home *** CD-ROM | disk | FTP | other *** search

---

/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / drafts / draft_ietf_j_p / draft-ietf-pkix-ipki-part1-05.txt

< prev

next >

Wrap

Text File  |  1997-08-06  |  235KB  |  6,481 lines

---

1.  
2.  
3.  
4.  
5.  
6.  
7. PKIX Working Group                                   R. Housley (SPYRUS)
8. Internet Draft                                        W. Ford (Verisign)
9.                                                           W. Polk (NIST)
10.                                                            D. Solo (BBN)
11. expires in six months                                       July 30 1997
12.  
13.  
14.                    Internet Public Key Infrastructure
15.  
16.                Part I:  X.509 Certificate and CRL Profile
17.  
18.                   <draft-ietf-pkix-ipki-part1-05.txt>
19.  
20.  
21. Status of this Memo
22.  
23.    This document is an Internet-Draft.  Internet-Drafts are working
24.    documents of the Internet Engineering Task Force (IETF), its areas,
25.    and its working groups.  Note that other groups may also distribute
26.    working documents as Internet-Drafts.
27.  
28.    Internet-Drafts are draft documents valid for a maximum of six months
29.    and may be updated, replaced, or obsoleted by other documents at any
30.    time.  It is inappropriate to use Internet- Drafts as reference
31.    material or to cite them other than as "work in progress."
32.  
33.    To learn the current status of any Internet-Draft, please check the
34.    "1id-abstracts.txt" listing contained in the Internet- Drafts Shadow
35.    Directories on ftp.is.co.za (Africa), nic.nordu.net (Europe),
36.    munnari.oz.au Pacific Rim), ds.internic.net (US East Coast), or
37.    ftp.isi.edu (US West Coast).
38.  
39.  
40. Abstract
41.  
42.    This is the fifth draft of the Internet Public Key Infrastructure
43.    X.509 Certificate and CRL Profile.  This draft is a complete
44.    specification.  This text adds a new ISO-defined certificate
45.    extension, extended key usage, and clarifies the semantics of the
46.    validity fields. Other modifications and enhancements which appear in
47.    this draft include a reduced set of private extensions, conformance
48.    requirements for CAs and clients, and new examples of certificates
49.    and a CRL. This draft also defines object identifiers for use with
50.    the extended key usage certificate extension.  Please send comments
51.    on this document to the ietf-pkix@tandem.com mail list.
52.  
53.  
54.  
55.  
56.  
57.  
58. Housley, Ford, Polk, & Solo                                     [Page 1]
59.  
60.  
61.  
62.  
63.  
64. INTERNET DRAFT                                              July 30 1997
65.  
66.  
67. 1  Executive Summary
68.  
69.    This specification is Part 1 of a four part standard for development
70.    of a Public Key Infrastructure for the Internet.  This specification
71.    is a standalone document; implementations of this standard may
72.    proceed before completion of parts two through four.
73.  
74.    This specification profiles the format and semantics of certificates
75.    and certificate revocation lists for the Internet PKI.  Procedures
76.    are described for processing of certification paths in the Internet
77.    environment.  Encoding rules are provided for popular cryptographic
78.    algorithms.  Finally, ASN.1 modules are provided in the appendices
79.    for all data structure defined or referenced.
80.  
81.    The specification describes the requirements which inspire the
82.    creation of this document and the assumptions which affect its scope
83.    in Section 2.  Section 3 presents an architectural model and
84.    describes its relationship to previous IETF and ISO standards.  In
85.    particular, this document's relationship with the IETF PEM
86.    specifications and the ISO X.509 documents are described.
87.  
88.    The specification profiles the X.509 version 3 certificate in Section
89.    4, and the X.509 version 2 certificate revocation list (CRL) in
90.    Section 5. The profiles include the identification of ISO and ANSI
91.    extensions which may be useful in the Internet PKI and definition of
92.    new extensions to meet the Internet's requirements. The profiles are
93.    presented in the 1988 Abstract Syntax Notation One (ASN.1) rather
94.    than the 1993 syntax used in the ISO standards.  (The ASN.1 notation
95.    assumes implict tagging throughout.)
96.  
97.    This specification also includes path validation procedures in
98.    Section 6.  These procedures are based upon the ISO definition, but
99.    the presentation assumes a self-signed root certificate.
100.    Implementations are required to derive the same results but are not
101.    required to use the specified procedures.
102.  
103.    Finally, Section 7 of the specification describes procedures for
104.    identification and encoding of public key materials and digital
105.    signatures.  Implementations are not required to use any particular
106.    cryptographic algorithms.  However, conforming implementations which
107.    use the identified algorithms are required to identify and encode the
108.    public key materials and digital signatures as described.
109.  
110.    Appendix A contains all ASN.1 structures defined or referenced within
111.    this specification.  As above, the material is presented in the 1988
112.    Abstract Syntax Notation One (ASN.1) rather than the 1993 syntax.
113.    Appendix B contains the same information in the 1993 ASN.1 notation.
114.    Appendix C. contains notes on certain obscure features of the ASN.1
115.  
116.  
117.  
118. Housley, Ford, Polk, & Solo                                     [Page 2]
119.  
120.  
121.  
122.  
123.  
124. INTERNET DRAFT                                              July 30 1997
125.  
126.  
127.    notation used within this specification.  Appendix D. contains
128.    examples of a conforming certificate and a conforming CRL.
129.  
130. 2  Requirements and Assumptions
131.  
132.    Goal is to develop a profile and associated management structure to
133.    facilitate the adoption/use of X.509 certificates within Internet
134.    applications for those communities wishing to make use of X.509
135.    technology. Such applications may include WWW, electronic mail, user
136.    authentication, and IPSEC, as well as others.  In order to relieve
137.    some of the obstacles to using X.509 certificates, this document
138.    defines a profile to promote the development of certificate
139.    management systems; development of application tools; and
140.    interoperability determined by policy, as opposed to syntax.
141.  
142.    Some communities will need to supplement, or possibly replace, this
143.    profile in order to meet the requirements of specialized application
144.    domains or environments with additional authorization, assurance, or
145.    operational requirements.  However, for basic applications, common
146.    representations of frequently used attributes are defined so that
147.    application developers can obtain necessary information without
148.    regard to the issuer of a particular certificate or certificate
149.    revocation list (CRL).
150.  
151.    As supplemental authorization and attribute management tools emerge,
152.    such as attribute certificates, it may be appropriate to limit the
153.    authenticated attributes that are included in a certificate.  These
154.    other management tools may be more appropriate method of conveying
155.    many authenticated attributes.
156.  
157. 2.1  Communication and Topology
158.  
159.    The users of certificates will operate in a wide range of
160.    environments with respect to their communication topology, especially
161.    users of secure electronic mail.  This profile supports users without
162.    high bandwidth, real-time IP connectivity, or high connection
163.    availablity.  In addition, the profile allows for the presence of
164.    firewall or other filtered communication.
165.  
166.    This profile does not assume the deployment of an X.500 Directory
167.    system.  The profile does not prohibit the use of an X.500 Directory,
168.    but other means of distributing certificates and certificate
169.    revocation lists (CRLs) are supported.
170.  
171. 2.2  Acceptability Criteria
172.  
173.    The goal of the Internet Public Key Infrastructure (PKI) is to meet
174.    the needs of deterministic, automated identification, authentication,
175.  
176.  
177.  
178. Housley, Ford, Polk, & Solo                                     [Page 3]
179.  
180.  
181.  
182.  
183.  
184. INTERNET DRAFT                                              July 30 1997
185.  
186.  
187.    access control, and authorization functions. Support for these
188.    services determines the attributes contained in the certificate as
189.    well as the ancillary control information in the certificate such as
190.    policy data and certification path constraints.
191.  
192. 2.3  User Expectations
193.  
194.    Users of the Internet PKI are people and processes who use client
195.    software and are the subjects named in certificates.  These uses
196.    include readers and writers of electronic mail, the clients for WWW
197.    browsers, WWW servers, and the key manager for IPSEC within a router.
198.    This profile recognizes the limitations of the platforms these users
199.    employ and the sophistication/attentiveness of the users themselves.
200.    This manifests itself in minimal user configuration responsibility
201.    (e.g., root keys, rules), explicit platform usage constraints within
202.    the certificate, certification path constraints which shield the user
203.    from many malicious actions, and applications which sensibly automate
204.    validation functions.
205.  
206. 2.4  Administrator Expectations
207.  
208.    As with users, the Internet PKI profile is structured to support the
209.    individuals who generally operate Certification Authorities (CAs).
210.    Providing administrators with unbounded choices increases the chances
211.    that a subtle CA administrator mistake will result in broad
212.    compromise.  Also, unbounded choices greatly complicates the software
213.    that must process and validate the  certificates created by the CA.
214.  
215. 3  Overview of Approach
216.  
217.    Following is a simplified view of the architectural model assumed by
218.    the PKIX specifications.
219.  
220.  
221.  
222.  
223.  
224.  
225.  
226.  
227.  
228.  
229.  
230.  
231.  
232.  
233.  
234.  
235.  
236.  
237.  
238. Housley, Ford, Polk, & Solo                                     [Page 4]
239.  
240.  
241.  
242.  
243.  
244. INTERNET DRAFT                                              July 30 1997
245.  
246.  
247.       +---+
248.       | C |                       +------------+
249.       | e | <-------------------->| End entity |
250.       | r |       Operational     +------------+
251.       | t |       transactions         ^
252.       |   |      and management        |  Management
253.       | / |       transactions         |  transactions
254.       |   |                            |
255.       | C |    PKI users               v
256.       | R |             -------+-------+--------+------
257.       | L |   PKI management   ^                ^
258.       |   |      entities      |                |
259.       |   |                    v                |
260.       | R |                 +------+            |
261.       | e | <-------------- | RA   | <-----+    |
262.       | p |   certificate   |      |       |    |
263.       | o |       publish   +------+       |    |
264.       | s |                                |    |
265.       | I |                                v    v
266.       | t |                            +------------+
267.       | o | <--------------------------|     CA     |
268.       | r |   certificate publish      +------------+
269.       | y |           CRL publish             ^
270.       |   |                                   |
271.       +---+                                   |    Management
272.                                               |    transactions
273.                                               v
274.                                           +------+
275.                                           |  CA  |
276.                                           +------+
277.  
278.                           Figure 1 - PKI Entities
279.  
280.    The components in this model are:
281.  
282.    end entity:  user of PKI certificates and/or end user system that
283.                 is the subject of a certificate;
284.    CA:          certification authority;
285.    RA:          registration authority, i.e., an optional system to
286.                 which a CA delegates certain management functions;
287.    repository:  a system or collection of distributed systems that
288.                 store certificates and CRLs and serves as a means of
289.                 distributing these certificates and CRLs to end
290.                 entities.
291.  
292.  
293.  
294.  
295.  
296.  
297.  
298. Housley, Ford, Polk, & Solo                                     [Page 5]
299.  
300.  
301.  
302.  
303.  
304. INTERNET DRAFT                                              July 30 1997
305.  
306.  
307. 3.1  X.509 Version 3 Certificate
308.  
309.    Application of public key technology requires the user of a public
310.    key to be confident that the public key belongs to the correct remote
311.    subject (person or system) with which an encryption or digital
312.    signature mechanism will be used.  This confidence is obtained
313.    through the use of public key certificates, which are data structures
314.    that bind public key values to subjects.  The binding is achieved by
315.    having a trusted certification authority (CA) digitally sign each
316.    certificate.  A certificate has a limited valid lifetime which is
317.    indicated in its signed contents.  Because a certificate's signature
318.    and timeliness can be independently checked by a certificate-using
319.    client, certificates can be distributed via untrusted communications
320.    and server systems, and can be cached in unsecured storage in
321.    certificate-using systems.
322.  
323.    The standard known as ITU-T X.509 (formerly CCITT X.509) or ISO/IEC
324.    9594-8, which was first published in 1988 as part of the X.500
325.    Directory recommendations, defines a standard certificate format. The
326.    certificate format in the 1988 standard is called the version 1 (v1)
327.    format.  When X.500 was revised in 1993, two more fields were added,
328.    resulting in the version 2 (v2) format. These two fields are used to
329.    support directory access control.
330.  
331.    The Internet Privacy Enhanced Mail (PEM) proposals, published in
332.    1993, include specifications for a public key infrastructure based on
333.    X.509 v1 certificates [RFC 1422].  The experience gained in attempts
334.    to deploy RFC 1422 made it clear that the v1 and v2 certificate
335.    formats are deficient in several respects.  Most importantly, more
336.    fields were needed to carry information which PEM design and
337.    implementation experience has proven necessary.  In response to these
338.    new requirements, ISO/IEC and ANSI X9 developed the X.509 version 3
339.    (v3) certificate format.  The v3 format extends the v2 format by
340.    adding provision for additional extension fields.  Particular
341.    extension field types may be specified in standards or may be defined
342.    and registered by any organization or community. In June 1996,
343.    standardization of the basic v3 format was completed [X.509-AM].
344.  
345.    ISO/IEC and ANSI X9 have also developed standard extensions for use
346.    in the v3 extensions field [X.509-AM][X9.55].  These extensions can
347.    convey such data as additional subject identification information,
348.    key attribute information, policy information, and certification path
349.    constraints.
350.  
351.    However, the ISO/IEC and ANSI standard extensions are very broad in
352.    their applicability.  In order to develop interoperable
353.    implementations of X.509 v3 systems for Internet use, it is necessary
354.    to specify a profile for use of the X.509 v3 extensions tailored for
355.  
356.  
357.  
358. Housley, Ford, Polk, & Solo                                     [Page 6]
359.  
360.  
361.  
362.  
363.  
364. INTERNET DRAFT                                              July 30 1997
365.  
366.  
367.    the Internet.  It is one goal of this document to specify a profile
368.    for Internet WWW, electronic mail, and IPSEC applications.
369.    Environments with additional requirements may build on this profile
370.    or may replace it.
371.  
372. 3.2  Certification Paths and Trust
373.  
374.    A user of a security service requiring knowledge of a public key
375.    generally needs to obtain and validate a certificate containing the
376.    required public key.  If the public-key user does not already hold an
377.    assured copy of the public key of the CA that signed the certificate,
378.    then it might need an additional certificate to obtain that public
379.    key.  In general, a chain of multiple certificates may be needed,
380.    comprising a certificate of the public key owner (the end entity)
381.    signed by one CA, and zero or more additional certificates of CAs
382.    signed by other CAs.  Such chains, called certification paths, are
383.    required because a public key user is only initialized with a limited
384.    number of assured CA public keys.
385.  
386.    There are different ways in which CAs might be configured in order
387.    for public key users to be able to find certification paths.  For
388.    PEM, RFC 1422 defined a rigid hierarchical structure of CAs.  There
389.    are three types of PEM certification authority:
390.  
391.       (a)  Internet Policy Registration Authority (IPRA):  This
392.       authority, operated under the auspices of the Internet Society,
393.       acts as the root of the PEM certification hierarchy at level 1.
394.       It issues certificates only for the next level of authorities,
395.       PCAs.  All certification paths start with the IPRA.
396.  
397.       (b)  Policy Certification Authorities (PCAs):  PCAs are at level 2
398.       of the hierarchy, each PCA being certified by the IPRA.  A PCA
399.       must establish and publish a statement of its policy with respect
400.       to certifying users or subordinate certification authorities.
401.       Distinct PCAs aim to satisfy different user needs. For example,
402.       one PCA (an organizational PCA) might support the general
403.       electronic mail needs of commercial organizations, and another PCA
404.       (a high-assurance PCA) might have a more stringent policy designed
405.       for satisfying legally binding signature requirements.
406.  
407.       (c)  Certification Authorities (CAs):  CAs are at level 3 of the
408.       hierarchy and can also be at lower levels. Those at level 3 are
409.       certified by PCAs.  CAs represent, for example, particular
410.       organizations, particular organizational units (e.g., departments,
411.       groups, sections), or particular geographical areas.
412.  
413.    RFC 1422 furthermore has a name subordination rule which requires
414.    that a CA can only issue certificates for entities whose names are
415.  
416.  
417.  
418. Housley, Ford, Polk, & Solo                                     [Page 7]
419.  
420.  
421.  
422.  
423.  
424. INTERNET DRAFT                                              July 30 1997
425.  
426.  
427.    subordinate (in the X.500 naming tree) to the name of the CA itself.
428.    The trust associated with a PEM certification  path is implied by the
429.    PCA name. The name subordination rule ensures that CAs below the PCA
430.    are sensibly constrained as to the set of subordinate entities they
431.    can certify (e.g., a CA for an organization can only certify entities
432.    in that organization's name tree). Certificate user systems are able
433.    to mechanically check that the name subordination rule has been
434.    followed.
435.  
436.    The RFC 1422 was based upon the X.509 v1 certificate formats. The
437.    limitations of X.509 v1 required imposition of several structural
438.    restrictions to clearly associate policy information or restrict the
439.    utility of certificates.  These restrictions included:
440.  
441.       (a) a pure top-down hierarchy, with all certification paths
442.       starting from the root;
443.  
444.       (b) a naming subordination rule restricting the names of a CA's
445.       subjects; and
446.  
447.       (c) use of the PCA concept, which requires knowledge of individual
448.       PCAs to be built into certificate chain verification logic.
449.       Knowledge of individual PCAs was required to determine if a chain
450.       could be accepted.
451.  
452.    With X.509 v3, most of the requirements addressed by RFC 1422 can be
453.    addressed using certificate extensions, without a need to restrict
454.    the CA structures used.  In particular, the certificate extensions
455.    relating to certificate policies obviate the need for PCAs and the
456.    constraint extensions obviate the need for the name subordination
457.    rule.  As a result, this document supports a more flexible
458.    architecture, including:
459.  
460.       (a) Certification paths may start with a public key of a CA in a
461.       user's own domain, or with the public key of the top of a
462.       hierarchy.  Starting with the public key of a CA in a user's own
463.       domain has certain advantages.  In many environments, the local
464.       domain is often the most trusted.  Initialization and key-pair-
465.       update operations can often be more effectively conducted between
466.       an end entity and a local management system.
467.  
468.       (b)  Name constraints may be imposed through explicit inclusion of
469.       a name constraints extension in a certificate, but are not
470.       required.
471.  
472.       (c)  Policy extensions and policy mappings replace the PCA
473.       concept, which permits a greater degree of automation.  The
474.       application can determine if the certification path is acceptable
475.  
476.  
477.  
478. Housley, Ford, Polk, & Solo                                     [Page 8]
479.  
480.  
481.  
482.  
483.  
484. INTERNET DRAFT                                              July 30 1997
485.  
486.  
487.       based on the contents of the certificates instead of a priori
488.       knowledge of PCAs. This permits the full process of certificate
489.       chain processing to be implemented in software.
490.  
491. 3.3  Revocation
492.  
493.    When a certificate is issued, it is expected to be in use for its
494.    entire validity period.  However, various circumstances may cause a
495.    certificate to become invalid prior to the expiration of the validity
496.    period. Such circumstances might include change of name, change of
497.    association between subject and CA (e.g., an employee terminates
498.    employment with an organization), and compromise or suspected
499.    compromise of the corresponding private key.  Under such
500.    circumstances, the CA needs to revoke the certificate.
501.  
502.    X.509 defines one method of certificate revocation.  This method
503.    involves each CA periodically issuing a signed data structure called
504.    a certificate revocation list (CRL).  A CRL is a time stamped list
505.    identifying revoked certificates which is signed by a CA and made
506.    freely available in a public repository.  Each revoked certificate is
507.    identified in a CRL by its certificate serial number. When a
508.    certificate-using system uses a certificate (e.g., for verifying a
509.    remote user's digital signature), that system not only checks the
510.    certificate signature and validity but also acquires a suitably-
511.    recent CRL and checks that the certificate serial number is not on
512.    that CRL.  The meaning of "suitably-recent" may vary with local
513.    policy, but it usually means the most recently-issued CRL.  A CA
514.    issues a new CRL on a regular periodic basis (e.g., hourly, daily, or
515.    weekly).  Entries are added to CRLs as revocations occur, and an
516.    entry may be removed when the certificate expiration date is reached.
517.  
518.    An advantage of this revocation method is that CRLs may be
519.    distributed by exactly the same means as certificates themselves,
520.    namely, via untrusted communications and server systems.
521.  
522.    One limitation of the CRL revocation method, using untrusted
523.    communications and servers, is that the time granularity of
524.    revocation is limited to the CRL issue period.  For example, if a
525.    revocation is reported now, that revocation will not be reliably
526.    notified to certificate-using systems until the next periodic CRL is
527.    issued -- this may be up to one hour, one day, or one week depending
528.    on the frequency that the CA issues CRLs.
529.  
530.    Another potential problem with CRLs is the risk of a CRL growing to
531.    an entirely unacceptable size.  In the 1988 and 1993 versions of
532.    X.509, the CRL for the end-user certificates needed to cover the
533.    entire population of end-users for one CA.  It is desirable to allow
534.    such populations to be in the range of thousands, tens of thousands,
535.  
536.  
537.  
538. Housley, Ford, Polk, & Solo                                     [Page 9]
539.  
540.  
541.  
542.  
543.  
544. INTERNET DRAFT                                              July 30 1997
545.  
546.  
547.    or possibly even hundreds of thousands of users. The end-user CRL is
548.    therefore at risk of growing to such sizes, which present major
549.    communication and storage overhead problems.  With the version 2 CRL
550.    format, introduced along with the v3 certificate format, it becomes
551.    possible to arbitrarily divide the population of certificates for one
552.    CA into a number of partitions, each partition being associated with
553.    one CRL distribution point (e.g., directory entry or URL) from which
554.    CRLs are distributed.  Therefore, the maximum CRL size can be
555.    controlled by a CA.  Separate CRL distribution points can also exist
556.    for different revocation reasons.  For example, routine revocations
557.    (e.g., name change) may be placed on a different CRL to revocations
558.    resulting from suspected key compromises, and policy may specify that
559.    the latter CRL be updated and issued more frequently than the former.
560.  
561.    As with the X.509 v3 certificate format, in order to facilitate
562.    interoperable implementations from multiple vendors, the X.509 v2 CRL
563.    format needs to be profiled for Internet use.  It is one goal of this
564.    document to specify that profile.
