.

  • Eliminazione del profilo algoritmo obbligatorio nell'Appendice D.2 di [RFC4210] e riferimento alla Sezione 7 di CMP Algorithms [RFC9481].

Ultimo aggiornamento il