565.  
566.    Furthermore, it is recognized that on-line methods of revocation
567.    notification may be applicable in some environments as an alternative
568.    to the X.509 CRL.  On-line revocation checking significantly reduces
569.    the latency between a revocation report and the next issue of a CRL.
570.    Once the CA accepts the report as authentic and valid, any query to
571.    the on-line service will correctly reflect the certificate validation
572.    impacts of the revocation.  However, these methods impose new
573.    security requirements; the certificate validator must trust the on-
574.    line validation service while the repository did not need to be
575.    trusted.
576.  
577.    Therefore, this profile also considers standard approaches to on-line
578.    revocation notification.  Part 2 of the PKIX series of specifications
579.    defines a set of standard message formats supporting these functions.
580.    The protocols for conveying these messages in different environments
581.    are also specified.
582.  
583. 3.4  Operational Protocols
584.  
585.    Operational protocols are required to deliver certificates and CRLs
586.    to certificate using client systems. Provision is needed for a
587.    variety of different means of certificate and CRL delivery, including
588.    request/delivery procedures based on E-mail, http, X.500, and
589.    WHOIS++.  These specifications include definitions of, and/or
590.    references to, message formats and procedures for supporting all of
591.    the above operational environments, including definitions of or
592.    references to appropriate MIME content types.
593.  
594.    Part 2 of the PKIX series of specifications defines a set of
595.  
596.  
597.  
598. Housley, Ford, Polk, & Solo                                    [Page 10]
599.  
600.  
601.  
602.  
603.  
604. INTERNET DRAFT                                              July 30 1997
605.  
606.  
607.    operational protocols supporting these functions.
608.  
609. 3.5  Management Protocols
610.  
611.    Management protocols are required to support on-line interactions
612.    between Public Key Infrastructure (PKI) components.  For example,
613.    management protocol might be used between a CA and a client system
614.    with which a key pair is associated, or between two CAs which cross-
615.    certify each other.  The set of functions which potentially need to
616.    be supported by management protocols include:
617.  
618.    (a)  registration:  This is the process whereby a user first makes
619.    itself known to a CA (directly, or through an LRA), prior to that CA
620.    issuing  a certificate or certificates for that user.
621.  
622.    (b)  initialization:  Before a client system can operate securely it
623.    is necessary to install in it necessary key materials which have the
624.    appropriate relationship with keys stored elsewhere in the
625.    infrastructure.  For example, the client needs to be securely
626.    initialized with the public key of a CA, to be used in validating
627.    certificate paths.  Furthermore, a client typically needs to be
628.    initialized with its own key pair(s).
629.  
630.    (c)  certification:  This  is the process in which a CA issues a
631.    certificate for a user's public key, and returns that certificate to
632.    the user's client system and/or posts that certificate in a
633.    repository.
634.  
635.    (d)  key pair recovery:  As an option, user client key materials
636.    (e.g., a user's private key used for encryption purposes) may be
637.    backed up by a CA or a key backup system.  If a user needs to recover
638.    these backed up key materials (e.g., as a result of a forgotten
639.    password or a lost key chain file), an on-line protocol exchange may
640.    be needed to support such recovery.
641.  
642.    (e)  key pair update:  All key pairs need to be updated regularly,
643.    i.e., replaced with a new key pair, and new certificates issued.
644.  
645.    (f)  revocation request:  An authorized person advises a CA of an
646.    abnormal situation requiring certificate revocation.
647.  
648.    (g)  cross-certification:  Two CAs exchange the information necessary
649.    to establish cross-certificates between those CAs.
650.  
651.    Note that on-line protocols are not the only way of implementing the
652.    above functions.  For all functions there are off-line methods of
653.    achieving the same result, and this specification does not mandate
654.    use of on-line protocols.  For example, when hardware tokens are
655.  
656.  
657.  
658. Housley, Ford, Polk, & Solo                                    [Page 11]
659.  
660.  
661.  
662.  
663.  
664. INTERNET DRAFT                                              July 30 1997
665.  
666.  
667.    used, many of the functions may be achieved as part of the physical
668.    token delivery.  Furthermore, some of the above functions may be
669.    combined into one protocol exchange.  In particular, two or more of
670.    the registration, initialization, and certification functions can be
671.    combined into one protocol exchange.
672.  
673.    Part 3 of the PKIX series of specifications defines a set of standard
674.    message formats supporting the above functions.  The protocols for
675.    conveying these messages in different environments (on-line, e-mail,
676.    and WWW) are also specified in Part 3.
677.  
678. 4  Certificate and Certificate Extensions Profile
679.  
680.    This section presents a profile for public key certificates that will
681.    foster interoperability and a reusable public key infrastructure.
682.    This section is based upon the X.509 V3 certificate format
683.    [COR95][X.509-AM] and the standard certificate extensions defined in
684.    the Amendment [X.509-AM].  The ISO documents use the 1993 version of
685.    ASN.1; while this document uses the 1988 ASN.1 syntax, the encoded
686.    certificate and standard extensions are equivalent.  This section
687.    also defines private extensions required to support a public key
688.    infrastructure for the Internet community.
689.  
690.    Certificates may be used in a wide range of applications and
691.    environments covering a broad spectrum of interoperability goals and
692.    a broader spectrum of operational and assurance requirements.  The
693.    goal of this document is to establish a common baseline for generic
694.    applications requiring broad interoperability and limited special
695.    purpose requirements.  In particular, the emphasis will be on
696.    supporting the use of X.509 v3 certificates for informal internet
697.    electronic mail, IPSEC, and WWW applications.  Other efforts are
698.    looking at certificate profiles for payment systems.
699.  
700. 4.1  Basic Certificate Fields
701.  
702.    The X.509 v3 certificate basic syntax is as follows.  For signature
703.    calculation, the certificate is encoded using the ASN.1 distinguished
704.    encoding rules (DER) [X.208].  ASN.1 DER encoding is a tag, length,
705.    value encoding system for each element.
706.  
707.    Certificate  ::=  SEQUENCE  {
708.         tbsCertificate       TBSCertificate,
709.         signatureAlgorithm   AlgorithmIdentifier,
710.         signature            BIT STRING  }
711.  
712.    TBSCertificate  ::=  SEQUENCE  {
713.         version         [0]  EXPLICIT Version DEFAULT v1,
714.         serialNumber         CertificateSerialNumber,
715.  
716.  
717.  
718. Housley, Ford, Polk, & Solo                                    [Page 12]
719.  
720.  
721.  
722.  
723.  
724. INTERNET DRAFT                                              July 30 1997
725.  
726.  
727.         signature            AlgorithmIdentifier,
728.         issuer               Name,
729.         validity             Validity,
730.         subject              Name,
731.         subjectPublicKeyInfo SubjectPublicKeyInfo,
732.         issuerUniqueID  [1]  IMPLICIT UniqueIdentifier OPTIONAL,
733.                              -- If present, version must be v2 or v3
734.         subjectUniqueID [2]  IMPLICIT UniqueIdentifier OPTIONAL,
735.                              -- If present, version must be v2 or v3
736.         extensions      [3]  EXPLICIT Extensions OPTIONAL
737.                              -- If present, version must be v3
738.         }
739.  
740.    Version  ::=  INTEGER  {  v1(0), v2(1), v3(2)  }
741.  
742.    CertificateSerialNumber  ::=  INTEGER
743.  
744.    Validity ::= SEQUENCE {
745.         notBefore      CertificateValidityDate,
746.         notAfter       CertificateValidityDate }
747.  
748.    CertificateValidityDate ::= CHOICE {
749.         utcTime        UTCTime,
750.         generalTime    GeneralizedTime }
751.  
752.    UniqueIdentifier  ::=  BIT STRING
753.  
754.    SubjectPublicKeyInfo  ::=  SEQUENCE  {
755.         algorithm            AlgorithmIdentifier,
756.         subjectPublicKey     BIT STRING  }
757.  
758.    Extensions  ::=  SEQUENCE SIZE (1..MAX) OF Extension
759.  
760.    Extension  ::=  SEQUENCE  {
761.         extnID      OBJECT IDENTIFIER,
762.         critical    BOOLEAN DEFAULT FALSE,
763.         extnValue   OCTET STRING  }
764.  
765.    The following items describe a proposed use of the X.509 v3
766.    certificate for the Internet.
767.  
768. 4.1.1  Certificate Fields
769.  
770.    The Certificate is a SEQUENCE of three required fields. The fields
771.    are are described in detail in the following subsections
772.  
773.  
774.  
775.  
776.  
777.  
778. Housley, Ford, Polk, & Solo                                    [Page 13]
779.  
780.  
781.  
782.  
783.  
784. INTERNET DRAFT                                              July 30 1997
785.  
786.  
787. 4.1.1.1  tbsCertificate
788.  
789.    The first field in the sequence is the tbsCertificate.  This is a
790.    itself a sequence, and contains the names of the subject and issuer,
791.    a public key associated with the subject an expiration date, and
792.    other associated information.  The fields of the basic tbsCertificate
793.    are described in detail in section 4.1.2; the tbscertificate may also
794.    include extensions which are described in section 4.2.
795.  
796. 4.1.1.2  signatureAlgorithm
797.  
798.    The signatureAlgorithm field contains the algorithm identifier for
799.    the algorithm used by the CA to sign this certificate.  Section 7.2
800.    lists the supported signature algorithms.
801.  
802.    An algorithm identifier is defined by the following ASN.1 structure:
803.  
804.    AlgorithmIdentifier  ::=  SEQUENCE  {
805.         algorithm               OBJECT IDENTIFIER,
806.         parameters              ANY DEFINED BY algorithm OPTIONAL  }
807.  
808.    and it is used to identify a cryptographic algorithm. The OBJECT
809.    IDENTIFIER algorithm identifies the algorithm (such as RSA with SHA-
810.    1). The contents of the optional parameters field will vary according
811.    to the algorithm identfied and the purpose of the algorithm
812.    identifier.
813.  
814.    In this case, the parameters field will usually be empty. Section 7.2
815.    lists the supported algorithms for this specification and describes
816.    the contents of the parameters fields for each algorithm.
817.  
818.    This field should contain the same algorithm identifier as the
819.    signature field in the sequence tbsCertificate (see section 4.1.2.3)
820.  
821. 4.1.1.3  signature
822.  
823.    The signature field contains a digital signature computed upon the
824.    ASN.1 DER encoded TBSCertificate.  The ASN.1 DER encoded
825.    TBSCertificate is used as the input to a one-way hash function.  The
826.    one-way hash function output value is encrypted (e.g., using RSA
827.    Encryption) to form the signed quantity.  This signature value is
828.    then ASN.1 encoded as a BIT STRING and included in the Certificate's
829.    signature field. The details of this process are specified for each
830.    of the supported algorithms in Section 7.2.
831.  
832.    By generating this signature, a CA certifies the validity of the
833.    information in tbscertificate.  In particular, the CA certifies the
834.    binding between the public key material and the subject of the
835.  
836.  
837.  
838. Housley, Ford, Polk, & Solo                                    [Page 14]
839.  
840.  
841.  
842.  
843.  
844. INTERNET DRAFT                                              July 30 1997
845.  
846.  
847.    certificate.
848.  
849. 4.1.2  TBSCertificate
850.  
851.    The sequence TBSCertificate is a sequence which contains information
852.    associated with the subject of the certificate and the CA who issued
853.    it.  Every TBSCertificate contains the names of the subject and
854.    issuer, a public key associated with the subject, an expiration date,
855.    a version number and a serial number; some will contain optional
856.    unique identifier fields.  The remainder of this section describes
857.    the syntax and semantics of these fields.  A TBSCertificate may also
858.    include extensions.  Extensions for the Internet PKI are described in
859.    Section 4.2.
860.  
861. 4.1.2.1  Version
862.  
863.    This field describes the version of the encoded certificate.  When
864.    extensions are used, as expected in this profile, use X.509 version 3
865.    (value is 2).  If no extensions are present, but a UniqueIdentifier
866.    is present, use version 2 (value is 1).  If only basic fields are
867.    present, use version 1 (the value is omitted from the certificate as
868.    the default value).
869.  
870.    Implementations should be prepared to accept any version certificate.
871.    At a minimum, conforming implementations shall recognize version 3
872.    certificates.
873.  
874.    Generation of version 2 certificates is not expected by
875.    implementations based on this profile.
876.  
877. 4.1.2.2  Serial number
878.  
879.    The serial number is an integer assigned by the certification
880.    authority to each certificate.  It must be unique for each
881.    certificate issued by a given CA (i.e., the issuer name and serial
882.    number identify a unique certificate).
883.  
884. 4.1.2.3  Signature
885.  
886.    This field contains the algorithm identifier for the algorithm used
887.    by the CA to sign the certificate.  Section 7.2 lists the supported
888.    signature algorithms.
889.  
890.    This field should contain the same algorithm identifier as the
891.    signatureAlgorithm field in the sequence Certificate (see section
892.    4.1.1.2).
893.  
894.  
895.  
896.  
897.  
898. Housley, Ford, Polk, & Solo                                    [Page 15]
899.  
900.  
901.  
902.  
903.  
904. INTERNET DRAFT                                              July 30 1997
905.  
906.  
907. 4.1.2.4  Issuer Name
908.  
909.    The issuer name identifies the entity who has signed (and issued the
910.    certificate).  The issuer identity may be carried in the issuer name
911.    field and/or the issuerAltName extension.  If identity information is
912.    present only in the issuerAltName extension, then the issuer name may
913.    be an empty sequence and the issuerAltName extension must be
914.    critical.
915.  
916.    Where it is non-null, the issuer name field shall contain an X.500
917.    distinguished name (DN).  The issuer field is defined as the X.501
918.    type Name.  Name is defined by the following ASN.1 structures:
919.  
920.  
921.    Name ::= CHOICE {
922.      RDNSequence }
923.  
924.    RDNSequence ::= SEQUENCE OF RelativeDistinguishedName
925.  
926.    RelativeDistinguishedName ::=
927.      SET OF AttributeValueAssertion
928.  
929.    AttributeValueAssertion ::= SEQUENCE {
930.      AttributeType,
931.      AttributeValue }
932.  
933.    AttributeType ::= OBJECT IDENTIFIER
934.  
935.    AttributeValue ::= ANY
936.  
937.    -- Directory string type --
938.  
939.    DirectoryString ::= CHOICE {
940.            teletexString           TeletexString (SIZE (1..maxSize)),
941.            printableString         PrintableString (SIZE (1..maxSize)),
942.            universalString         UniversalString (SIZE (1..maxSize))
943.  
944.  
945.    The Name describes a hierarchical name composed of attributes, such
946.    as country name, and corresponding values, such as US.  The type of
947.    the component AttributeValue is determined by the AttributeType; in
948.    general it will be a directoryString.
949.  
950.    The directoryString is defined as a choice of PrintableString,
951.    TeletexString and UniversalString.  Conforming CAs shall choose from
952.    these options as follows:
953.  
954.       (a) if the character set is sufficient, the string will be
955.  
956.  
957.  
958. Housley, Ford, Polk, & Solo                                    [Page 16]
959.  
960.  
961.  
962.  
963.  
964. INTERNET DRAFT                                              July 30 1997
965.  
966.  
967.       represented as a PrintableString;
968.  
969.       (b) failing (a), if the teletexString charater set is sufficient,
970.       the string string will be represented as a TeletexString;
971.  
972.       (c) failing (a) and (b), the string shall be represented as a
973.       UniversalString.
974.  
975.    Standard sets of attributes have been defined in the X.500 series of
976.    specifications.  Where CAs issue certificates with X.501 type names,
977.    it is recommended that these attributes types be used.
978.  
979. 4.1.2.5  Validity
980.  
981.    This field indicates the period of validity of the certificate, and
982.    consists of two dates, the first and last on which the certificate is
983.    valid.  The certificate validity period is the time interval during
984.    which the CA warrants that it will maintain information about the
985.    status of the certificate, i.e. publish revocation data. The field is
986.    represented as a SEQUENCE of two dates:  the date on which the
987.    certificate validity period begins (notBefore) and the date on which
988.    the certificate validity period ends (notAfter).  Both notBefore and
989.    notAfter may be encoded as UTCTime or GeneralizedTime.
990.  
991.    CAs conforming to this profile shall always encode certificate
992.    validity dates through the year 2049 as UTCTime; certificate validity
993.    dates in 2050 or later shall be encoded as GeneralizedTime.
994.  
995. 4.1.2.5.1  UTCTime
996.  
997.    The universal time type, UTCTime, is a standard ASN.1 type intended
998.    for international applications where local time alone is not
999.    adequate.  UTCTime specifies the year through the two low order
1000.    digits and time is specified to the precision of one minute or one
1001.    second.  UTCTime includes either Z (for Zulu, or Greenwich Mean Time)
1002.    or a time differential.
1003.  
1004.    For the purposes of this profile, UTCTime values shall be expressed
1005.    Greenwich Mean Time (Zulu) and shall include seconds (i.e., times are
1006.    YYMMDDHHMMSSZ), even where the number of seconds is zero.  Conforming
1007.    systems shall interpret the year field (YY) as follows:
1008.  
1009.       Where YY is greater than or equal to 50, the year shall be
1010.       interpreted as 19YY; and
1011.  
1012.       Where YY is less than 50, the year shall be interpreted as 20YY.
1013.  
1014.  
1015.  
1016.  
1017.  
1018. Housley, Ford, Polk, & Solo                                    [Page 17]
1019.  
1020.  
1021.  
1022.  
1023.  
1024. INTERNET DRAFT                                              July 30 1997
1025.  
1026.  
1027. 4.1.2.5.2  GeneralizedTime
1028.  
1029.    The generalized time type, GeneralizedTime, is a standard ASN.1 type
1030.    for variable precision representation of time.  Optionally, the
1031.    GeneralizedTime field can include a representation of the time
1032.    differential between local and Greenwich Mean Time.
1033.  
1034.    For the purposes of this profile, GeneralizedTime values shall be
1035.    expressed Greenwich Mean Time (Zulu) and shall include seconds (i.e.,
1036.    times are YYYYMMDDHHMMSSZ), even where the number of seconds is zero.
1037.    GeneralizedTime values shall not include fractional seconds.
1038.  
1039. 4.1.2.6  Subject Name
1040.  
1041.    The subject name identifies the entity associated with the public key
1042.    stored in the subject public key field. The subject identity may be
1043.    carried in the subject field and/or the subjectAltName extension.  If
1044.    identity information is present only in the subjectAltName extension
1045.    (e.g., a key bound only to an email address or URI), then the subject
1046.    name may be an empty sequence and the subjectAltName extension must
1047.    be critical.
1048.  
1049.    Where it is non-null, the subject name field shall contain an X.500
1050.    distinguished name (DN). The DN must be unique for each subject
1051.    entity certified by the one CA as defined by the issuer name field.
1052.    (A CA may issue more than one certificate with the same DN to the
1053.    same subject entity.)
1054.  
1055.    The subject name field is defined as the X.501 type Name, and shall
1056.    follow the encoding rules for the issuer name field (see 4.1.2.4).
1057.  
1058. 4.1.2.7  Subject Public Key Info
1059.  
1060.    This field is used to carry the public key and identify the algorithm
1061.    with which the key is used. The algorithm is identified using the
1062.    algorithmIdentifier structure specified in Section 4.1.1.2. The
1063.    object identifiers for the supported algorithms and the methods for
1064.    encoding the public key materials (public kay and parameters) are
1065.    specified in Section 7.3.
1066.  
1067. 4.1.2.8  Unique Identifiers
1068.  
1069.    The subject and issuer unique identifier are present in the
1070.    certificate to handle the possibility of reuse of subject and/or
1071.    issuer names over time.  This profile recommends that names not be
1072.    reused and that Internet certificates not make use of unique
1073.    identifiers.  CAs conforming to this profile should not generate
1074.    certificates with unique identifiers.  Applications conforming to
1075.  
1076.  
1077.  
1078. Housley, Ford, Polk, & Solo                                    [Page 18]
1079.  
1080.  
1081.  
1082.  
1083.  
1084. INTERNET DRAFT                                              July 30 1997
1085.  
1086.  
1087.    this profile should be capable of parsing unique identifiers and
1088.    making comparisons.
1089.  
1090. 4.1.2.9 Extensions
1091.  
1092.    This field may only appear if the version number is 3 (see 4.1.2.x).
1093.    If present, this field is a SEQUENCE of one or more certificate
1094.    extensions. The format and content of certificate extensions in the
1095.    Internet PKI is defined in Section 4.2.
1096.  
1097. 4.2  Certificate Extensions
1098.  
1099.    The extensions defined for X.509 v3 certificates provide methods for
1100.    associating additional attributes with users or public keys, for
1101.    managing the certification hierarchy, and for managing CRL
1102.    distribution.  The X.509 v3 certificate format also allows
1103.    communities to define private extensions to carry information unique
1104.    to those communities.  Each extension in a certificate may be
1105.    designated as critical or non-critical.  A certificate using system
1106.    (an application validating a certificate) must reject the certificate
1107.    if it encounters a critical extension it does not recognize.  A non-
1108.    critical extension may be ignored if it is not recognized.  The
1109.    following presents recommended extensions used within Internet
1110.    certificates and standard locations for information.  Communities may
1111.    elect to use additional extensions; however, caution should be
1112.    exercised in adopting any critical extensions in certificates which
1113.    might be used in a general context.
1114.  
1115.    Each extension includes an object identifier and an ASN.1 structure.
1116.    When an extension appears in a certificate, the object identifier
1117.    appears as the field extnID and the corresponding ASN.1 encoded
1118.    structure is the value of the octet string extnValue.  Only one
1119.    instance of a particular extension may appear in a particular
1120.    certificate. For example, a certificate may contain only one
1121.    authority key identifier extension (4.2.1.1).  An extension may also
1122.    include the optional boolean critical; critical's default value is
1123.    FALSE.  The text for each extension specifies the acceptable values
1124.    for the critical field.
1125.  
1126.    Conforming CAs are required to support the basic Constraints
1127.    extension (Section 4.2.1.10), the key usage extension (4.2.1.3) and
1128.    certificate policies extension (4.2.1.5). If the CA issues
1129.    certificates with an empty sequence for the subject field, the CA
1130.    must support the altSubjectName extension.  If the CA issues
1131.    certificates with an empty sequence for the issuer field, the CA must
1132.    support the altIssuerName extension.  Support for the remaining
1133.    extensions is optional. Conforming CAs may support extensions that
1134.    are not identified within this specification; certificate issuers are
1135.  
1136.  
1137.  
1138. Housley, Ford, Polk, & Solo                                    [Page 19]
1139.  
1140.  
1141.  
1142.  
1143.  
1144. INTERNET DRAFT                                              July 30 1997
1145.  
1146.  
1147.    cautioned that marking such extensions as critical may inhibit
1148.    interoperability.
1149.  
1150.    At a minimum, applications conforming to this profile shall recognize
1151.    extensions which shall or may be critical. These extensions are:  key
1152.    usage (4.2.1.3), certificate policies (4.2.1.5), the alternative
1153.    subject name (4.2.1.7), issuer alternative name (4.2.1.8), basic
1154.    constraints (4.2.1.10), name constraints (4.2.1.11), policy
1155.    constraints (4.2.1.12), and extended key usage (4.2.1.14).
1156.  
1157.    In addition, this profile recommends support for key identifiers
1158.    (4.2.1.1 and 4.2.1.2), CRL distribution points (4.2.1.13), and
1159.    authority information access (4.2.2.1).
1160.  
1161. 4.2.1  Standard Extensions
1162.  
1163.    This section identifies standard certificate extensions defined in
1164.    [X.509-AM] for use in the Internet Public Key Infrastructure.  Each
1165.    extension is associated with an object identifier defined in [X.509-
1166.    AM].  These object identifiers are members of the
1167.    certificateExtension arc, which is defined by the following:
1168.  
1169.    certificateExtension  OBJECT IDENTIFIER ::=
1170.                                            {joint-iso-ccitt(2) ds(5) 29}
1171.    id-ce                 OBJECT IDENTIFIER ::=  certificateExtension
1172.  
1173.    4.2.1.1  Authority Key Identifier
1174.  
1175.    The authority key identifier extension provides a means of
1176.    identifying the particular public key used to sign a certificate.
1177.    This extension would be used where an issuer has multiple signing
1178.    keys (either due to multiple concurrent key pairs or due to
1179.    changeover).  In general, this extension should be included in
1180.    certificates.
1181.  
1182.    The identification can be based on either the key identifier (the
1183.    subject key identifier in the issuer's certificate) or on the issuer
1184.    name and serial number.  The key identifier method is recommended in
1185.    this profile. Conforming CAs that generate this extension shall
1186.    include or omit both authorityCertIssuer and
1187.    authorityCertSerialNumber. If authorityCertIssuer and
1188.    authorityCertSerialNumber are omitted, the keyIdentifier field shall
1189.    be present.
1190.  
1191.    This extension shall not be marked critical.
1192.  
1193.    id-ce-authorityKeyIdentifier OBJECT IDENTIFIER ::=  { id-ce 35 }
1194.  
1195.  
1196.  
1197.  
1198. Housley, Ford, Polk, & Solo                                    [Page 20]
1199.  
1200.  
1201.  
1202.  
1203.  
1204. INTERNET DRAFT                                              July 30 1997
1205.  
1206.  
1207.    AuthorityKeyIdentifier ::= SEQUENCE {
1208.         keyIdentifier             [0] KeyIdentifier           OPTIONAL,
1209.         authorityCertIssuer       [1] GeneralNames            OPTIONAL,
1210.         authorityCertSerialNumber [2] CertificateSerialNumber OPTIONAL
1211.     }
1212.  
1213.    KeyIdentifier ::= OCTET STRING
1214.  
1215. 4.2.1.2  Subject Key Identifier
1216.  
1217.    The subject key identifier extension provides a means of identifying
1218.    the particular public key used in an application.  Where a reference
1219.    to a public key identifier is needed (as with an Authority Key
1220.    Identifier) and one is not included in the associated certificate, a
1221.    SHA-1 hash of the subject public key shall be used.  The hash shall
1222.    be calculated over the value (excluding tag and length) of the
1223.    subject public key field in the certificate.  This extension should
1224.    be marked non-critical.
1225.  
1226.    id-ce-subjectKeyIdentifier OBJECT IDENTIFIER ::=  { id-ce 14 }
1227.  
1228.    SubjectKeyIdentifier ::= KeyIdentifier
1229.  
1230. 4.2.1.3  Key Usage
1231.  
1232.    The key usage extension defines the purpose (e.g., encipherment,
1233.    signature, certificate signing) of the key contained in the
1234.    certificate.  The usage restriction might be employed when a key that
1235.    could be used for more than one operation is to be restricted.  For
1236.    example, when an RSA key should be used only for signing, the
1237.    digitalSignature and nonRepudiation bits would be asserted. Likewise,
1238.    when an RSA key should be used only for key management, the
1239.    keyEncipherment bit would be asserted.  The profile recommends that
1240.    when used, this be marked as a critical extension.
1241.  
1242.       id-ce-keyUsage OBJECT IDENTIFIER ::=  { id-ce 15 }
1243.  
1244.       KeyUsage ::= BIT STRING {
1245.            digitalSignature        (0),
1246.            nonRepudiation          (1),
1247.            keyEncipherment         (2),
1248.            dataEncipherment        (3),
1249.            keyAgreement            (4),
1250.            keyCertSign             (5),
1251.            cRLSign                 (6),
1252.            encipherOnly            (7),
1253.            decipherOnly            (8) }
1254.  
1255.  
1256.  
1257.  
1258. Housley, Ford, Polk, & Solo                                    [Page 21]
1259.  
1260.  
1261.  
1262.  
1263.  
1264. INTERNET DRAFT                                              July 30 1997
1265.  
1266.  
1267.    Bits in the KeyUsage type are used as follows:
1268.  
1269.       The digitalSignature bit is asserted when the subject public key
1270.       is used to verifying digital signatures that have purposes other
1271.       than non-repudiation, certificate signature, and CRL signature.
1272.       For example, The digitalSignature bit is asserted when the subject
1273.       public key is used to provide authentication.
1274.  
1275.       The nonRepudiation bit is asserted when the subject public key is
1276.       used to verifying digital signatures used to provide a non-
1277.       repudiation service which protects against the signing entity
1278.       falsely denying some action, excluding certificate or CRL signing.
1279.  
1280.       The keyEncipherment bit is asserted when the subject public key is
1281.       used for key transport.  For example, when an RSA key is to be
1282.       used exclusively for key management, then this bit must asserted.
1283.  
1284.       The dataEncipherment bit is asserted when the subject public key
1285.       is used for enciphering user data, other than cryptographic keys.
1286.  
1287.       The keyAgreement bit is asserted when the subject public key is
1288.       used for key agreement.  For example, when a Diffie-Hellman key is
1289.       to be used exclusively for key management, then this bit must
1290.       asserted.
1291.  
1292.       The keyCertSign bit is asserted when the subject public key is
1293.       used for verifying a signature on certificates.  This bit may only
1294.       be asserted in CA certificates.
1295.  
1296.       The cRLSign bit is asserted when the subject public key is used
1297.       for verifying a signature on CRLs.  This bit may only be asserted
1298.       in CA certificates.
1299.  
1300.       When the encipherOnly bit is asserted and the keyAgreement bit is
1301.       also set, the subject public key may be used only for enciphering
1302.       data while performing key agreement.  The meaning of the
1303.       encipherOnly bit is undefined in the absence of the keyAgreement
1304.       bit.
1305.  
1306.       When the decipherOnly bit is asserted and the keyAgreement bit is
1307.       also set, the subject public key may be used only for deciphering
1308.       data while performing key agreement.  The meaning of the
1309.       decipherOnly bit is undefined in the absence of the keyAgreement
1310.       bit.
1311.  
1312.       This profile does not restrict the combinations the bits that may
1313.       be set in an instantiation of the keyUsage extension.  However,
1314.       appropriate values for keyUsage extensions for particular
1315.  
1316.  
1317.  
1318. Housley, Ford, Polk, & Solo                                    [Page 22]
1319.  
1320.  
1321.  
1322.  
1323.  
1324. INTERNET DRAFT                                              July 30 1997
1325.  
1326.  
1327.       algorithms are specifed in section 7.3.
1328.  
1329. 4.2.1.4  Private Key Usage Period
1330.  
1331.    The private key usage period extension allows the certificate issuer
1332.    to specify a different validity period for the private key than the
1333.    certificate. This extension is intended for use with digital
1334.    signature keys.  This extension consists of two optional components
1335.    notBefore and notAfter.  The private key associated with the
1336.    certificate should not be used to sign objects before or after the
1337.    times specified by the two components, respectively. CAs conforming
1338.    to this profile shall not generate certificates with private key
1339.    usage period extensions unless at least one of the two components is
1340.    present.
1341.  
1342.    This profile recommends against the use of this extension.  CAs
1343.    conforming to this profile shall not generate certificates with
1344.    critical private key usage period extensions. Where used, notBefore
1345.    and notAfter are represented as GeneralizedTime and shall be
1346.    specified and interpreted as defined in Section 4.1.2.5.2.
1347.  
1348.    id-ce-privateKeyUsagePeriod OBJECT IDENTIFIER ::=  { id-ce 16 }
1349.  
1350.    PrivateKeyUsagePeriod ::= SEQUENCE {
1351.         notBefore       [0]     GeneralizedTime OPTIONAL,
1352.         notAfter        [1]     GeneralizedTime OPTIONAL }
1353.  
1354. 4.2.1.5  Certificate Policies
1355.  
1356.    The certificate policies extension contains a sequence of one or more
1357.    policy information terms, each of which consists of an object
1358.    identifier (OID) and optional qualifiers.  These policy information
1359.    terms indicate the policy under which the certificate has been issued
1360.    and the purposes for which the certificate may be used.  This profile
1361.    strongly recommends that a simple OID be present in this field.
1362.    Optional qualifiers which may be present are expected to provide
1363.    information about obtaining CA rules, not change the definition of
1364.    the policy.
1365.  
1366.    Applications with specific policy requirements are expected to have a
1367.    list of those policies which they will accept and to compare the
1368.    policy OIDs in the certificate to that list.  If this extension is
1369.    critical, the path validation software must be able to interpret this
1370.    extension, or must reject the certificate.  (Applications are free to
1371.    ignore the policy field, even if the extension is marked critical.)
1372.  
1373.    This specification defines two policy qualifiers types for use by
1374.    certificate policy writers and certificate issuers at their own
1375.  
1376.  
1377.  
1378. Housley, Ford, Polk, & Solo                                    [Page 23]
1379.  
1380.  
1381.  
1382.  
1383.  
1384. INTERNET DRAFT                                              July 30 1997
1385.  
1386.  
1387.    discretion. The qualifier types are the CPS Pointer qualifier, and
1388.    the User Notice qualifier.
1389.  
1390.    The CPS Pointer qualifier contains a pointer to a Certification
1391.    Practice Statement (CPS) published by the CA.  The pointer is in the
1392.    form of a URI.
1393.  
1394.    User notice is intended for display to a relying party when a
1395.    certificate is used.  The application software should display all
1396.    user notices in all certificates of the certification path used,
1397.    except that if a notice is duplicated only one copy need be
1398.    displayed.  It is recommended that only the lowest-level certificate
1399.    issued by one organization in a certification path contain a user
1400.    notice.
1401.  
1402.    The user notice has two optional fields: the noticeRef field and the
1403.    explicitText field.
1404.  
1405.       The noticeRef field, if used, names an organization and
1406.       identifies, by number, a particular textual statement prepared by
1407.       that organization.  For example, it might identify the
1408.       organization "CertsRUs" and notice number 1.  In a typical
1409.       implementation, the application software will have a notice file
1410.       containing the current set of notices for CertsRUs; the
1411.       application will extract the notice text from the file and display
1412.       it.  Messages may be multilingual, allowing the software to select
1413.       the particular language message for its own environment.
1414.  
1415.       An explicitText field includes the textual statement directly in
1416.       the certificate.  The explicitText field is a string with a
1417.       maximum size of 200 characters.
1418.  
1419.    If both the noticeRef and explicitText options are included in the
1420.    one qualifier and if the application software can locate the notice
1421.    text indicated by the noticeRef option then that text should be
1422.    displayed; otherwise, the explicitText string should be displayed.
1423.  
1424.    id-ce-certificatePolicies OBJECT IDENTIFIER ::=  { id-ce 32 }
1425.  
1426.    certificatePolicies ::= SEQUENCE SIZE (1..MAX) OF PolicyInformation
1427.  
1428.    PolicyInformation ::= SEQUENCE {
1429.         policyIdentifier   CertPolicyId,
1430.         policyQualifiers   SEQUENCE SIZE (1..MAX) OF
1431.                 PolicyQualifierInfo OPTIONAL }
1432.  
1433.    CertPolicyId ::= OBJECT IDENTIFIER
1434.  
1435.  
1436.  
1437.  
1438. Housley, Ford, Polk, & Solo                                    [Page 24]
1439.  
1440.  
1441.  
1442.  
1443.  
1444. INTERNET DRAFT                                              July 30 1997
1445.  
1446.  
1447.    PolicyQualifierInfo ::= SEQUENCE {
1448.         policyQualifierId   PolicyQualifierId,
1449.         qualifier           ANY DEFINED BY policyQualifierId }
1450.  
1451.    -- policyQualifierIds for Internet policy qualifiers
1452.  
1453.    id-qt ::= {1 3 6 1 5 5 7 2}  -- for qualifier types
1454.    id-pkix-cps      OBJECT IDENTIFIER ::=  { id-qt 1 }
1455.    id-pkix-unotice  OBJECT IDENTIFIER ::=  { id-qt 2 }
1456.  
1457.    PolicyQualifierId ::=
1458.                  OBJECT IDENTIFIER ( id-pkix-cps | id-pkix-unotice )
1459.  
1460.    Qualifier ::= CHOICE {
1461.         cPSuri         CPSuri,
1462.         userNotice     UserNotice }
1463.  
1464.    CPSuri ::= IA5String
1465.  
1466.    UserNotice ::= SEQUENCE {
1467.      noticeRef     NoticeReference OPTIONAL,
1468.      explicitText  DisplayText OPTIONAL}
1469.  
1470.    NoticeReference ::= SEQUENCE {
1471.      organization  IA5String,
1472.      noticeNumbers SEQUENCE OF INTEGER }
1473.  
1474.    DisplayText ::= CHOICE {
1475.      visibleString VisibleString,
1476.      bmpString     BMPString }
1477.  
1478.  
1479. 4.2.1.6  Policy Mappings
1480.  
1481.    This extension is used in CA certificates.  It lists one or more
1482.    pairs of object identifiers; each pair includes an issuerDomainPolicy
1483.    and a subjectDomainPolicy. The pairing indicates the issuing CA
1484.    considers its issuerDomainPolicy equivalent to the subject CA's
1485.    subjectDomainPolicy.
1486.  
1487.    The issuing CA's users may accept an issuerDomainPolicy for certain
1488.    applications. The policy mapping tells the issuing CA's users which
1489.    policies associated with the subject CA are comparable to the policy
1490.    they accept.
1491.  
1492.    This extension may be supported by CAs and/or applications, and it is
1493.    always non-critical.
1494.  
1495.  
1496.  
1497.  
1498. Housley, Ford, Polk, & Solo                                    [Page 25]
1499.  
1500.  
1501.  
1502.  
1503.  
1504. INTERNET DRAFT                                              July 30 1997
1505.  
1506.  
1507.    id-ce-policyMappings OBJECT IDENTIFIER ::=  { id-ce 33 }
1508.  
1509.    PolicyMappings ::= SEQUENCE SIZE (1..MAX) OF SEQUENCE {
1510.         issuerDomainPolicy      CertPolicyId,
1511.         subjectDomainPolicy     CertPolicyId }
1512.  
1513. 4.2.1.7  Subject Alternative Name
1514.  
1515.    The subject alternative names extension allows additional identities
1516.    to be bound to the subject of the certificate.  Defined options
1517.    include an rfc822 name (electronic mail address), a DNS name, an IP
1518.    address, and a URI.  Other options exist, including completely local
1519.    definitions.  Multiple instances of a name and multiple name forms
1520.    may be included.  Whenever such identities are to be bound into a
1521.    certificate, the subject alternative name (or issuer alternative
1522.    name) extension shall be used.  (Note: a form of such an identifier
1523.    may also be present in the subject distinguished name; however, the
1524.    alternative name extension is the preferred location for finding such
1525.    information.)
1526.  
1527.    Further, if the only subject identity included in the certificate is
1528.    an alternative name form (e.g., an electronic mail address), then the
1529.    subject distinguished name shall be empty (an empty sequence), and
1530.    the subjectAltName extension shall be present. If the subject field
1531.    contains an empty sequence, the subjectAltName extension shall be
1532.    marked critical.
1533.  
1534.    Where the subjectAltName extension contains a dNSName, this name may
1535.    contain the wildcard character. An "*" is the wildcard character.
1536.    Where a dNSName includes a wildcard, the subject of this certificate
1537.    is a subnet or a collection of hosts. Examples include *.bar.com and
1538.    www*.bar.com.
1539.  
1540.    Where the subjectAltName extension contains an rfc822Name, this name
1541.    may also include the wildcard character. Use of the wildcard is
1542.    limited to the host name.
1543.  
1544.    Where the subjectAltName extension contains a
1545.    uniformResourceIdentifier, the URI is a pointer to a sequence of
1546.    certificates issued by this CA (and optionally other CAs) to this
1547.    subject. The URI may not contain the wildcard character in the host
1548.    name.
1549.  
1550.    The URI must be an absolute, not relative, pathname and must specify
1551.    the host. This specification recognizes the following values for the
1552.    URI scheme:  ftp, http, ldap, and mailto.  The mailto scheme
1553.    indicates that mail sent to the specified address will generate an
1554.    electronic mail response (to the sender) containing the subject's
1555.  
1556.  
1557.  
1558. Housley, Ford, Polk, & Solo                                    [Page 26]
1559.  
1560.  
1561.  
1562.  
1563.  
1564. INTERNET DRAFT                                              July 30 1997
1565.  
1566.  
1567.    certificates.  No message is required.  If the URI scheme is ftp,
1568.    then the information is available through anonymous ftp.  If the URI
1569.    scheme is http or ldap, then the information may be retrieved using
1570.    that protocol.
1571.  
1572.    (If the URI specifies any other scheme, contains a relative pathname,
1573.    or omits the  host, the semantics are not defined by this
1574.    specification.)
1575.  
1576.    When the subjectAltName extension contains a iPAddress, the address
1577.    shall be stored in the string in "network byte order"[RFC791]. That
1578.    is, the first byte in the octet string shall correspond to bits 0-7,
1579.    the second byte shall correspond to bits 8-15, etc. The least
1580.    significant bit (LSB) of the octet shall be the LSB of the
1581.    corresponding bits in the network address.  That is, the LSB in the
1582.    second byte shall be bit 8 in the corresponding network address. For
1583.    IP Version 4, [RFC 791], the octet string shall be of length 4.  For
1584.    IP Version 6 [RFC 1883], the octet string shall be of length 16.
1585.  
1586.    Alternative names may be constrained in the same manner as subject
1587.    distinguished names using the name constraints extension as described
1588.    in section 4.2.1.11.
1589.  
1590.    If the subjectAltName extension is present, the sequence must contain
1591.    at least one entry.  Unlike the subject field, conforming CAs shall
1592.    not issue certificates with subjectAltNames containing empty
1593.    GeneralName fields. For example, an rfc822Name is represented as an
1594.    IA5String. While an empty string is a valid IA5String, such an
1595.    rfc822Name is not permitted by this profile.  The behavior of clients
1596.    that encounter such a certificate when processing a certificication
1597.    path is
1598.  
1599.       id-ce-subjectAltName OBJECT IDENTIFIER ::=  { id-ce 17 }
1600.  
1601.       SubjectAltName ::= GeneralNames
1602.  
1603.       GeneralNames ::= SEQUENCE SIZE (1..MAX) OF GeneralName
1604.  
1605.       GeneralName ::= CHOICE {
1606.            otherName                       [0]     OtherName,
1607.            rfc822Name                      [1]     IA5String,
1608.            dNSName                         [2]     IA5String,
1609.            x400Address                     [3]     ORAddress,
1610.            directoryName                   [4]     Name,
1611.            ediPartyName                    [5]     EDIPartyName,
1612.            uniformResourceIdentifier       [6]     IA5String,
1613.            iPAddress                       [7]     OCTET STRING,
1614.            registeredID                    [8]     OBJECT IDENTIFIER}
1615.  
1616.  
1617.  
1618. Housley, Ford, Polk, & Solo                                    [Page 27]
1619.  
1620.  
1621.  
1622.  
1623.  
1624. INTERNET DRAFT                                              July 30 1997
1625.  
1626.  
1627.       OtherName ::= SEQUENCE {
1628.            type-id    OBJECT IDENTIFIER,
1629.            value      [0] EXPLICIT ANY DEFINED BY type-id }
1630.  
1631.       EDIPartyName ::= SEQUENCE {
1632.            nameAssigner            [0]     DirectoryString OPTIONAL,
1633.            partyName               [1]     DirectoryString }
1634.  
1635. 4.2.1.8  Issuer Alternative Name
1636.  
1637.    As with 4.2.1.7, this extension is used to associate Internet style
1638.    identities with the certificate issuer.  If the only issuer identity
1639.    included in the certificate is an alternative name form (e.g., an
1640.    electronic mail address), then the issuer distinguished name shall be
1641.    empty (an empty sequence), and the issuerAltName extension shall be
1642.    present. If the subject field contains an empty sequence, the
1643.    issuerAltName extension shall be marked critical.
1644.  
1645.    Where the issuerAltName extension contains a URI, the following
1646.    semantics shall be assumed: the URI is a pointer to a sequence of
1647.    certificates issued to this CA (and optionally other CAs).  The
1648.    expected values for the URI are those defined in 4.2.1.7. Processing
1649.    rules for other values are not defined by this specification.
1650.  
1651.    Where the issuerAltName extension contains a dNSName, rfc822Name, or
1652.    a URI, wildcard characters are not permitted.
1653.  
1654.       id-ce-issuerAltName OBJECT IDENTIFIER ::=  { id-ce 18 }
1655.  
1656.       IssuerAltName ::= GeneralNames
1657.  
1658. 4.2.1.9  Subject Directory Attributes
1659.  
1660.    The subject directory attributes extension is not recommended as an
1661.    essential part of this profile, but it may be used in local
1662.    environments.  This extension is always non-critical.
1663.  
1664.    id-ce-subjectDirectoryAttributes OBJECT IDENTIFIER ::=  { id-ce 9 }
1665.  
1666.    SubjectDirectoryAttributes ::= SEQUENCE SIZE (1..MAX) OF Attribute
1667.  
1668. 4.2.1.10  Basic Constraints
1669.  
1670.    The basic constraints extension identifies whether the subject of the
1671.    certificate is a CA and how deep a certification path may exist
1672.    through that CA.
1673.  
1674.    The pathLenConstraint field is meaningful only if cA is set to TRUE.
1675.  
1676.  
1677.  
1678. Housley, Ford, Polk, & Solo                                    [Page 28]
1679.  
1680.  
1681.  
1682.  
1683.  
1684. INTERNET DRAFT                                              July 30 1997
1685.  
1686.  
1687.    In this case, it gives the maximum number of CA certificates that may
1688.    follow this certificate in a certification path. A value of zero
1689.    indicates that only an end-entity certificate may follow in the path.
1690.    Where it appears, the pathLenConstraint field must be greater than or
1691.    equal to zero. Where pathLenConstraint does not appear, there is no
1692.    limit to the allowed length of the certification path.
1693.  
1694.    This profile requires the use of this extension, and it shall always
1695.    be critical for CA certificates.
1696.  
1697.    id-ce-basicConstraints OBJECT IDENTIFIER ::=  { id-ce 19 }
1698.  
1699.    BasicConstraints ::= SEQUENCE {
1700.         cA                      BOOLEAN DEFAULT FALSE,
1701.         pathLenConstraint       INTEGER (0..MAX) OPTIONAL }
1702.  
1703. 4.2.1.11  Name Constraints
1704.  
1705.    The name constraints extension, which shall be used only in a CA
1706.    certificate, indicates a name space within which all subject names in
1707.    subsequent certificates in a certification path must be located.
1708.    Restrictions may apply to the subject distinguished name or subject
1709.    alternative names.  Restrictions are defined in terms of permitted or
1710.    excluded name subtrees.  Any name matching a restriction in the
1711.    excludedSubtrees field is invalid regardless of information appearing
1712.    in the permittedSubtrees.  This extension must be critical.
1713.  
1714.    Within this profile, the minimum and maximum fields are not used with
1715.    any name forms, thus minimum is always zero, and maximum is always
1716.    absent.
1717.  
1718.    Restrictions for the rfc822, dNSName, and uri name forms are all
1719.    expressed in terms of strings with wild card matching.  An "*" is the
1720.    wildcard character. For uris and rfc822 names, the restriction
1721.    applies to the host part of the name.  Examples would be foo.bar.com;
1722.    www*.bar.com; *.xyz.com.
1723.  
1724.    Restrictions of the form directoryName shall be applied to the
1725.    subject field in the certificate and to the subjectAltName extensions
1726.    of type directoryName. Restrictions of the form x400Address shall be
1727.    applied to subjectAltName extensions of type x400Address.
1728.  
1729.    The syntax and semantics for name constraints for otherName,
1730.    ediPartyName, and registeredID are not defined by this specification.
1731.  
1732.       id-ce-nameConstraints OBJECT IDENTIFIER ::=  { id-ce 30 }
1733.  
1734.       NameConstraints ::= SEQUENCE {
1735.  
1736.  
1737.  
1738. Housley, Ford, Polk, & Solo                                    [Page 29]
1739.  
1740.  
1741.  
1742.  
1743.  
1744. INTERNET DRAFT                                              July 30 1997
1745.  
1746.  
1747.            permittedSubtrees       [0]     GeneralSubtrees OPTIONAL,
1748.            excludedSubtrees        [1]     GeneralSubtrees OPTIONAL }
1749.  
1750.       GeneralSubtrees ::= SEQUENCE SIZE (1..MAX) OF GeneralSubtree
1751.  
1752.       GeneralSubtree ::= SEQUENCE {
1753.            base                    GeneralName,
1754.            minimum         [0]     BaseDistance DEFAULT 0,
1755.            maximum         [1]     BaseDistance OPTIONAL }
1756.  
1757.       BaseDistance ::= INTEGER (0..MAX)
1758.  
1759. 4.2.1.12  Policy Constraints
1760.  
1761.    The policy constraints extension can be used in certificates issued
1762.    to CAs. The policy constraints extension constrains path validation
1763.    in two ways. It can be used to prohibit policy mapping or require
1764.    that each certificate in a path contain an acceptable policy
1765.    identifier.
1766.  
1767.    If the inhibitPolicyMapping field is present, the value indicates the
1768.    number of additional certificates that may appear in the path before
1769.    policy mapping is no longer permitted.  For example, a value of one
1770.    indicates that policy mapping may be processed in certificates issued
1771.    by the subject of this certificate, but not in additional
1772.    certificates in the path.
1773.  
1774.    If the requireExplicitPolicy field is present, subsequent
1775.    certificates must include an acceptable policy identifier. The value
1776.    of requireExplicitPolicy indicates the number of additional
1777.    certificates that may appear in the path before an explicit policy is
1778.    required.  An acceptable policy identifier is the identifier of a
1779.    policy required by the user of the certification path or the
1780.    identifier of a policy which has been declared equivalent through
1781.    policy mapping.
1782.  
1783.    Conforming CAs shall not issue certificates where policy constraints
1784.    is a null sequence. That is, at least one of the inhibitPolicyMapping
1785.    field or the requireExplicitPolicy field must be present. The
1786.    behavior of clients that encounter a null policy constraints field is
1787.    not addressed in this profile.
1788.  
1789.    This extension may be critical or non-critical.
1790.  
1791.    id-ce-policyConstraints OBJECT IDENTIFIER ::=  { id-ce 36 }
1792.  
1793.    CertificatePoliciesSyntax ::=
1794.                          SEQUENCE SIZE (1..MAX) OF PolicyInformation
1795.  
1796.  
1797.  
1798. Housley, Ford, Polk, & Solo                                    [Page 30]
1799.  
1800.  
1801.  
1802.  
1803.  
1804. INTERNET DRAFT                                              July 30 1997
1805.  
1806.  
1807.    PolicyConstraints ::= SEQUENCE {
1808.         requireExplicitPolicy           [0] SkipCerts OPTIONAL,
1809.         inhibitPolicyMapping            [1] SkipCerts OPTIONAL }
1810.  
1811.    SkipCerts ::= INTEGER (0..MAX)
1812.  
1813. 4.2.1.13  CRL Distribution Points
1814.  
1815.    The CRL distribution points extension identifies how CRL information
1816.    is obtained.  The extension shall be non-critical, but this profile
1817.    recommends support for this extension by CAs and applications.
1818.    Further discussion of CRL management is contained in section 5.
1819.  
1820.    If the cRLDistributionPoints extension contains a
1821.    DistributionPointName of type URI, the following semantics shall be
1822.    assumed: the URI is a pointer to the current CRL for the associated
1823.    reasons and will be issued by the associated cRLIssuer.  The expected
1824.    values for the URI are those defined in 4.2.1.7. Processing rules for
1825.    other values are not defined by this specification.  If the
1826.    distributionPoint omits reasons, the CRL shall include revocations
1827.    for all reasons. If the distributionPoint omits cRLIssuer, the CRL
1828.    shall be issued by the CA that issued the certificate.
1829.  
1830.    id-ce-cRLDistributionPoints OBJECT IDENTIFIER ::=  { id-ce 31 }
1831.  
1832.    cRLDistributionPoints ::= {
1833.         CRLDistPointsSyntax }
1834.  
1835.    CRLDistPointsSyntax ::= SEQUENCE SIZE (1..MAX) OF DistributionPoint
1836.  
1837.    DistributionPoint ::= SEQUENCE {
1838.         distributionPoint       [0]     DistributionPointName OPTIONAL,
1839.         reasons                 [1]     ReasonFlags OPTIONAL,
1840.         cRLIssuer               [2]     GeneralNames OPTIONAL }
1841.  
1842.    DistributionPointName ::= CHOICE {
1843.         fullName                [0]     GeneralNames,
1844.         nameRelativeToCRLIssuer [1]     RelativeDistinguishedName }
1845.  
1846.    ReasonFlags ::= BIT STRING {
1847.         unused                  (0),
1848.         keyCompromise           (1),
1849.         cACompromise            (2),
1850.         affiliationChanged      (3),
1851.         superseded              (4),
1852.         cessationOfOperation    (5),
1853.         certificateHold         (6) }
1854.  
1855.  
1856.  
1857.  
1858. Housley, Ford, Polk, & Solo                                    [Page 31]
1859.  
1860.  
1861.  
1862.  
1863.  
1864. INTERNET DRAFT                                              July 30 1997
1865.  
1866.  
1867. 4.2.1.14  Extended key usage field
1868.  
1869.    This field indicates one or more purposes for which the certified
1870.    public key may be used, in addition to or in place of the basic
1871.    purposes indicated in the key usage extension field.  This field is
1872.    defined as follows:
1873.  
1874.    id-ce-extKeyUsage OBJECT IDENTIFIER ::= {id-ce 37}
1875.  
1876.    ExtKeyUsageSyntax ::= SEQUENCE SIZE (1..MAX) OF KeyPurposeId
1877.  
1878.    KeyPurposeId ::= OBJECT IDENTIFIER
1879.  
1880.    Key purposes may be defined by any organization with a need. Object
1881.    identifiers used to identify key purposes shall be assigned in
1882.    accordance with ITU-T Rec. X.660 | ISO/IEC 9834-1.
1883.  
1884.    This extension may, at the option of the certificate issuer, be
1885.    either critical or non-critical.
1886.  
1887.    If the extension is flagged critical, then the certificate shall be
1888.    used only for one of the purposes indicated.
1889.  
1890.    If the extension is flagged non-critical, then it indicates the
1891.    intended purpose or purposes of the key, and may be used in finding
1892.    the correct key/certificate of an entity that has multiple
1893.    keys/certificates. It is an advisory field and does not imply that
1894.    usage of the key is restricted by the certification authority to the
1895.    purpose indicated. (Using applications may nevertheless require that
1896.    a particular purpose be indicated in order for the certificate to be
1897.    acceptable to that application.)
1898.  
1899.    If a certificate contains both a critical key usage field and a
1900.    critical extended key usage field, then both fields shall be
1901.    processed independently and the certificate shall only be used for a
1902.    purpose consistent with both fields.  If there is no purpose
1903.    consistent with both fields, then the certificate shall not be used
1904.    for any purpose.
1905.  
1906.    The following key usage purposes are defined by this profile:
1907.  
1908.    id-kp OBJECT IDENTIFIER ::= { id-pkix 3 }
1909.  
1910.    id-kp-serverAuth              OBJECT IDENTIFIER ::=   {id-kp 1}
1911.    -- TLS Web server authentication
1912.    -- Key usage bits that may be consistent: digitalSignature,
1913.    --                         keyEncipherment or keyAgreement
1914.    --
1915.  
1916.  
1917.  
1918. Housley, Ford, Polk, & Solo                                    [Page 32]
1919.  
1920.  
1921.  
1922.  
1923.  
1924. INTERNET DRAFT                                              July 30 1997
1925.  
1926.  
1927.    id-kp-clientAuth              OBJECT IDENTIFIER ::=   {id-kp 2}
1928.    -- TLS Web client authentication
1929.    -- Key usage bits that may be consistent: digitalSignature
1930.    --
1931.    id-kp-codeSigning             OBJECT IDENTIFIER ::=   {id-kp 3}
1932.    -- Signing of downloadable executable code
1933.    -- Key usage bits that may be consistent: digitalSignature
1934.    --
1935.    id-kp-emailProtection         OBJECT IDENTIFIER ::=   {id-kp 4}
1936.    -- E-mail protection
1937.    -- Key usage bits that may be consistent: digitalSignature,
1938.    --                         nonRepudiation, and/or (keyEncipherment
1939.    --                         or keyAgreement)
1940.    --
1941.    id-kp-ipsecEndSystem          OBJECT IDENTIFIER ::=   {id-kp 5}
1942.    -- IP security end system (host or router)
1943.    -- Key usage bits that may be consistent: digitalSignature and/or
1944.    --                         (keyEncipherment or keyAgreement)
1945.    --
1946.    id-kp-ipsecTunnel             OBJECT IDENTIFIER ::=   {id-kp 6}
1947.    -- IP security tunnel termination
1948.    -- Key usage bits that may be consistent: digitalSignature and/or
1949.    --                         (keyEncipherment or keyAgreement)
1950.    --
1951.    id-kp-ipsecUser               OBJECT IDENTIFIER ::=   {id-kp 7}
1952.    -- IP security user
1953.    -- Key usage bits that may be consistent: digitalSignature and/or
1954.    --                         (keyEncipherment or keyAgreement)
1955.    id-kp-timeStamping    OBJECT IDENTIFIER ::= { id-kp 8 }
1956.    -- Binding the hash of an object to a time from an agreed-upon time
1957.    -- source. Key usage bits that may be consistent: digitalSignature,
1958.    --                         nonRepudiation
1959.  
1960. 4.2.2  Private Internet Extensions
1961.  
1962.    This section defines one new extension for use in the Internet Public
1963.    Key Infrastructure.  This extension may be used to direct
1964.    applications to identify an on-line validation service supporting the
1965.    issuing CA.  As the information may be available in multiple forms,
1966.    each extension is a sequence of IA5String values, each of which
1967.    represents a URI.  The URI implicitly specifies the location and
1968.    format of the information and the method for obtaining the
1969.    information.
1970.  
1971.    An object identifier is defined for the private extension.  The
1972.    object identifier associated with the private extension is defined
1973.    under the arc id-pe within the id-pkix name space.  Any future
1974.    extensions defined for the Internet PKI will also be defined uder the
1975.  
1976.  
1977.  
1978. Housley, Ford, Polk, & Solo                                    [Page 33]
1979.  
1980.  
1981.  
1982.  
1983.  
1984. INTERNET DRAFT                                              July 30 1997
1985.  
1986.  
1987.    arc id-pe.
1988.  
1989.       id-pkix  OBJECT IDENTIFIER  ::=
1990.                { iso(1) identified-organization(3) dod(6) internet(1)
1991.                        security(5) mechanisms(5) pkix(7) }
1992.  
1993.       id-pe  OBJECT IDENTIFIER  ::=  { id-pkix 1 }
1994.  
1995. 4.2.2.1  Authority Information Access
1996.  
1997.    The authority information access extension indicates how to access CA
1998.    information and services for the issuer of the certificate in which
1999.    the extension appears. Information and services may include on-line
2000.    validation services and CA policy data.  (The location of CRLs is not
2001.    specified in this extension; that information is provided by the
2002.    cRLDistributionPoints extension.)  This extension may be included in
2003.    subject or CA certificates, and it is always non-critical.
2004.  
2005.    id-pkix-authorityInfoAccess OBJECT IDENTIFIER ::= { id-pe 1 }
2006.  
2007.    AuthorityInfoAccessSyntax  ::=  SEQUENCE OF AccessDescription
2008.  
2009.    AccessDescription  ::=  SEQUENCE SIZE (1..MAX) {
2010.            accessMethod          OBJECT IDENTIFIER,
2011.            accessLocation        GeneralName  }
2012.  
2013.    id-pkix-accessDescript OBJECT IDENTIFIER ::= { id-pkix 48 }
2014.  
2015.    id-pkix-ocsp OBJECT IDENTIFIER ::= { id-pkix-accessDescript 1 }
2016.  
2017.    id-pkix-caIssuers OBJECT IDENTIFIER ::= { id-pkix-accessDescript 2 }
2018.  
2019.    Each entry in the sequence AuthorityInfoAccessSyntax describes the
2020.    format and location of additional information about the CA who issued
2021.    the certificate in which this extension appears.
2022.  
2023.    This profile defines an object identifier for the On-line Certificate
2024.    Status Protocol (OCSP) that will be defined in PKIX Part 2.  When
2025.    id-pkix-ocsp appears as accessMethod, the accessLocation field
2026.    describes the on-line status server and the access protocol to obtain
2027.    current certificate status information for the certificate containing
2028.    this extension.
2029.  
2030.    This profile defines an object identifier to obtain a description of
2031.    the CAs that have issued certificates superior to the CA that issued
2032.    the certificate containing this extension.  The referenced CA Issuers
2033.    description is intended to aid certificate users in the selection of
2034.    a certification path that terminates at a point trusted by the
2035.  
2036.  
2037.  
2038. Housley, Ford, Polk, & Solo                                    [Page 34]
2039.  
2040.  
2041.  
2042.  
2043.  
2044. INTERNET DRAFT                                              July 30 1997
2045.  
2046.  
2047.    certificate user.  The syntax of the referenced CA Issuers
2048.    description will be defined in PKIX Part 2.  When id-pkix-caIssuers
2049.    appears as accessMethod, the accessLocation field describes the
2050.    referenced description server and the access protocol to obtain
2051.    referenced description.
2052.  
2053.    Additional access descriptors will likely be defined in the future.
2054.  
2055.    The authorityInfoAccess extension may be included in a PKCS 7
2056.    encapsulation as an X.501 ATTRIBUTE.  This attribute can then be used
2057.    to locate certificates automatically rather than include the
2058.    certificates directly.  The intended effect is to reduce the size of
2059.    the encapsulated message or object.
2060.  
2061.    PKCS 9 identifies attributes for inclusion in PKCS 7, referencing
2062.    X.520 standard attributes and defining additional attributes unique
2063.    to PKCS 9. The attributes defined in X.520 are based on the
2064.    definition of ATTRIBUTE in ITU-T X.501 | ISO/IEC 9594-2.
2065.  
2066.    The following syntax defines authorityInfoAccess as an ATTRIBUTE
2067.    suitable for inclusion in a PKCS 7 message:
2068.  
2069.    authorityInfoAccess ATTRIBUTE ::= {
2070.        WITH SYNTAX    authorityInfoAccessSyntax,
2071.        ID             id-pkix-authorityInfoAccess }
2072.  
2073.    PKIX Part 2 establishes requirements on certificate retrieval
2074.    mechanisms. It is expected that applications using the URI form of
2075.    the authorityInfo field for such a purpose will:
2076.  
2077.    1.  Prepend a suitable HTTP retrieval primitive to the URL (e.g.
2078.    "GET").
2079.  
2080.    2.  Append a filename to the URL.
2081.  
2082.    3.  Use the result to retrieve a file containing the requested
2083.    certificate.
2084.  
2085.    4.  Use the authorityInfoAccess extension in that and subsequent
2086.    certificates to complete a certificate path.
2087.  
2088.    The filename will be formed as the IA5string representation of
2089.    SHA1(Issuer DN | certificate serial number) concatenated with ".cer."
2090.    The SignerInfo syntax of PKCS 7 provides the necessary information as
2091.    issuerAndSerialNumber.
2092.  
2093.    The specified file will contain a single DER encoded certficate.
2094.  
2095.  
2096.  
2097.  
2098. Housley, Ford, Polk, & Solo                                    [Page 35]
2099.  
2100.  
2101.  
2102.  
2103.  
2104. INTERNET DRAFT                                              July 30 1997
2105.  
2106.  
2107. 5  CRL and CRL Extensions Profile
2108.  
2109.    As described above, one goal of this X.509 v2 CRL profile is to
2110.    foster the creation of an interoperable and reusable Internet PKI.
2111.    To achieve this goal, guidelines for the use of extensions are
2112.    specified, and some assumptions are made about the nature of
2113.    information included in the CRL.
2114.  
2115.    CRLs may be used in a wide range of applications and environments
2116.    covering a broad spectrum of interoperability goals and an even
2117.    broader spectrum of operational and assurance requirements.  This
2118.    profile establishes a common baseline for generic applications
2119.    requiring broad interoperability.  Emphasis is placed on support for
2120.    X.509 v2 CRLs.  The profile defines a baseline set of information
2121.    that can be expected in every CRL.  Also, the profile defines common
2122.    locations within the CRL for frequently used attributes, and common
2123.    representations for these attributes.
2124.  
2125.    This profile does not define any private Internet CRL extensions or
2126.    CRL entry extensions.
2127.  
2128.    Environments with additional or special purpose requirements may
2129.    build on this profile or may replace it.
2130.  
2131.    Conforming CAs are not required to issue CRLs if other revocation or
2132.    status mechanisms are provided.  Conforming CAs that issue CRLs are
2133.    required to issue version 2 CRLs, and must include the date by which
2134.    the next CRL will be issued in the nextUpdate field (Section
2135.    5.1.2.5).  Conforming applications are required to process version 1
2136.    and 2 CRLs.
2137.  
2138. 5.1  CRL Fields
2139.  
2140.    The X.509 v2 CRL syntax is as follows.  For signature calculation,
2141.    the data that is to be signed is ASN.1 DER encoded.  ASN.1 DER
2142.    encoding is a tag, length, value encoding system for each element.
2143.  
2144.    CertificateList  ::=  SEQUENCE  {
2145.         tbsCertList          TBSCertList,
2146.         signatureAlgorithm   AlgorithmIdentifier,
2147.         signature            BIT STRING  }
2148.  
2149.    TBSCertList  ::=  SEQUENCE  {
2150.         version                 Version OPTIONAL,
2151.                                      -- if present, must be v2
2152.         signature               AlgorithmIdentifier,
2153.         issuer                  Name,
2154.         thisUpdate              ChoiceOfTime,
2155.  
2156.  
2157.  
2158. Housley, Ford, Polk, & Solo                                    [Page 36]
2159.  
2160.  
2161.  
2162.  
2163.  
2164. INTERNET DRAFT                                              July 30 1997
2165.  
2166.  
2167.         nextUpdate              ChoiceOfTime OPTIONAL,
2168.         revokedCertificates     SEQUENCE OF SEQUENCE  {
2169.              userCertificate         CertificateSerialNumber,
2170.              revocationDate          ChoiceOfTime,
2171.              crlEntryExtensions      Extensions OPTIONAL
2172.                                            -- if present, must be v2
2173.                                   }  OPTIONAL,
2174.         crlExtensions           [0]  EXPLICIT Extensions OPTIONAL
2175.                                            -- if present, must be v2
2176.                                   }
2177.  
2178.    ChoiceOfTime ::= CHOICE {
2179.         utcTime        UTCTime,
2180.         generalTime    GeneralizedTime }
2181.  
2182.    Version  ::= INTEGER  {  v1(0), v2(1), v3(2)  }
2183.         -- v3 does not apply to CRLs but appears for consistency
2184.         -- with definition of Version for certs
2185.  
2186.    AlgorithmIdentifier  ::=  SEQUENCE  {
2187.         algorithm               OBJECT IDENTIFIER,
2188.         parameters              ANY DEFINED BY algorithm OPTIONAL  }
2189.                                 -- contains a value of the type
2190.                                 -- registered for use with the
2191.                                 -- algorithm object identifier value
2192.  
2193.    CertificateSerialNumber  ::=  INTEGER
2194.  
2195.    Extensions  ::=  SEQUENCE SIZE (1..MAX) OF Extension
2196.  
2197.    Extension  ::=  SEQUENCE  {
2198.         extnId                  OBJECT IDENTIFIER,
2199.         critical                BOOLEAN DEFAULT FALSE,
2200.         extnValue               OCTET STRING  }
2201.                                 -- contains a DER encoding of a value
2202.                                 -- of the type registered for use with
2203.                                 -- the extnId object identifier value
2204.  
2205.    The following items describe the proposed use of the X.509 v2 CRL in
2206.    the Internet PKI.
2207.  
2208. 5.1.1  CertificateList Fields
2209.  
2210.    The CertificateList is a SEQUENCE of three required fields. The
2211.    fields are are described in detail in the following subsections
2212.  
2213.  
2214.  
2215.  
2216.  
2217.  
2218. Housley, Ford, Polk, & Solo                                    [Page 37]
2219.  
2220.  
2221.  
2222.  
2223.  
2224. INTERNET DRAFT                                              July 30 1997
2225.  
2226.  
2227. 5.1.1.1  tbsCertList
2228.  
2229.    The first field in the sequence is the tbsCertList.  This field is
2230.    itself a sequence containing the name of the issuer, issue date,
2231.    issue date of the next list, the list of revoked certificates, and
2232.    optional CRL extensions.  Further, each entry on the revoked
2233.    certificate list is defined by a sequence of user certificate serial
2234.    number, revocation date, and optional CRL entry extensions.
2235.  
2236. 5.1.1.2  signatureAlgorithm
2237.  
2238.    The signatureAlgorithm field contains the algorithm identifier for
2239.    the algorithm used by the CA to sign the CertificateList.  Section
2240.    7.2 lists the supported signature algorithms. Conforming CAs shall
2241.    use the algorithm identifiers presented in Section 7.2 when signing
2242.    with a supported signature algorithm.
2243.  
2244. 5.1.1.3  signature
2245.  
2246.    The signature field contains a digital signature computed upon the
2247.    ASN.1 DER encoded TBSCertList.  The ASN.1 DER encoded  TBSCertList is
2248.    used as the input to a one-way hash function.  The one-way hash
2249.    function output value is ASN.1 encoded as an OCTET STRING and the
2250.    result is encrypted (e.g., using RSA Encryption) to form the signed
2251.    quantity.  This signature value is then ASN.1 encoded as a BIT STRING
2252.    and included in the CRL's signature field.
2253.  
2254. 5.1.2  Certificate List "To Be Signed"
2255.  
2256.    The certificate list to be signed, or tBSCertList, is a SEQUENCE of
2257.    required and optional fields.  The required fields identify the CRL
2258.    issuer, the algorithm used to sign the CRL, the date and time the CRL
2259.    was issued, and the date and time by which the CA will issue the next
2260.    CRL.
2261.  
2262.    Optional fields include lists of revoked certificates and CRL
2263.    extensions.  The revoked certificate list is optional to support the
2264.    special case where a CA has not revoked any unexpired certificates it
2265.    has issued.  It is expected that nearly all CRLs issued in the
2266.    Internet PKI will contain one or more lists of revoked certificates.
2267.    Similarly, the profile requires conforming CAs to use the CRL
2268.    extension cRLNumber in all CRLs issued.
2269.  
2270. 5.1.2.1  Version
2271.  
2272.    This optional field describes the version of the encoded CRL.  When
2273.    extensions are used, as expected in this profile, this field shall be
2274.    present and shall specify version 2 (the integer value is 1).  If
2275.  
2276.  
2277.  
2278. Housley, Ford, Polk, & Solo                                    [Page 38]
2279.  
2280.  
2281.  
2282.  
2283.  
2284. INTERNET DRAFT                                              July 30 1997
2285.  
2286.  
2287.    neither CRL extensions nor CRL entry extensions are present, version
2288.    1 CRLs are recommended. In this case, the field shall be ommitted.
2289.  
2290. 5.1.2.2  Signature
2291.  
2292.    This field contains the algorithm identifier for the algorithm used
2293.    to sign the CRL.  Section 7.2 lists OIDs for the most popular
2294.    signature algorithms used in the Internet PKI.
2295.  
2296. 5.1.2.3  Issuer Name
2297.  
2298.    The issuer name identifies the entity who has signed (and issued the
2299.    CRL).  The issuer identity may be carried in the issuer name field
2300.    and/or the issuerAltName extension.  If identity information is
2301.    present only in the issuerAltName extension, then the issuer name may
2302.    be an empty sequence and the issuerAltName extension must be
2303.    critical.
2304.  
2305.    Where it is non-null, the issuer name field shall contain an X.500
2306.    distinguished name (DN).  The issuer name field is defined as the
2307.    X.501 type Name, and shall follow the encoding rules for the issuer
2308.    name field in the certificate (see 4.1.2.4).
2309.  
2310. 5.1.2.4  This Update
2311.  
2312.    This field indicates the issue date of this CRL. ThisUpdate may be
2313.    encoded as UTCTime or GeneralizedTime.
2314.  
2315.    CAs conforming to this profile that issue CRLs shall encode
2316.    thisUpdate as UTCTime for dates through the year 2049 as UTCTime. CAs
2317.    conforming to this profile that issue CRLs shall encode thisUpdate as
2318.    GeneralizedTime for dates in the year 2050 or later.
2319.  
2320.    Where encoded as UTCTime, thisUpdate shall be specified and
2321.    interpreted as defined in Section 4.1.2.5.1.  Where encoded as
2322.    GeneralizedTime, thisUpdate shall be specified and interpreted as
2323.    defined in Section 4.1.2.5.2.
2324.  
2325. 5.1.2.5  Next Update
2326.  
2327.    This field indicates the date by which the next CRL will be issued.
2328.    The next CRL could be issued before the indicated date, but it will
2329.    not be issued any later than the indicated date. nextUpdate may be
2330.    encoded as UTCTime or GeneralizedTime.
2331.  
2332.    This profile requires inclusion of nextUpdate in all CRLs issued by
2333.    conforming CAs. Note that the ASN.1 syntax of TBSCertList describes
2334.    this field as OPTIONAL, which is consistent with the ASN.1 structure
2335.  
2336.  
2337.  
2338. Housley, Ford, Polk, & Solo                                    [Page 39]
2339.  
2340.  
2341.  
2342.  
2343.  
2344. INTERNET DRAFT                                              July 30 1997
2345.  
2346.  
2347.    defined in [X.509-AM]. The behavior of clients processing CRLs which
2348.    omit nextUpdate is not specified by this profile.
2349.  
2350.    CAs conforming to this profile that issue CRLs shall encode
2351.    nextUpdate as UTCTime for dates through the year 2049 as UTCTime. CAs
2352.    conforming to this profile that issue CRLs shall encode nextUpdate as
2353.    GeneralizedTime for dates in the year 2050 or later.
2354.  
2355.    Where encoded as UTCTime, nextUpdate shall be specified and
2356.    interpreted as defined in Section 4.1.2.5.1.  Where encoded as
2357.    GeneralizedTime, nextUpdate shall be specified and interpreted as
2358.    defined in Section 4.1.2.5.2.
2359.  
2360. 5.1.2.6  Revoked Certificates
2361.  
2362.    Revoked certificates are listed.  The revoked certificates are named
2363.    by their serial numbers.  Certificates are uniquely identified by the
2364.    combination of the issuer name or issuer alternative name along with
2365.    the user certificate serial number.  The date on which the revocation
2366.    occurred is specified.  The time for revocationDate shall be
2367.    expressed as described in section 5.1.2.4. Additional information may
2368.    be supplied in CRL entry extensions; CRL entry extensions are
2369.    discussed in section 5.3.
2370.  
2371. 5.1.2.7  Extensions
2372.  
2373.    This field may only appear if the version number is 2 (see 5.1.2.1).
2374.    If present, this field is a SEQUENCE of one or more CRL extensions.
2375.    CRL extensions are discussed in section 5.2.
2376.  
2377. 5.2  CRL Extensions
2378.  
2379.    The extensions defined by ANSI X9 and ISO for X.509 v2 CRLs [X.509-
2380.    AM] [X9.55] provide methods for associating additional attributes
2381.    with CRLs.  The X.509 v2 CRL format also allows communities to define
2382.    private extensions to carry information unique to those communities.
2383.    Each extension in a CRL may be designated as critical or non-
2384.    critical.  A CRL validation must fail if it encounters an critical
2385.    extension which it does not know how to process.  However, an
2386.    unrecognized non-critical extension may be ignored.  The following
2387.    presents those extensions used within Internet CRLs.  Communities may
2388.    elect to include extensions in CRLs which are not defined in this
2389.    specification. However, caution should be exercised in adopting any
2390.    critical extensions in CRLs which might be used in a general context.
2391.  
2392.    Conforming CAs that issue CRLs are required to support the CRL number
2393.    extension (5.2.3), and include it in all CRLs issued. Conforming
2394.    applications are required to support the critical and optionally
2395.  
2396.  
2397.  
2398. Housley, Ford, Polk, & Solo                                    [Page 40]
2399.  
2400.  
2401.  
2402.  
2403.  
2404. INTERNET DRAFT                                              July 30 1997
2405.  
2406.  
2407.    critical CRL extensions issuer alternative name (5.2.2), issuing
2408.    distribution point (5.2.4) and delta CRL indicator (5.2.5).
2409.  
2410. 5.2.1  Authority Key Identifier
2411.  
2412.    The authority key identifier extension provides a means of
2413.    identifying the particular public key used to sign a CRL.  The
2414.    identification can be based on either the key identifier (the subject
2415.    key identifier in the CRL signer's certificate) or on the issuer name
2416.    and serial number.  The key identifier method is recommended in this
2417.    profile.  This extension would be used where an issuer has multiple
2418.    signing keys, either due to multiple concurrent key pairs or due to
2419.    changeover.  In general, this non-critical extension should be
2420.    included in certificates.
2421.  
2422.    The syntax for this CRL extension is defined in Section 4.2.1.1.
2423.  
2424. 5.2.2  Issuer Alternative Name
2425.  
2426.    The issuer alternative names extension allows additional identities
2427.    to be associated with the issuer of the CRL.  Defined options include
2428.    an rfc822 name (electronic mail address), a DNS name, an IP address,
2429.    and a URI.  Multiple instances of a name and multiple name forms may
2430.    be included.  Whenever such identities are used, the issuer
2431.    alternative name extension shall be used.
2432.  
2433.    Further, if the only issuer identity included in the CRL is an
2434.    alternative name form (e.g., an electronic mail address), then the
2435.    issuer distinguished name should be empty (an empty sequence), the
2436.    issuerAltName extension should be used, and the issuerAltName
2437.    extension must be marked critical.
2438.  
2439.    The object identifier and syntax for this CRL extension are defined
2440.    in Section 4.2.1.8.
2441.  
2442. 5.2.3  CRL Number
2443.  
2444.    The CRL number is a non-critical CRL extension which conveys a
2445.    monotonically increasing sequence number for each CRL issued by a
2446.    given CA through a specific CA X.500 Directory entry or CRL
2447.    distribution point.  This extension allows users to easily determine
2448.    when a particular CRL supersedes another CRL.  CAs conforming to this
2449.    profile shall include this extension in all CRLs.
2450.  
2451.    id-ce-cRLNumber OBJECT IDENTIFIER ::= { id-ce 20 }
2452.  
2453.    cRLNumber ::= INTEGER (0..MAX)
2454.  
2455.  
2456.  
2457.  
2458. Housley, Ford, Polk, & Solo                                    [Page 41]
2459.  
2460.  
2461.  
2462.  
2463.  
2464. INTERNET DRAFT                                              July 30 1997
2465.  
2466.  
2467. 5.2.4  Issuing Distribution Point
2468.  
2469.    The issuing distribution point is a critical CRL extension that
2470.    identifies the CRL distribution point for a particular CRL, and it
2471.    indicates whether the CRL covers revocation for end entity
2472.    certificates only, CA certificates only, or a limitied set of reason
2473.    codes.  Since this extension is critical, all certificate users must
2474.    be prepared to receive CRLs with this extension.
2475.  
2476.    The CRL is signed using the CA's private key.  CRL Distribution
2477.    Points do not have their own key pairs.  If the CRL is stored in the
2478.    X.500 Directory, it is stored in the Directory entry corresponding to
2479.    the CRL distribution point, which may be different than the Directory
2480.    entry of the CA.
2481.  
2482.    CRL distribution points, if used by a CA, should be partition the CRL
2483.    on the basis of compromise and routine revocation.  That is, the
2484.    revocations with reason code keyCompromise (1) shall appear in one
2485.    distribution point, and the revocations with other reason codes shall
2486.    appear in another distribution point.
2487.  
2488.    Where the issuingDistributionPoint extension contains a URL, this
2489.    name the following semantics shall be assumed: the object is a
2490.    pointer to the most current CRL issued by this CA.  The URI schemes
2491.    ftp, http, mailto [RFC1738] and ldap [RFC1778] are defined for this
2492.    purpose.  The URI must be an absolute, not relative, pathname and
2493.    must specify the host.
2494.  
2495.    id-ce-issuingDistributionPoint OBJECT IDENTIFIER ::= { id-ce 28 }
2496.  
2497.    issuingDistributionPoint ::= SEQUENCE {
2498.         distributionPoint       [0] DistributionPointName OPTIONAL,
2499.         onlyContainsUserCerts   [1] BOOLEAN DEFAULT FALSE,
2500.         onlyContainsCACerts     [2] BOOLEAN DEFAULT FALSE,
2501.         onlySomeReasons         [3] ReasonFlags OPTIONAL,
2502.         indirectCRL             [4] BOOLEAN DEFAULT FALSE }
2503.  
2504. 5.2.5  Delta CRL Indicator
2505.  
2506.    The delta CRL indicator is a critical CRL extension that identifies a
2507.    delta-CRL.  The use of delta-CRLs can significantly improve
2508.    processing time for applications which store revocation information
2509.    in a format other than the CRL structure.  This allows changes to be
2510.    added to the local database while ignoring unchanged information that
2511.    is already in the local databse.
2512.  
2513.    When a delta-CRL is issued, the CAs shall also issue a complete CRL.
2514.  
2515.  
2516.  
2517.  
2518. Housley, Ford, Polk, & Solo                                    [Page 42]
2519.  
2520.  
2521.  
2522.  
2523.  
2524. INTERNET DRAFT                                              July 30 1997
2525.  
2526.  
2527.    The value of BaseCRLNumber identifies the CRL number of the base CRL
2528.    that was used as the starting point in the generation of this delta-
2529.    CRL.  The delta-CRL contains the changes between the base CRL and the
2530.    current CRL issued along with the delta-CRL.  It is the decision of a
2531.    CA as to whether to provide delta-CRLs.  Again, a delta-CRL shall not
2532.    be issued without a corresponding CRL.  The value of CRLNumber for
2533.    both the delta-CRL and the corresponding CRL shall be identical.
2534.  
2535.    A CRL user constructing a locally held CRL from delta-CRLs shall
2536.    consider the constructed CRL incomplete and unusable if the CRLNumber
2537.    of the received delta-CRL is more that one greater that the CRLnumber
2538.    of the delta-CRL last processed.
2539.  
2540.    id-ce-deltaCRLIndicator OBJECT IDENTIFIER ::= { id-ce 27 }
2541.  
2542.    deltaCRLIndicator ::= BaseCRLNumber
2543.  
2544.    BaseCRLNumber ::= CRLNumber
2545.  
2546. 5.2.6 Certificate Issuer
2547.  
2548.    This CRL entry extension identifies the certificate issuer associated
2549.    with an entry in an indirect CRL, i.e. a CRL that has the indirectCRL
2550.    indicator set in its issuing distribution point extension. If this
2551.    extension is not present on the first entry in an indirect CRL, the
2552.    certificate issuer defaults to the CRL issuer. On subsequent entries
2553.    in an indirect CRL, if this extension is not present, the certificate
2554.    issuer for the entry is the same as that for the preceding entry.
2555.    This field is defined as follows:
2556.  
2557.    id-ce-certificateIssuer   OBJECT IDENTIFIER ::= { id-ce 29 }
2558.  
2559.    certificateIssuer ::=     GeneralNames
2560.  
2561.    If used by conforming CAs that issue CRLs, this extension is always
2562.    critical.  Conforming applications  if an implementation ignored this
2563.    extension it could not correctly attribute CRL entries to
2564.    certificates.
2565.  
2566. 5.3  CRL Entry Extensions
2567.  
2568.    The CRL entry extensions already defined by ANSI X9 and ISO for X.509
2569.    v2 CRLs [X.509-AM] [X9.55] provide methods for associating additional
2570.    attributes with CRL entries.  The X.509 v2 CRL format also allows
2571.    communities to define private CRL entry extensions to carry
2572.    information unique to those communities.  Each extension in a CRL
2573.    entry may be designated as critical or non-critical.  A CRL
2574.    validation must fail if it encounters a critical CRL entry extension
2575.  
2576.  
2577.  
2578. Housley, Ford, Polk, & Solo                                    [Page 43]
2579.  
2580.  
2581.  
2582.  
2583.  
2584. INTERNET DRAFT                                              July 30 1997
2585.  
2586.  
2587.    which it does not know how to process.  However, an unrecognized
2588.    non-critical CRL entry extension may be ignored.  The following
2589.    presents recommended extensions used within Internet CRL entries and
2590.    standard locations for information.  Communities may elect to use
2591.    additional CRL entry extensions; however, caution should be exercised
2592.    in adopting any critical extensions in CRL entries which might be
2593.    used in a general context.
2594.  
2595.    All CRL entry extensions are non-critical; support for these
2596.    extensions is optional for conforming CAs and applications.  However,
2597.    CAs that issue CRLs are strongly encouraged to include reason codes
2598.    (5.3.1) whenever this information is available.
2599.  
2600. 5.3.1  Reason Code
2601.  
2602.    The reasonCode is a non-critical CRL entry extension that identifies
2603.    the reason for the certificate revocation. CAs are strongly
2604.    encouraged to include reason codes in CRL entries; however, the
2605.    reason code CRL entry extension should be absent instead of using the
2606.    unspecified (0) reasonCode value.
2607.  
2608.    id-ce-cRLReason OBJECT IDENTIFIER ::= { id-ce 21 }
2609.  
2610.    -- reasonCode ::= { CRLReason }
2611.  
2612.    CRLReason ::= ENUMERATED {
2613.         unspecified             (0),
2614.         keyCompromise           (1),
2615.         cACompromise            (2),
2616.         affiliationChanged      (3),
2617.         superseded              (4),
2618.         cessationOfOperation    (5),
2619.         certificateHold         (6),
2620.         removeFromCRL           (8) }
2621.  
2622. 5.3.2  Hold Instruction Code
2623.  
2624.    The hold instruction code is a non-critical CRL entry extension that
2625.    provides a registered instruction identifier which indicates the
2626.    action to be taken after encountering a certificate that has been
2627.    placed on hold.
2628.  
2629.    id-ce-holdInstructionCode OBJECT IDENTIFIER ::= { id-ce 23 }
2630.  
2631.    holdInstructionCode ::= OBJECT IDENTIFIER
2632.  
2633.    The following instruction codes have been defined.  Conforming
2634.    applications that process this extension shall recognize the
2635.  
2636.  
2637.  
2638. Housley, Ford, Polk, & Solo                                    [Page 44]
2639.  
2640.  
2641.  
2642.  
2643.  
2644. INTERNET DRAFT                                              July 30 1997
2645.  
2646.  
2647.    following instruction codes.
2648.  
2649.    holdInstruction    OBJECT IDENTIFIER ::=
2650.                     { iso(1) member-body(2) us(840) x9-57(10040) 2 }
2651.  
2652.    id-holdinstruction-none   OBJECT IDENTIFIER ::= {holdInstruction 1}
2653.    id-holdinstruction-callissuer
2654.                              OBJECT IDENTIFIER ::= {holdInstruction 2}
2655.    id-holdinstruction-reject OBJECT IDENTIFIER ::= {holdInstruction 3}
2656.  
2657.    Conforming applications which encounter a id-holdinstruction-
2658.    callissuer must call the certificate issuer or reject the
2659.    certificate.  Conforming applications which encounter a id-
2660.    holdinstruction-reject ID shall reject the transaction. id-
2661.    holdinstruction-none is semantically equivalent to the absence of a
2662.    holdInstructionCode.  Its use is strongly deprecated for the Internet
2663.    PKI.
2664.  
2665. 5.3.3  Invalidity Date
2666.  
2667.    The invalidity date is a non-critical CRL entry extension that
2668.    provides the date on which it is known or suspected that the private
2669.    key was compromised or that the certificate otherwise became invalid.
2670.    This date may be earlier than the revocation date in the CRL entry,
2671.    but it must be later than the issue date of the previously issued
2672.    CRL.  Remember that the revocation date in the CRL entry specifies
2673.    the date that the CA revoked the certificate.  Whenever this
2674.    information is available, CAs are strongly encouraged to share it
2675.    with CRL users.
2676.  
2677.    The GeneralizedTime values included in this field shall be expressed
2678.    in Greenwich Mean Time (Zulu), and shall be specified and interpreted
2679.    as defined in Section 4.1.2.5.2.
2680.  
2681.    id-ce-invalidityDate OBJECT IDENTIFIER ::= { id-ce 24 }
2682.  
2683.    invalidityDate ::=  GeneralizedTime
2684.  
2685. 6  Certificate Path Validation
2686.  
2687.    Certification path validation procedures for the Internet PKI are
2688.    based on Section 12.4.3 of [X.509-AM].  Certification path processing
2689.    verifies the binding between the subject distinguished name and
2690.    subject public key.  The binding is limited by constraints which are
2691.    specified in the certificates which comprise the path. The basic
2692.    constraints and policy constraints extensions allow the certification
2693.    path processing logic to automate the decision making process.
2694.  
2695.  
2696.  
2697.  
2698. Housley, Ford, Polk, & Solo                                    [Page 45]
2699.  
2700.  
2701.  
2702.  
2703.  
2704. INTERNET DRAFT                                              July 30 1997
2705.  
2706.  
2707.    This section describes an algorithm for validating certification
2708.    paths.  Conforming implementations of this specification are not
2709.    required to implement this algorithm, but shall be functionally
2710.    equivalent to the external behaviour resulting from this procedure.
2711.    Any algorithm may be used by a particular implementation so long as
2712.    it derives the correct result.
2713.  
2714.    The following text assumes that all valid paths begin with the public
2715.    key of a single "most-trusted CA". The "most-trusted CA" is a matter
2716.    of policy: it could be a root CA in a hierarchical PKI; the CA that
2717.    issued the verifier's own certificate(s); or any other CA in a
2718.    network PKI.  The path validation procedure is the regardless of the
2719.    choice of "most-trusted CA."
2720.  
2721.    The text assumes that this public key is contained in a "self-signed"
2722.    certificate. This simplifies the description of the path processing
2723.    procedure.  Note that the signature on the self-signed certificate
2724.    does not provide any security services.  The public key it contains
2725.    is trusted because of other procedures used to obtain and protect it.
2726.  
2727.    The goal of path validation is to verify the binding between a
2728.    subject distinguished name and subject public key, as represented in
2729.    the "end entity" certificate, based on the public key of the "most-
2730.    trusted CA".  This requires obtaining a sequence of certificates that
2731.    support that binding.  The procedures performed to obtain this
2732.    sequence is outside the scope of this section.
2733.  
2734.    The following text also assumes that certificates do not use subject
2735.    or unique identifier fields or private critical extensions, as
2736.    recommended within this profile.  However, if these components appear
2737.    in certificates, they must be processed.  Finally, policy qualifiers
2738.    are also neglected for the sake of clarity.
2739.  
2740.    A certification path is a sequence of n certificates where:
2741.  
2742.       * for all x in {1,(n-1)}, the subject of certificate x is the
2743.       issuer of certificate x+1.
2744.       * certificate x=1 is the the self-signed certificate, and
2745.       * certificate x=n is the end entity certificate.
2746.  
2747.    This section assumes the following inputs are provided to the path
2748.    processing logic:
2749.  
2750.       (a)  a certification path of length n;
2751.  
2752.       (b)  a set of initial policy identifiers (each comprising a
2753.       sequence of policy element identifiers), which identifies one or
2754.       more certificate policies, any one of which would be acceptable
2755.  
2756.  
2757.  
2758. Housley, Ford, Polk, & Solo                                    [Page 46]
2759.  
2760.  
2761.  
2762.  
2763.  
2764. INTERNET DRAFT                                              July 30 1997
2765.  
2766.  
2767.       for the purposes of certification path processing; and
2768.  
2769.       (c)  the current date/time (if not available internally to the
2770.       certification path processing module).
2771.  
2772.    From the inputs, the procedure intializes five state variables:
2773.  
2774.       (a)  acceptable policy set:  A set of certificate policy
2775.       identifiers comprising the policy or policies recognized by the
2776.       public key user together with policies deemed equivalent through
2777.       policy mapping. The initial value of the acceptable policy set is
2778.       the set of initial policy identifiers.
2779.  
2780.       (b)  constrained subtrees:  A set of root names defining a set of
2781.       subtrees within which all subject names in subsequent certificates
2782.       in the certification path shall fall. The initial value is
2783.       "unbounded".
2784.  
2785.       (c)  excluded subtrees:  A set of root names defining a set of
2786.       subtrees within which no subject name in subsequent certificates
2787.       in the certification path may fall. The initial value is "empty".
2788.  
2789.       (d)  explicit policy: an integer which indicates if an explicit
2790.       policy identifier is required. The integer indicates the first
2791.       certificate in the path where this requirement is imposed. Once
2792.       set, this variable may be decreased, but may not be increased.
2793.       (That is, if a certificate in the path requires explicit policy
2794.       identifiers, a later certificate can not remove this requirement.)
2795.       The initial value is n+1.
2796.  
2797.       (e)  policy mapping: an integer which indicates if policy mapping
2798.       is permitted.  The integer indicates the last certificate on which
2799.       policy mapping may be applied.  Once set, this variable may be
2800.       decreased, but may not be increased. (That is, if a certificate in
2801.       the path specifies policy mapping is not permitted, it can not be
2802.       overriden by a later certificate.) The initial value is n+1.
2803.  
2804.    The actions performed by the path processing software for each
2805.    certificate i=1 through n are described below.  The self-signed
2806.    certificate is certificate i=1, the end entity certificate is i=n.
2807.    The processing is performed sequentially, so that processing
2808.    certificate i affects the state variables for processing certificate
2809.    (i+1).  Note that actions (f) through (i) are not applied to the end
2810.    entity certificate (certificate n).
2811.  
2812.    The path processing actions to be performed are:
2813.  
2814.       (a)  Verify the basic certificate information, including:
2815.  
2816.  
2817.  
2818. Housley, Ford, Polk, & Solo                                    [Page 47]
2819.  
2820.  
2821.  
2822.  
2823.  
2824. INTERNET DRAFT                                              July 30 1997
2825.  
2826.  
2827.          (1) the certificate was signed using the subject public key
2828.          from certificate i-1 (in the special case i=1, this step may be
2829.          omitted; if not, use the subject public key from the same
2830.          certificate),
2831.  
2832.          (2) the certificate is not expired, and (if present) the
2833.          private key usage period is satisfied,
2834.  
2835.          (3) the certificate has not been revoked (this may be
2836.          determined by obtaining current CRL, current status
2837.          information, or by out-of-band mechanisms), and
2838.  
2839.          (4) the subject and issuer names chain correctly.  (If the
2840.          certificate has an empty sequence in the name field, name
2841.          chaining will use the critical altSubjectNames and
2842.          altIssuerNames fields.)
2843.  
2844.       (b)  Verify that the subject name or critical AltSubjectName
2845.       extension is consistent with the constrained subtrees state
2846.       variables; and
2847.  
2848.       (c)  Verify that the subject name or critical AltSubjectName
2849.       extension is consistent with the excluded subtrees state
2850.       variables.
2851.  
2852.       (d)  Verify that policy information is consistent:
2853.  
2854.          (1) if the explicit policy state variable is less than or equal
2855.          to i, an appropriate policy identifier must appear in the
2856.          certificate; and
2857.          (2) if the policy mapping variable is less than or equal to i,
2858.          the policy identifier may not be mapped.
2859.  
2860.       (e)  Recognize and process any other critical extension present in
2861.       the certificate.
2862.  
2863.       (f) Verify that the certificate is a CA certificate (as specified
2864.       in a basicConstraints extension or as verified out-of-band).
2865.  
2866.       (g)  If permittedSubtrees is present in the certificate, set the
2867.       constrained subtrees state variable to the intersection of its
2868.       previous value and the value indicated in the extension field.
2869.  
2870.       (h)  If excludedSubtrees is present in the certificate, set the
2871.       excluded subtrees state variable to the union of its previous
2872.       value and the value indicated in the extension field.
2873.  
2874.       (i)  If a policy constraints extension is included in the
2875.  
2876.  
2877.  
2878. Housley, Ford, Polk, & Solo                                    [Page 48]
2879.  
2880.  
2881.  
2882.  
2883.  
2884. INTERNET DRAFT                                              July 30 1997
2885.  
2886.  
2887.       certificate, modify the explicit policy and policy mapping state
2888.       variables as follows:
2889.  
2890.          (1) If requireExplicitPolicy is present and has value r, the
2891.          explicit policy state variable is set to the minimum of (a) its
2892.          current value and (b) the sum of r and i (the current
2893.          certificate in the sequence).
2894.  
2895.          (2) If inhibitPolicyMapping is present and has value q, the
2896.          policy mapping state variable is set to the minimum of (a) its
2897.          current value and (b) the sum of q and i (the current
2898.          certificate in the sequence).
2899.  
2900.    If any one of the above checks fail, the procedure terminates,
2901.    returning a failure indication and an appropriate reason.  If none of
2902.    the above checks fail on the end-entity certificate, the procedure
2903.    terminates, returning a success indication together with the set of
2904.    all policy qualifier values encountered in the set of certificates.
2905.  
2906.    Notes:  It is possible to specify an extended version of the above
2907.    certification path processing procedure which results in default
2908.    behaviour identical to the rules of Privacy Enhanced Mail [RFC 1422].
2909.    In this extended version, additional inputs to the procedure are a
2910.    list of one or more Policy Certification Authoritys (PCAs) names and
2911.    an indicator of the position in the certification path where the PCA
2912.    is expected.  At the nominated PCA position, the CA name is compared
2913.    against this list.  If a recognized PCA name is found, then a
2914.    constraint of SubordinateToCA is implicitly assumed for the remainder
2915.    of the certification path and processing continues.  If no valid PCA
2916.    name is found, and if the certification path cannot be validated on
2917.    the basis of identified policies, then the certification path is
2918.    considered invalid.
2919.  
2920.    This procedure may also be extended by providing a set of self-signed
2921.    certificates to the validation module.  In this case, a valid path
2922.    could begin with any one of the self-signed certificates.  These
2923.    self-signed certificates permit the path validation module to
2924.    automatically incorporate local security policy and requirements.
2925.  
2926. 7  Algorithm Support
2927.  
2928.    This section describes cryptographic algorithms which may be used
2929.    with this standard.  The section describes one-way hash functions and
2930.    digital signature algorithms which may be used to sign certificates
2931.    and CRLs, and identifies object identifiers for public keys contained
2932.    in a certificate.
2933.  
2934.    Conforming CAs and applications are not required to support the
2935.  
2936.  
2937.  
2938. Housley, Ford, Polk, & Solo                                    [Page 49]
2939.  
2940.  
2941.  
2942.  
2943.  
2944. INTERNET DRAFT                                              July 30 1997
2945.  
2946.  
2947.    algorithms or algorithm identifiers described in this section.
2948.    However, this profile requires conforming CAs and applications to
2949.    conform when they use the algorithms identified here.
2950.  
2951. 7.1  One-way Hash Functions
2952.  
2953.    This section identifies one-way hash functions for use in the
2954.    Internet PKI.  One-way hash functions are also called message digest
2955.    algorithms. SHA-1 is the preferred one-way hash function for the
2956.    Internet PKI.  However, PEM uses MD2 for certificates [RFC 1422] [RFC
2957.    1423] and MD5 is used in other legacy applications.  For this reason,
2958.    MD2 and MD5 are included in this profile.
2959.  
2960. 7.1.1  MD2 One-way Hash Function
2961.  
2962.    MD2 was developed by Ron Rivest, but RSA Data Security has not placed
2963.    the MD2 algorithm in the public domain.  Rather, RSA Data Security
2964.    has granted license to use MD2 for non-commercial Internet Privacy-
2965.    Enhanced Mail.  For this reason, MD2 may continue to be used with PEM
2966.    certificates, but SHA-1 is preferred.  MD2 is fully described in RFC
2967.    1319 [RFC 1319].
2968.  
2969.    At the Selected Areas in Cryptography '95 conference in May 1995,
2970.    Rogier and Chauvaud presented an attack on MD2 that can nearly find
2971.    collisions [RC95].  Collisions occur when one can find two different
2972.    messages that generate the same message digest.  A checksum operation
2973.    in MD2 is the only remaining obstacle to the success of the attack.
2974.    For this reason, the use of MD2 for new applications is discouraged.
2975.    It is still reasonable to use MD2 to verify existing signatures, as
2976.    the ability to find collisions in MD2 does not enable an attacker to
2977.    find new messages having a previously computed hash value.
2978.  
2979.    << More information on the attack and its implications can be
2980.    obtained from a RSA Laboratories security bulletin.  These bulletins
2981.    are available from <http://www.rsa.com/>. >>
2982.  
2983. 7.1.2  MD5 One-way Hash Function
2984.  
2985.    MD5 was developed by Ron Rivest in 1991.  The algorithm takes as
2986.    input a message of arbitrary length and produces as output a 128-bit
2987.    "fingerprint" or "message digest" of the input.  The MD5 message
2988.    digest algorithm is specified by RFC 1321, "The MD5 Message-Digest
2989.    Algorithm"[RFC1321].
2990.  
2991.    Den Boer and Bosselaers [DB94] have found pseudo-collisions for MD5,
2992.    but there are no other known cryptanalytic results.  The use of MD5
2993.    for new applications is discouraged.  It is still reasonable to use
2994.    MD5 to verify existing signatures.
2995.  
2996.  
2997.  
2998. Housley, Ford, Polk, & Solo                                    [Page 50]
2999.  
3000.  
3001.  
3002.  
3003.  
3004. INTERNET DRAFT                                              July 30 1997
3005.  
3006.  
3007. 7.1.2  SHA-1 One-way Hash Function
3008.  
3009.    SHA-1 was developed by the U.S. Government.  The algorithm takes as
3010.    input a message of arbitrary length and produces as output a 160-bit
3011.    "hash" of the input.  SHA-1 is fully described in FIPS 180-1 [FIPS
3012.    180-1].
3013.  
3014.    SHA-1 is the one-way hash function of choice for use with both the
3015.    RSA and DSA signature algorithms (see Section 7.2).
3016.  
3017. 7.2  Signature Algorithms
3018.  
3019.    Certificates and CRLs described by this standard may be signed with
3020.    any public key signature algorithm.  The certificate or CRL indicates
3021.    the algorithm through an algorithmidentifier which appears in the
3022.    signatureAlgorithm field in a Certificate or CertificateList.  This
3023.    algorithmidentfier is an OID and has optionally associated
3024.    parameters.  This section identifies algorithm identifiers and
3025.    parameters that shall be used in the signatureAlgorithm field in a
3026.    Certificate or CertificateList.
3027.  
3028.    RSA and DSA are the most popular signature algorithms used in the
3029.    Internet.  Signature algorithms are always used in conjunction with a
3030.    one-way hash function identified in Section 7.1.
3031.  
3032.    The signature algorithm (and one-way hash function) used to sign a
3033.    certificate or CRL is indicated by use of an algorithm identifier.
3034.    An algorithm identifier is an object identifier, and may include
3035.    associated parameters.  This section identifies OIDS for RSA and DSA
3036.    and the corresponding parameters.
3037.  
3038.    The data to be signed (e.g., the one-way hash function output value)
3039.    is formatted for the signature algorithm to be used.  Then, a private
3040.    key operation (e.g., RSA encryption) is performed to generate the
3041.    signature value.  This signature value is then ASN.1 encoded as a BIT
3042.    STRING and included in the Certificate or CertificateList (in the
3043.    signature field).
3044.  
3045. 7.2.1  RSA Signature Algorithm
3046.  
3047.    A patent statement regarding the RSA algorithm can be found at the
3048.    end of this profile.
3049.  
3050.    The RSA algorithm is named for its inventors: Rivest, Shamir, and
3051.    Adleman.  This profile includes three signature algorithms based on
3052.    the RSA asymmetric encryption algorithm. The signature algorithms
3053.    combine RSA with either the MD2, MD5, or the SHA-1 one-way hash
3054.    functions.
3055.  
3056.  
3057.  
3058. Housley, Ford, Polk, & Solo                                    [Page 51]
3059.  
3060.  
3061.  
3062.  
3063.  
3064. INTERNET DRAFT                                              July 30 1997
3065.  
3066.  
3067.    The signature algorithm with MD2 and the RSA encryption algorithm is
3068.    defined in PKCS #1 [PKCS#1].  As defined in PKCS #1, the ASN.1 object
3069.    identifier used to identify this signature algorithm is:
3070.  
3071.         md2WithRSAEncryption OBJECT IDENTIFIER  ::=  {
3072.             iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1)
3073.             pkcs-1(1) 2  }
3074.  
3075.    The signature algorithm with MD5 and the RSA encryption algorithm is
3076.    defined in PKCS #1 [PKCS#1].  As defined in PKCS #1, the ASN.1 object
3077.    identifier used to identify this signature algorithm is:
3078.  
3079.         md5WithRSAEncryption OBJECT IDENTIFIER  ::=  {
3080.             iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1)
3081.             pkcs-1(1) 4  }
3082.  
3083.    The signature algorithm with SHA-1 and the RSA encryption algorithm
3084.    is defined in by the OSI Interoperability Workshop in []. As defined
3085.    in [OIW], the ASN.1 object identifier used to identify this signature
3086.    algorithm is:
3087.  
3088.         sha-1WithRSAEncryption OBJECT IDENTIFIER  ::=  {
3089.             iso(1) identified-organization(3) oiw(14)
3090.             secsig(3) algorithm(2) 29  }
3091.  
3092.    When any of these three object identifiers appears within the ASN.1
3093.    type AlgorithmIdentifier, the parameters component of that type shall
3094.    be the ASN.1 type NULL.
3095.  
3096.    The data to be signed (e.g., the one-way hash function output value)
3097.    is first ASN.1 encoded as an OCTET STRING and the result is encrypted
3098.    (e.g., using RSA Encryption) to form the signed quantity. When
3099.    signing, the RSA algorithm generates an integer y. This signature
3100.    value is then ASN.1 encoded as a BIT STRING, such that the most
3101.    significant bit in y is the first bit in the bit string and the least
3102.    significant bit in y is the last bit in the bit string, and included
3103.    in the Certificate or CertificateList (in the signature field).
3104.  
3105.    (In general the conversion to a bit string occurs in two steps.  The
3106.    integer y is converted to an octet string such that the first octet
3107.    has the most significance and the last octet has the least
3108.    significance. The octet string is converted into a bit string such
3109.    that the most significant bit of the first octet shall become the
3110.    first bit in the bit string, and the least significant bit of the
3111.    last octet is the last bit in the BIT STRING.)
3112.  
3113.  
3114.  
3115.  
3116.  
3117.  
3118. Housley, Ford, Polk, & Solo                                    [Page 52]
3119.  
3120.  
3121.  
3122.  
3123.  
3124. INTERNET DRAFT                                              July 30 1997
3125.  
3126.  
3127. 7.2.2  DSA Signature Algorithm
3128.  
3129.    A patent statement regarding the DSA can be found at the end of this
3130.    profile.
3131.  
3132.    The Digital Signature Algorithm (DSA) is also called the Digital
3133.    Signature Standard (DSS).  DSA was developed by the U.S. Government,
3134.    and DSA is used in conjunction with the the SHA-1 one-way hash
3135.    function.  DSA is fully described in FIPS 186 [FIPS 186].  The ASN.1
3136.    object identifiers used to identify this signature algorithm are:
3137.  
3138.            id-dsa-with-sha1 ID  ::=  {
3139.                    iso(1) member-body(2) us(840) x9-57 (10040)
3140.                    x9cm(4) 3 }
3141.  
3142.    The id-dsa-with-sha1 algorithm syntax has NULL parameters. The DSA
3143.    parameters in the subjectPublicKeyInfo field of the certificate of
3144.    the issuer shall apply to the verification of the signature.
3145.  
3146.    If the subjectPublicKeyInfo AlgorithmIdentifier field has NULL
3147.    parameters and the CA signed the subject certificate using DSA, then
3148.    the certificate issuer's parameters apply to the subject's DSA key.
3149.    If the subjectPublicKeyInfo AlgorithmIdentifier field has NULL
3150.    parameters and the CA signed the subject with a signature algorithm
3151.    other than DSA, then clients shall not validate the certificate.
3152.  
3153.    When signing, the DSA algorithm generates two values.  These values
3154.    are commonly referred to as r and s.  To easily transfer these two
3155.    values as one signature, they shall be ASN.1 encoded using the
3156.    following ASN.1 structure:
3157.  
3158.            Dss-Sig-Value  ::=  SEQUENCE  {
3159.                    r       INTEGER,
3160.                    s       INTEGER  }
3161.  
3162. 7.3  Subject Public Key Algorithms
3163.  
3164.    Certificates described by this standard may convey a public key for
3165.    any public key algorithm. The certificate indicates the algorithm
3166.    through an algorithmidentifier.  This algorithm identfieier is an OID
3167.    and optionally associated parameters.
3168.  
3169.    This section identifies preferred OIDs and parameters for the RSA,
3170.    DSA, and Diffie-Hellman algorithms.  Conforming CAs shall use the
3171.    identified OIDs when issuing certificates containing public keys for
3172.    these algorithms. Conforming applications supporting any of these
3173.    algorithms shall, at a minimum, recognize the OID identified in this
3174.    section.
3175.  
3176.  
3177.  
3178. Housley, Ford, Polk, & Solo                                    [Page 53]
3179.  
3180.  
3181.  
3182.  
3183.  
3184. INTERNET DRAFT                                              July 30 1997
3185.  
3186.  
3187. 7.3.1 RSA  Keys
3188.  
3189.    The object identifier rsaEncryption identifies RSA public keys.
3190.  
3191.         pkcs-1 OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840)
3192.                        rsadsi(113549) pkcs(1) 1 }
3193.  
3194.         rsaEncryption OBJECT IDENTIFIER ::=  { pkcs-1 1}
3195.  
3196.    The rsaEncryption object identifier is intended to be used in the
3197.    algorithm field of a value of type AlgorithmIdentifier. The
3198.    parameters field shall have ASN.1 type NULL for this algorithm
3199.    identifier.
3200.  
3201.    The rsa public key shall be encoded using the ASN.1 type
3202.    RSAPublicKey:
3203.  
3204.       RSAPublicKey ::= SEQUENCE {
3205.          modulus       INTEGER, -- n
3206.          publicExponent     INTEGER  -- e
3207.                              }
3208.  
3209.    where modulus is the modulus n, and publicExponent is the public
3210.    exponent e.  The DER encoded RSAPublicKey is  the value of the BIT
3211.    STRING subjectPubliKey.
3212.  
3213.    This object identifier is used in public key certificates for both
3214.    RSA signature keys and RSA encryption keys. The intended application
3215.    for the key may be indicated in the key usage field (see Section
3216.    4.2.1.3).  The use of a single key for both signature and encryption
3217.    purposes is not recommended, but is not forbidden.
3218.  
3219.    If the keyUsage extension is present in an end entity certificate
3220.    which conveys an RSA public key, any combination of the following
3221.    values may be present:
3222.  
3223.       digitalSignature;
3224.       nonRepudiation;
3225.       keyEncipherment; and
3226.       dataEncipherment.
3227.  
3228.    If the keyUsage extension is present in a CA certificate which
3229.    conveys an RSA public key, any combination of the following values
3230.    may be present:
3231.  
3232.       digitalSignature;
3233.       nonRepudiation;
3234.       keyEncipherment;
3235.  
3236.  
3237.  
3238. Housley, Ford, Polk, & Solo                                    [Page 54]
3239.  
3240.  
3241.  
3242.  
3243.  
3244. INTERNET DRAFT                                              July 30 1997
3245.  
3246.  
3247.       dataEncipherment;
3248.       keyCertSign; and
3249.       cRLSign.
3250.    However, this specification recommends that if keyCertSign or cRLSign
3251.    is present, both keyEncipherment and dataEncipherment should not be
3252.    present.
3253.  
3254. 7.3.2 Diffie-Hellman Key Exchange Key
3255.  
3256.    This diffie-hellman object identifier supported by this standard is
3257.    defined by ANSI X9.42.
3258.  
3259.         dhpublicnumber OBJECT IDENTIFIER ::= { iso(1) member-body(2)
3260.                   us(840) ansi-x942(10046) number-type(2) 1 }
3261.  
3262.         DHParameter ::= SEQUENCE {
3263.              prime INTEGER, -- p
3264.              base INTEGER, -- g }
3265.  
3266.    The dhpublicnumber object identifier is intended to be used in the
3267.    algorithm field of a value of type AlgorithmIdentifier. The
3268.    parameters field of that type, which has the algorithm-specific
3269.    syntax ANY DEFINED BY algorithm, would have ASN.1 type DHParameter
3270.    for this algorithm.
3271.  
3272.         DHParameter ::= SEQUENCE {
3273.           prime INTEGER, -- p
3274.           base INTEGER, -- g }
3275.  
3276.    The fields of type DHParameter have the following meanings:
3277.  
3278.       prime is the prime p.
3279.  
3280.       base is the base g.
3281.  
3282.    The Diffie-Hellman public key (an INTEGER) is mapped to a
3283.    subjectPublicKey (a BIT STRING) as follows: the most significant bit
3284.    (MSB) of the INTEGER becomes the MSB of the BIT STRING; the least
3285.    significant bit (LSB) of the INTEGER becomes the LSB of the BIT
3286.    STRING.
3287.  
3288.    If the keyUsage extension is present in a certificate which conveys a
3289.    DH public key, the following values may be present:
3290.  
3291.       keyAgreement;
3292.       encipherOnly; and
3293.       decipherOnly.
3294.  
3295.  
3296.  
3297.  
3298. Housley, Ford, Polk, & Solo                                    [Page 55]
3299.  
3300.  
3301.  
3302.  
3303.  
3304. INTERNET DRAFT                                              July 30 1997
3305.  
3306.  
3307.    At most one of encipherOnly and decipherOnly shall be asserted in
3308.    keyUsage extension.
3309.  
3310. 7.3.3 DSA Signature Keys
3311.  
3312.    The object identifier supported by this standard is
3313.  
3314.         id-dsa ID ::= { iso(1) member-body(2) us(840) x9-57(10040)
3315.                   x9cm(4) 1 }
3316.  
3317.    The id-dsa algorithm syntax includes optional parameters.  These
3318.    parameters are commonly referred to as p, q, and g.  If the DSA
3319.    algorithm parameters are absent from the subjectPublicKeyInfo
3320.    AlgorithmIdentifier and the CA signed the subject certificate using
3321.    DSA, then the certificate issuer's DSA parameters apply to the
3322.    subject's DSA key.  If the DSA algorithm parameters are absent from
3323.    the subjectPublicKeyInfo AlgorithmIdentifier and the CA signed the
3324.    subject certificate using a signature algorithm other than DSA, then
3325.    the subject's DSA parameters are distributed by other means.  The
3326.    parameters are included using the following ASN.1 structure:
3327.  
3328.         Dss-Parms  ::=  SEQUENCE  {
3329.             p             INTEGER,
3330.             q             INTEGER,
3331.             g             INTEGER  }
3332.  
3333.    If the subjectPublicKeyInfo AlgorithmIdentifier field has NULL
3334.    parameters and the CA signed the subject certificate using DSA, then
3335.    the certificate issuer's parameters apply to the subject's DSA key.
3336.    If the subjectPublicKeyInfo AlgorithmIdentifier field has NULL
3337.    parameters and the CA signed the subject with a signature algorithm
3338.    other than DSA, then clients shall not validate the certificate.
3339.  
3340.    When signing, DSA algorithm generates two values.  These values are
3341.    commonly referred to as r and s.  To easily transfer these two values
3342.    as one signature, they are ASN.1 encoded using the following ASN.1
3343.    structure:
3344.  
3345.         Dss-Sig-Value  ::=  SEQUENCE  {
3346.             r             INTEGER,
3347.             s             INTEGER  }
3348.  
3349.    The encoded signature is conveyed as the value of the BIT STRING
3350.    signature in a Certificate or CertificateList.
3351.  
3352.    The DSA public key shall be ASN.1 encoded as an INTEGER; this
3353.    encoding shall be used as the contents (i.e., the value) of the
3354.    subjectPublicKey component (a BIT STRING) of the SubjectPublicKeyInfo
3355.  
3356.  
3357.  
3358. Housley, Ford, Polk, & Solo                                    [Page 56]
3359.  
3360.  
3361.  
3362.  
3363.  
3364. INTERNET DRAFT                                              July 30 1997
3365.  
3366.  
3367.    data element.
3368.  
3369.         DSAPublicKey ::= INTEGER -- public key Y
3370.  
3371.  
3372.    If the keyUsage extension is present in an end entity certificate
3373.    which conveys a DSA public key, any combination of the following
3374.    values may be present:
3375.  
3376.       digitalSignature; and
3377.       nonRepudiation.
3378.  
3379.    If the keyUsage extension is present in an CA certificate which
3380.    conveys a DSA public key, any combination of the following values may
3381.    be present:
3382.  
3383.       digitalSignature;
3384.       nonRepudiation;
3385.       keyCertSign; and
3386.       cRLSign.
3387.  
3388. References
3389.  
3390.    [COR95]  ISO/IEC JTC 1/SC 21, Technical Corrigendum 2 to ISO/IEC
3391.             9594-8: 1990 & 1993 (1995:E), July 1995.
3392.  
3393.    [FIPS 180-1]  Federal Information Processing Standards Publication
3394.             (FIPS PUB) 180-1, Secure Hash Standard, 17 April 1995.
3395.             [Supersedes FIPS PUB 180 dated 11 May 1993.]
3396.  
3397.    [FIPS 186] Federal Information Processing Standards Publication
3398.             (FIPS PUB) 186, Digital Signature Standard, 18 May 1994.
3399.  
3400.    [PKCS#1] PKCS #1: RSA Encryption Standard, Version 1.4, RSA Data
3401.             Security, Inc., 3 June 1991.
3402.  
3403.    [RC95]   Rogier, N. and Chauvaud, P., "The compression function of
3404.             MD2 is not collision free," Presented at Selected Areas in
3405.             Cryptography '95, Carleton University, Ottawa, Canada,
3406.             18-19 May 1995.
3407.  
3408.    [RFC 791] J. Postel, "Internet Protocol", September 1981.
3409.  
3410.    [RFC 1319] Kaliski, B., "The MD2 Message-Digest Algorithm," RFC 1319,
3411.             RSA Laboratories, April 1992.
3412.  
3413.    [RFC 1422] Kent, S.,  "Privacy Enhancement for Internet Electronic
3414.             Mail: Part II: Certificate-Based Key Management," RFC
3415.  
3416.  
3417.  
3418. Housley, Ford, Polk, & Solo                                    [Page 57]
3419.  
3420.  
3421.  
3422.  
3423.  
3424. INTERNET DRAFT                                              July 30 1997
3425.  
3426.  
3427.             1422, BBN Communications, February 1993.
3428.  
3429.    [RFC 1423] Balenson, D., "Privacy Enhancement for Internet Electronic
3430.             Mail: Part III: Algorithms, Modes, and Identifiers,"
3431.             RFC 1423, Trusted Information Systems, February 1993.
3432.  
3433.    [RFC 1738] T. Berners-Lee, L. Masinter & M. McCahill, "Uniform
3434.             Resource Locators (URL)," December 1994.
3435.  
3436.    [RFC 1777] W. Yeong, T. Howes & S. Kille, "Lightweight Directory
3437.             Access Protocol," March 1995.
3438.  
3439.    [RFC 1778] T. Howes, S. Kille, W. Yeong, C. Robbins, "The String
3440.             Representation of Standard Attribute Syntaxes", March 1995.
3441.  
3442.    [RFC 1883] S. Deering, R.  Hinden, "Internet Protocol, Version 6
3443.             (IPv6)," December 1995.
3444.  
3445.    [RFC 1959] T. Howes, M. Smith, "An LDAP URL Format", RFC 1959,
3446.             June 1996.
3447.  
3448.    [SDN.701R] SDN.701, "Message Security Protocol", Revision 4.0
3449.             1996-06-07 with "Corrections to Message Security Protocol,
3450.             SDN.701, Rev 4.0, 96-06-07." August 30, 1996.
3451.  
3452.    [X.208]  CCITT Recommendation X.208: Specification of Abstract
3453.             Syntax Notation One (ASN.1), 1988.
3454.  
3455.    [X.509-AM] ISO/IEC JTC1/SC 21, Draft Amendments DAM 4 to ISO/IEC
3456.             9594-2, DAM 2 to ISO/IEC 9594-6, DAM 1 to ISO/IEC 9594-7,
3457.             and DAM 1 to ISO/IEC 9594-8 on Certificate Extensions,
3458.             1 December, 1996.
3459.  
3460.    [X9.55]  ANSI X9.55-1995, Public Key Cryptography For The Financial
3461.             Services Industry: Extensions To Public Key Certificates
3462.             And Certificate Revocation Lists, 8 December, 1995.
3463.  
3464.    [X9.57]  ANSI X9.57-199x, Public Key Cryptography For The Financial
3465.             Services Industry: Certificate Management (Working Draft),
3466.             21 June, 1996.
3467.  
3468. Patent Statements
3469.  
3470.    The Internet PKI relies on the use of patented public key technology
3471.    and secure hash technology for digital signature services.  This
3472.    specification also references public key encryption technology for
3473.    provisioning key exchange services.
3474.  
3475.  
3476.  
3477.  
3478. Housley, Ford, Polk, & Solo                                    [Page 58]
3479.  
3480.  
3481.  
3482.  
3483.  
3484. INTERNET DRAFT                                              July 30 1997
3485.  
3486.  
3487.    The Internet Standards Process as defined in RFC 1310 requires a
3488.    written statement from the Patent holder that a license will be made
3489.    available to applicants under reasonable terms and conditions prior
3490.    to approving a specification as a Proposed, Draft or Internet
3491.    Standard.
3492.  
3493.    Patent statements for DSA, RSA, and Diffie-Hellman follow.  These
3494.    statements have been supplied by the patent holders, not the authors
3495.    of this profile.
3496.  
3497.    The Internet Society, Internet Architecture Board, Internet
3498.    Engineering Steering Group and the Corporation for National Research
3499.    Initiatives take no position on the validity or scope of the
3500.    following patents and patent applications, nor on the appropriateness
3501.    of the terms of the assurance. The Internet Society and other groups
3502.    mentioned above have not made any determination as to any other
3503.    intellectual property rights which may apply to the practice of this
3504.    standard.  Any further consideration of these matters is the user's
3505.    own responsibility.
3506.  
3507.    Digital Signature Algorithm (DSA)
3508.  
3509.       The U.S. Government holds patent 5,231,668 on the Digital
3510.       Signature Algorithm (DSA), which has been incorporated into
3511.       Federal Information Processing Standard (FIPS) 186.  The patent
3512.       was issued on July 27, 1993.
3513.  
3514.       The National Institute of Standards and Technology (NIST) has a
3515.       long tradition of supplying U.S. Government-developed techniques
3516.       to committees and working groups for inclusion into standards on a
3517.       royalty-free basis.  NIST has made the DSA patent available
3518.       royalty-free to users worldwide.
3519.  
3520.       Regarding patent infringement, FIPS 186 summarizes our position;
3521.       the Department of Commerce is not aware of any patents that would
3522.       be infringed by the DSA.  Questions regarding this matter may be
3523.       directed to the Deputy Chief Counsel for NIST.
3524.  
3525.    RSA Signature and Encryption
3526.  
3527.       The Massachusetts Institute of Technology has granted RSA Data
3528.       Security, Inc., exclusive sub-licensing rights to the following
3529.       patent issued in the United States:
3530.  
3531.       Cryptographic Communications System and Method ("RSA"), No.
3532.       4,405,829
3533.  
3534.       RSA Data Security, Inc. has provided the following statement with
3535.  
3536.  
3537.  
3538. Housley, Ford, Polk, & Solo                                    [Page 59]
3539.  
3540.  
3541.  
3542.  
3543.  
3544. INTERNET DRAFT                                              July 30 1997
3545.  
3546.  
3547.       regard to this patent:
3548.  
3549.          It is our understanding that the proposed PKIX Certificate
3550.          Profile (PKIX-1) standard currently under review contemplates
3551.          the use of U.S Patent 4,405,829 entitled "Cryptographic
3552.          Communication System and Method" (the "RSA patent") which
3553.          patent is controlled by RSA.
3554.  
3555.          It is RSA's busioness practice to make licenses to its patents
3556.          available on reasonable and nondiscriminatory terms.
3557.          Accordingly, if the foregoing identified IETF standard is
3558.          adopted, RSA is willing, upon request, to grant non-exclusive
3559.          licenses to such patent on reasonable and non-discriminatory
3560.          terms and conditions to those who respect RSA's intellectual
3561.          property rights and subject to RSA's then current royalty rate
3562.          for the patent licensed. The royalty rate for the RSA patent is
3563.          presently set at 2% of the licensee's selling price for each
3564.          product covered by the patent. Any requests for license
3565.          information may be directed to:
3566.  
3567.             Director of Licensing RSA Data Security, Inc.  100 Marine
3568.             Parkway, Suite 500 Redwood City, CA 94065
3569.  
3570.          A license under RSA's patent(s) does not include any rights to
3571.          know-how or other technical information or license under other
3572.          intellectual property rights.  Such license does not extend to
3573.          any activities which constitute infringement or inducement
3574.          thereto. A licensee must make his own determination as to
3575.          whether a license is necessary under patents of others.
3576.  
3577.    Diffie-Hellman Key Agreement and Hellman-Merkle Public Key
3578.    Cryptography
3579.  
3580.       I.      Patents Relevant To Public Key Standards
3581.  
3582.       On September 6, 1995, Cylink Corporation obtained an order of
3583.       dissolution for Public Key Partners.  Cylink, through its wholly
3584.       owned subsidiary Caro-Kann Corporation, now holds exclusive
3585.       sublicensing rights to certain patents owned by Stanford
3586.       University, including the following:
3587.  
3588.          Cryptographic Apparatus and Method
3589.          ("Diffie-Hellman")......................... No. 4,200,770
3590.  
3591.          Public Key Cryptographic Apparatus
3592.          and Method ("Hellman-Merkle").............. No. 4,218,582
3593.  
3594.       These patents cover all known methods of practicing the art of
3595.  
3596.  
3597.  
3598. Housley, Ford, Polk, & Solo                                    [Page 60]
3599.  
3600.  
3601.  
3602.  
3603.  
3604. INTERNET DRAFT                                              July 30 1997
3605.  
3606.  
3607.       Public Key, including the signature techniques known as DSS and
3608.       RSA.
3609.  
3610.       II.     Cylink's Licensing Policy
3611.  
3612.       It is Cylink's policy to license the foregoing patents in
3613.       accordance with the guidelines of the American National Standards
3614.       Institute, the IEEE, and the IETF to any party interested in
3615.       practicing Public Key Technology. A copy of Cylink's standard
3616.       terms and conditions is enclosed.
3617.  
3618.       III.    Licensing Fees
3619.  
3620.       The standard terms require the payment of a single License Fee at
3621.       the time of execution.  No royalties or annual payments are
3622.       required. The current fee schedule is available on request from
3623.       Cylink, c/o Robert B. Fougner, Esq. (e-mail fougner@cylink.com).
3624.       In addition, in order to promote royalty free public key
3625.       standards, Cylink authorizes any of its existing or future
3626.       licensees to provide a royalty free reference implementation for
3627.       commercial use of any accredited standard in accordance with the
3628.       attached statement.
3629.  
3630.       Cylink Statement on Royalty Free Reference Implementations
3631.  
3632.       CYLINK'S SUPPORT FOR OPEN PUBLIC KEY STANDARDS EXISTING AND
3633.       PROSPECTIVE CYLINK LICENSEES OF THE STANFORD PUBLIC KEY PATENTS
3634.       MAY SUPPLEMENT THEIR LICENSES IN ACCORDANCE WITH THE FOLLOWING
3635.       STATEMENT:
3636.  
3637.       STATEMENT OF PATENT POSITION
3638.       Cylink Corporation, through its wholly owned subsidiary Caro-Kann
3639.       Corporation, holds exclusive sublicensing rights to the following
3640.       U.S. patents owned by the Leland Stanford Junior University:
3641.  
3642.          Cryptographic Apparatus and Method
3643.          ("Diffie-Hellman")......................... No. 4,200,770
3644.  
3645.          Public Key Cryptographic Apparatus
3646.          and Method ("Hellman-Merkle").............. No. 4,218,582
3647.  
3648.       In order to promote the widespread use of these inventions from
3649.       Stanford University and adoption of the [Name Standard] reference,
3650.       [Name of Licensee] has acquired the right under its sublicense
3651.       from Cylink to offer the [Name Standard]reference implementation
3652.       to all third parties on a royalty free basis.  This royalty free
3653.       privilege is limited to use of the [Name Standard] reference
3654.       implementation in accordance with proposed, pending or approved
3655.  
3656.  
3657.  
3658. Housley, Ford, Polk, & Solo                                    [Page 61]
3659.  
3660.  
3661.  
3662.  
3663.  
3664. INTERNET DRAFT                                              July 30 1997
3665.  
3666.  
3667.       [Name of Accredited Standards Body]standards, and applies only
3668.       when used with Diffie-Hellman key exchange, the Digital Signature
3669.       Standard, or any other public key techniques which are publicly
3670.       available for commercial use on a royalty free basis.  Any use of
3671.       the [Name Standard] reference implementation which does not
3672.       satisfy these conditions and incorporates the practice of public
3673.       key may require a separate patent license to the Stanford Patents
3674.       which must be negotiated with Cylink's subsidiary, Caro-Kann
3675.       Corporation.
3676.  
3677. Appendix A. ASN.1 Structures and OIDs
3678.  
3679.  
3680. PKIX1 DEFINITIONS IMPLICIT TAGS::=
3681.  
3682. BEGIN
3683.  
3684.  
3685. -- UNIVERSAL Types defined in '93 ASN.1
3686. -- but required by this specification
3687.  
3688. UniversalString ::= [UNIVERSAL 28] IMPLICIT OCTET STRING
3689.         -- UniversalString is defined in ASN.1:1993
3690. BMPString ::= [UNIVERSAL 30] IMPLICIT OCTET STRING
3691.         -- BMPString is the subtype of
3692.         -- UniversalString and models the Basic Multilingual Plane
3693.         -- of ISO/IEC 10646-1
3694. --
3695. -- Proposed PKIX OIDs
3696. id-pkix  OBJECT IDENTIFIER  ::=
3697.          { iso(1) identified-organization(3) dod(6) internet(1)
3698.                     security(5) mechanisms(5) pkix(7) }
3699.  
3700. -- PKIX arcs
3701. -- arc for private certificate extensions
3702. id-pe OBJECT IDENTIFIER  ::=  { id-pkix 1 }
3703.  -- arc for policy qualifier types
3704. id-qt OBJECT IDENTIFIER ::= { id-pkix 2 }
3705. -- arc for extended key purpose OIDS
3706. id-kp OBJECT IDENTIFIER ::= { id-pkix 3 }
3707. -- arc for access descriptors
3708. id-ad OBJECT IDENTIFIER ::= { id-pkix 48 }
3709.  
3710. -- pkix private extensions
3711. id-pkix-authorityInfoAccess OBJECT IDENTIFIER ::= { id-pe 1 }
3712.  
3713. -- policyQualifierIds for Internet policy qualifiers
3714. id-pkix-cps      OBJECT IDENTIFIER ::=  { id-qt 1 }
3715.  
3716.  
3717.  
3718. Housley, Ford, Polk, & Solo                                    [Page 62]
3719.  
3720.  
3721.  
3722.  
3723.  
3724. INTERNET DRAFT                                              July 30 1997
3725.  
3726.  
3727. id-pkix-unotice  OBJECT IDENTIFIER ::=  { id-qt 2 }
3728.  
3729. -- extended key purpose OIDs
3730. id-kp-serverAuth      OBJECT IDENTIFIER ::= { id-kp 1 }
3731. id-kp-clientAuth      OBJECT IDENTIFIER ::= { id-kp 2 }
3732. id-kp-codeSigning     OBJECT IDENTIFIER ::= { id-kp 3 }
3733. id-kp-emailProtection OBJECT IDENTIFIER ::= { id-kp 4 }
3734. id-kp-ipsecEndSystem  OBJECT IDENTIFIER ::= { id-kp 5 }
3735. id-kp-ipsecTunnel     OBJECT IDENTIFIER ::= { id-kp 6 }
3736. id-kp-ipsecUser       OBJECT IDENTIFIER ::= { id-kp 7 }
3737. id-kp-timeStamping    OBJECT IDENTIFIER ::= { id-kp 8 }
3738.  
3739. -- access descriptors for authority info access extension
3740. id-pkix-ocsp      OBJECT IDENTIFIER ::= { id-ad 1 }
3741. id-pkix-caIssuers OBJECT IDENTIFIER ::= { id-ad 2 }
3742.  
3743. -- attribute data types --
3744.  
3745. Attribute       ::=     SEQUENCE {
3746.         type    AttributeValue,
3747.         values  SET OF AttributeValue
3748.                 -- at least one value is required -- }
3749.  
3750. AttributeType           ::=   OBJECT IDENTIFIER
3751.  
3752. AttributeValue          ::=   ANY
3753.  
3754. AttributeTypeAndValue           ::=     SEQUENCE {
3755.         type    AttributeType,
3756.         value   AttributeValue }
3757.  
3758. AttributeValueAssertion ::=   SEQUENCE {AttributeType, AttributeValue}
3759.  
3760. -- naming data types --
3761.  
3762. Name            ::=   CHOICE { -- only one possibility for now --
3763.                                  rdnSequence  RDNSequence }
3764.  
3765. RDNSequence     ::=   SEQUENCE OF RelativeDistinguishedName
3766.  
3767. DistinguishedName       ::=   RDNSequence
3768.  
3769. RelativeDistinguishedName  ::=
3770.                         SET SIZE (1 .. MAX) OF AttributeTypeAndValue
3771.  
3772. -- Directory string type --
3773.  
3774. DirectoryString ::= CHOICE {
3775.  
3776.  
3777.  
3778. Housley, Ford, Polk, & Solo                                    [Page 63]
3779.  
3780.  
3781.  
3782.  
3783.  
3784. INTERNET DRAFT                                              July 30 1997
3785.  
3786.  
3787.         teletexString           TeletexString (SIZE (1..maxSize)),
3788.         printableString         PrintableString (SIZE (1..maxSize)),
3789.         universalString         UniversalString (SIZE (1..maxSize))
3790.                                              }
3791.  
3792. -- certificate and CRL specific structures begin here
3793.  
3794. Certificate  ::=  SEQUENCE  {
3795.      tbsCertificate       TBSCertificate,
3796.      signatureAlgorithm   AlgorithmIdentifier,
3797.      signature            BIT STRING  }
3798.  
3799. TBSCertificate  ::=  SEQUENCE  {
3800.      version         [0]  EXPLICIT Version DEFAULT v1,
3801.      serialNumber         CertificateSerialNumber,
3802.      signature            AlgorithmIdentifier,
3803.      issuer               Name,
3804.      validity             Validity,
3805.      subject              Name,
3806.      subjectPublicKeyInfo SubjectPublicKeyInfo,
3807.      issuerUniqueID  [1]  UniqueIdentifier OPTIONAL,
3808.                           -- If present, version must be v2 or v3
3809.      subjectUniqueID [2]  UniqueIdentifier OPTIONAL,
3810.                           -- If present, version must be v2 or v3
3811.      extensions      [3]  EXPLICIT Extensions OPTIONAL
3812.                           -- If present, version must be v3
3813.      }
3814.  
3815. Version  ::=  INTEGER  {  v1(0), v2(1), v3(2)  }
3816.  
3817. CertificateSerialNumber  ::=  INTEGER
3818.  
3819. Validity ::= SEQUENCE {
3820.      notBefore      CertificateValidityDate,
3821.      notAfter       CertificateValidityDate }
3822.  
3823. CertificateValidityDate ::= CHOICE {
3824.      utcTime        UTCTime,
3825.      generalTime    GeneralizedTime }
3826.  
3827. UniqueIdentifier  ::=  BIT STRING
3828.  
3829. SubjectPublicKeyInfo  ::=  SEQUENCE  {
3830.      algorithm            AlgorithmIdentifier,
3831.      subjectPublicKey     BIT STRING  }
3832.  
3833. Extensions  ::=  SEQUENCE SIZE (1..MAX) OF Extension
3834.  
3835.  
3836.  
3837.  
3838. Housley, Ford, Polk, & Solo                                    [Page 64]
3839.  
3840.  
3841.  
3842.  
3843.  
3844. INTERNET DRAFT                                              July 30 1997
3845.  
3846.  
3847. Extension  ::=  SEQUENCE  {
3848.      extnID      OBJECT IDENTIFIER,
3849.      critical    BOOLEAN DEFAULT FALSE,
3850.      extnValue   OCTET STRING  }
3851.  
3852. -- Extension ::= { {id-ce 15}, ... , keyUsage }
3853.  
3854. ID                         ::=  OBJECT IDENTIFIER
3855. joint-iso-ccitt       ID   ::=  { 2 }
3856. ds                    ID   ::=  {joint-iso-ccitt 5}
3857. id-ce                 ID   ::=  {ds 29}
3858.  
3859. AuthorityKeyIdentifier ::= SEQUENCE {
3860.       keyIdentifier             [0] KeyIdentifier            OPTIONAL,
3861.       authorityCertIssuer       [1] GeneralNames             OPTIONAL,
3862.       authorityCertSerialNumber [2] CertificateSerialNumber  OPTIONAL
3863.   }
3864.        ( WITH COMPONENTS       {..., authorityCertIssuer PRESENT,
3865.                                   authorityCertSerialNumber PRESENT} |
3866.         WITH COMPONENTS        {..., authorityCertIssuer ABSENT,
3867.                                   authorityCertSerialNumber ABSENT} )
3868.  
3869. -- authorityKeyIdentifier ::= AuthorityKeyIdentifier
3870.  
3871. KeyIdentifier ::= OCTET STRING
3872.  
3873. -- subjectKeyIdentifier ::= KeyIdentifier
3874.  
3875. KeyUsage ::= BIT STRING {
3876.      digitalSignature        (0),
3877.      nonRepudiation          (1),
3878.      keyEncipherment         (2),
3879.      dataEncipherment        (3),
3880.      keyAgreement            (4),
3881.      keyCertSign             (5),
3882.      cRLSign                 (6) }
3883.  
3884. id-ce-privateKeyUsagePeriod OBJECT IDENTIFIER ::=  { id-ce 16 }
3885.  
3886. PrivateKeyUsagePeriod ::= SEQUENCE {
3887.      notBefore       [0]     GeneralizedTime OPTIONAL,
3888.      notAfter        [1]     GeneralizedTime OPTIONAL }
3889.      ( WITH COMPONENTS       {..., notBefore PRESENT} |
3890.      WITH COMPONENTS         {..., notAfter PRESENT} )
3891.  
3892. id-ce-certificatePolicies OBJECT IDENTIFIER ::=  { id-ce 32 }
3893.  
3894. CertificatePolicies ::= SEQUENCE SIZE (1..MAX) OF PolicyInformation
3895.  
3896.  
3897.  
3898. Housley, Ford, Polk, & Solo                                    [Page 65]
3899.  
3900.  
3901.  
3902.  
3903.  
3904. INTERNET DRAFT                                              July 30 1997
3905.  
3906.  
3907.  
3908. PolicyInformation ::= SEQUENCE {
3909.      policyIdentifier   CertPolicyId,
3910.      policyQualifiers   SEQUENCE SIZE (1..MAX) OF
3911.              PolicyQualifierInfo OPTIONAL }
3912.  
3913. CertPolicyId ::= OBJECT IDENTIFIER
3914.  
3915. -- PolicyQualifierInfo ::= SEQUENCE {
3916. --       policyQualifierId  CERT-POLICY-QUALIFIER.&id
3917. --                                ({SupportedPolicyQualifiers}),
3918. --       qualifier          CERT-POLICY-QUALIFIER.&Qualifier
3919. --
3920. -- ({SupportedPolicyQualifiers}{@policyQualifierId})
3921. --                                         OPTIONAL }
3922.  
3923. -- SupportedPolicyQualifiers CERT-POLICY-QUALIFIER ::= { ... }
3924.  
3925. PolicyQualifierInfo ::= SEQUENCE {
3926.        policyQualifierId  PolicyQualifierId,
3927.        qualifier        ANY DEFINED BY policyQualifierId }
3928.  
3929. PolicyQualifierId ::= OBJECT IDENTIFIER {
3930.  
3931. id-ce-policyMappings OBJECT IDENTIFIER ::=  { id-ce 33 }
3932.  
3933. PolicyMappings ::= SEQUENCE SIZE (1..MAX) OF SEQUENCE {
3934.      issuerDomainPolicy      CertPolicyId,
3935.      subjectDomainPolicy     CertPolicyId }
3936.  
3937. id-ce-subjectAltName OBJECT IDENTIFIER ::=  { id-ce 17 }
3938.  
3939. SubjectAltName ::= GeneralNames
3940.  
3941. GeneralNames ::= SEQUENCE SIZE (1..MAX) OF GeneralName
3942.  
3943. GeneralName ::= CHOICE {
3944. -- OTHER-NAME ::= TYPE-IDENTIFIER  note: not supported in '88 ASN.1
3945.      otherName                       [0]     anotherName,
3946.      rfc822Name                      [1]     IA5String,
3947.      dNSName                         [2]     IA5String,
3948.      x400Address                     [3]     ORAddress,
3949.      directoryName                   [4]     Name,
3950.      ediPartyName                    [5]     EDIPartyName,
3951.      uniformResourceIdentifier       [6]     IA5String,
3952.      iPAddress                       [7]     OCTET STRING,
3953.      registeredID                    [8]     OBJECT IDENTIFIER }
3954.  
3955.  
3956.  
3957.  
3958. Housley, Ford, Polk, & Solo                                    [Page 66]
3959.  
3960.  
3961.  
3962.  
3963.  
3964. INTERNET DRAFT                                              July 30 1997
3965.  
3966.  
3967. anotherName ::= SEQUENCE {
3968.      type-id    OBJECT IDENTIFIER,
3969.      value      [0] EXPLICIT ANY DEFINED BY type-id
3970.      }
3971.  
3972. EDIPartyName ::= SEQUENCE {
3973.      nameAssigner            [0]     DirectoryString OPTIONAL,
3974.      partyName               [1]     DirectoryString }
3975.  
3976. id-ce-issuerAltName OBJECT IDENTIFIER ::=  { id-ce 18 }
3977.  
3978. IssuerAltName ::= GeneralNames
3979.  
3980. id-ce-subjectDirectoryAttributes OBJECT IDENTIFIER ::=  { id-ce 9 }
3981.  
3982. SubjectDirectoryAttributes ::= SEQUENCE SIZE (1..MAX) OF Attribute
3983.  
3984. id-ce-basicConstraints OBJECT IDENTIFIER ::=  { id-ce 19 }
3985.  
3986. BasicConstraints ::= SEQUENCE {
3987.      cA                      BOOLEAN DEFAULT FALSE,
3988.      pathLenConstraint       INTEGER (0..MAX) OPTIONAL }
3989.  
3990. id-ce-nameConstraints OBJECT IDENTIFIER ::=  { id-ce 30 }
3991.  
3992. NameConstraints ::= SEQUENCE {
3993.      permittedSubtrees       [0]     GeneralSubtrees OPTIONAL,
3994.      excludedSubtrees        [1]     GeneralSubtrees OPTIONAL }
3995.  
3996. GeneralSubtrees ::= SEQUENCE SIZE (1..MAX) OF GeneralSubtree
3997.  
3998. GeneralSubtree ::= SEQUENCE {
3999.      base                    GeneralName,
4000.      minimum         [0]     BaseDistance DEFAULT 0,
4001.      maximum         [1]     BaseDistance OPTIONAL }
4002.  
4003. BaseDistance ::= INTEGER (0..MAX)
4004.  
4005. id-ce-policyConstraints OBJECT IDENTIFIER ::=  { id-ce 36 }
4006.  
4007. PolicyConstraints ::= SEQUENCE SIZE (1..MAX) OF SEQUENCE {
4008.      requireExplicitPolicy           [0] SkipCerts OPTIONAL,
4009.      inhibitPolicyMapping            [1] SkipCerts OPTIONAL }
4010.  
4011. SkipCerts ::= INTEGER (0..MAX)
4012.  
4013. -- cRLDistributionPoints CRLDistPointsSyntax ::=
4014. --              SEQUENCE SIZE (1..MAX) OF DistributionPoint
4015.  
4016.  
4017.  
4018. Housley, Ford, Polk, & Solo                                    [Page 67]
4019.  
4020.  
4021.  
4022.  
4023.  
4024. INTERNET DRAFT                                              July 30 1997
4025.  
4026.  
4027. CRLDistPointsSyntax ::= SEQUENCE SIZE (1..MAX) OF DistributionPoint
4028.  
4029. DistributionPoint ::= SEQUENCE {
4030.      distributionPoint       [0]     DistributionPointName OPTIONAL,
4031.      reasons                 [1]     ReasonFlags OPTIONAL,
4032.      cRLIssuer               [2]     GeneralNames OPTIONAL }
4033.  
4034. DistributionPointName ::= CHOICE {
4035.      fullName                [0]     GeneralNames,
4036.      nameRelativeToCRLIssuer [1]     RelativeDistinguishedName }
4037.  
4038. ReasonFlags ::= BIT STRING {
4039.      unused                  (0),
4040.      keyCompromise           (1),
4041.      cACompromise            (2),
4042.      affiliationChanged      (3),
4043.      superseded              (4),
4044.      cessationOfOperation    (5),
4045.      certificateHold         (6) }
4046.  
4047. id-ce-extKeyUsage OBJECT IDENTIFIER ::= {id-ce 37}
4048.  
4049. ExtKeyUsageSyntax ::= SEQUENCE SIZE (1..MAX) OF KeyPurposeId
4050.  
4051. KeyPurposeId ::= OBJECT IDENTIFIER
4052.  
4053. id-pkix-authorityInfoAccess OBJECT-IDENTIFIER ::= { id-pe 1 }
4054.  
4055. -- authorityInfoAccess ::=  { AuthorityInfoAccessSyntax  }
4056.  
4057. AuthorityInfoAccessSyntax  ::=  SEQUENCE  {
4058.      authorityInfo     [0] SEQUENCE OF GeneralName OPTIONAL,
4059.      certStatus        [1] SEQUENCE OF GeneralName OPTIONAL }
4060.  
4061. -- CRL structures
4062.  
4063. CertificateList  ::=  SEQUENCE  {
4064.      tbsCertList          TBSCertList,
4065.      signatureAlgorithm   AlgorithmIdentifier,
4066.      signature            BIT STRING  }
4067.  
4068. TBSCertList  ::=  SEQUENCE  {
4069.      version                 Version OPTIONAL,
4070.                                   -- if present, must be v2
4071.      signature               AlgorithmIdentifier,
4072.      issuer                  Name,
4073.      thisUpdate              ChoiceOfTime,
4074.      nextUpdate              ChoiceOfTime  OPTIONAL,
4075.  
4076.  
4077.  
4078. Housley, Ford, Polk, & Solo                                    [Page 68]
4079.  
4080.  
4081.  
4082.  
4083.  
4084. INTERNET DRAFT                                              July 30 1997
4085.  
4086.  
4087.      revokedCertificates     SEQUENCE OF SEQUENCE  {
4088.           userCertificate         CertificateSerialNumber,
4089.           revocationDate          ChoiceOfTime,
4090.           crlEntryExtensions      Extensions OPTIONAL
4091.                                          -- if present, must be v2
4092.                                }  OPTIONAL,
4093.      crlExtensions           [0]  EXPLICIT Extensions OPTIONAL
4094.                                          -- if present, must be v2
4095.                                }
4096.  
4097. Version  ::= INTEGER  {  v1(0), v2(1), v3(2)  }
4098.  
4099. AlgorithmIdentifier  ::=  SEQUENCE  {
4100.      algorithm               OBJECT IDENTIFIER,
4101.      parameters              ANY DEFINED BY algorithm OPTIONAL  }
4102.                                 -- contains a value of the type
4103.                                 -- registered for use with the
4104.                                 -- algorithm object identifier value
4105.  
4106. ChoiceOfTime ::= CHOICE {
4107.      utcTime        UTCTime,
4108.      generalTime    GeneralizedTime }
4109.  
4110. CertificateSerialNumber  ::=  INTEGER
4111.  
4112. Extensions  ::=  SEQUENCE SIZE (1..MAX) OF Extension
4113.  
4114. Extension  ::=  SEQUENCE  {
4115.      extnId                  OBJECT IDENTIFIER,
4116.      critical                BOOLEAN DEFAULT FALSE,
4117.      extnValue               OCTET STRING  }
4118.                                -- contains a DER encoding of a value
4119.                                -- of the type registered for use with
4120.                                -- the extnId object identifier value
4121.  
4122. id-ce-cRLNumber OBJECT IDENTIFIER ::= { id-ce 20 }
4123.  
4124. CRLNumber ::= INTEGER (0..MAX)
4125.  
4126. id-ce-issuingDistributionPoint OBJECT IDENTIFIER ::= { id-ce 28 }
4127.  
4128. IssuingDistributionPoint ::= SEQUENCE {
4129.      distributionPoint       [0] DistributionPointName OPTIONAL,
4130.      onlyContainsUserCerts   [1] BOOLEAN DEFAULT FALSE,
4131.      onlyContainsCACerts     [2] BOOLEAN DEFAULT FALSE,
4132.      onlySomeReasons         [3] ReasonFlags OPTIONAL,
4133.      indirectCRL             [4] BOOLEAN DEFAULT FALSE }
4134.  
4135.  
4136.  
4137.  
4138. Housley, Ford, Polk, & Solo                                    [Page 69]
4139.  
4140.  
4141.  
4142.  
4143.  
4144. INTERNET DRAFT                                              July 30 1997
4145.  
4146.  
4147. id-ce-deltaCRLIndicator OBJECT IDENTIFIER ::= { id-ce 27 }
4148.  
4149. -- deltaCRLIndicator ::= BaseCRLNumber
4150.  
4151. id-ce-cRLNumber OBJECT IDENTIFIER ::= { id-ce 20 }
4152.  
4153. BaseCRLNumber ::= CRLNumber
4154.  
4155. id-ce-cRLReasons OBJECT IDENTIFIER ::= { id-ce 21 }
4156.  
4157. CRLReason ::= ENUMERATED {
4158.      unspecified             (0),
4159.      keyCompromise           (1),
4160.      cACompromise            (2),
4161.      affiliationChanged      (3),
4162.      superseded              (4),
4163.      cessationOfOperation    (5),
4164.      certificateHold         (6),
4165.      removeFromCRL           (8) }
4166.  
4167. id-ce-certificateIssuer OBJECT IDENTIFIER ::= { id-ce 29 }
4168.  
4169. certificateIssuer EXTENSION ::= GeneralNames
4170.  
4171. id-ce-holdInstructionCode OBJECT IDENTIFIER ::= { id-ce 23 }
4172.  
4173. HoldInstructionCode ::= OBJECT IDENTIFIER
4174.  
4175. -- ANSI x9 arc holdinstruction arc
4176.  
4177. member-body ID ::= { iso 2 }
4178. us ID ::= { member-body 840 }
4179. x9cm ID ::= { us 10040 }
4180. holdInstruction ID ::= {x9cm 2}
4181.  
4182. -- ANSI X9 holdinstructions referenced by this standard
4183.  
4184. id-holdinstruction-none ID ::= {holdInstruction 1}
4185. id-holdinstruction-callissuer ID ::= {holdInstruction 2}
4186. id-holdinstruction-reject ID ::= {holdInstruction 3}
4187.  
4188. id-ce-invalidityDate OBJECT IDENTIFIER ::= { id-ce 24 }
4189.  
4190. InvalidityDate ::=  GeneralizedTime
4191.  
4192. -- Algorithm structures
4193.  
4194.      md2WithRSAEncryption OBJECT IDENTIFIER  ::=  {
4195.  
4196.  
4197.  
4198. Housley, Ford, Polk, & Solo                                    [Page 70]
4199.  
4200.  
4201.  
4202.  
4203.  
4204. INTERNET DRAFT                                              July 30 1997
4205.  
4206.  
4207.          iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1)
4208.          pkcs-1(1) 2  }
4209.  
4210.      md5WithRSAEncryption OBJECT IDENTIFIER  ::=  {
4211.          iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1)
4212.          pkcs-1(1) 4  }
4213.  
4214.      sha-1WithRSAEncryption OBJECT IDENTIFIER  ::=  {
4215.          iso(1) identified-organization(3) oiw(14) secsig(3)
4216.          algorithm(2) 29  }
4217.  
4218.      id-dsa-with-sha1 ID  ::=  {
4219.                 iso(1) member-body(2) us(840) x9-57 (10040)
4220.                 x9algorithm(4) 3 }
4221.  
4222.      Dss-Sig-Value  ::=  SEQUENCE  {
4223.                 r       INTEGER,
4224.                 s       INTEGER  }
4225.  
4226.      pkcs-1 OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840)
4227.                     rsadsi(113549) pkcs(1) 1 }
4228.  
4229.      rsaEncryption OBJECT IDENTIFIER ::=  { pkcs-1 1}
4230.  
4231.      dhpublicnumber OBJECT IDENTIFIER ::= { iso(1) member-body(2)
4232.                us(840) ansi-x942(10046) 1 }
4233.  
4234.      DHParameter ::= SEQUENCE {
4235.           prime INTEGER, -- p
4236.           base INTEGER -- g
4237.                 }
4238.  
4239.      id-dsa ID ::= { iso(1) member-body(2) us(840) x9-57(10040)
4240.                 x9algorithm(4) 1 }
4241.  
4242.      Dss-Parms  ::=  SEQUENCE  {
4243.          p             INTEGER,
4244.          q             INTEGER,
4245.          g             INTEGER  }
4246.  
4247.      Dss-Sig-Value  ::=  SEQUENCE  {
4248.          r             INTEGER,
4249.          s             INTEGER  }
4250.  
4251.      id-keyEncryptionAlgorithm  OBJECT IDENTIFIER   ::=
4252.           { 2 16 840 1 101 2 1 1 22 }
4253.  
4254.      KEA-Parms-Id     ::= OCTET STRING
4255.  
4256.  
4257.  
4258. Housley, Ford, Polk, & Solo                                    [Page 71]
4259.  
4260.  
4261.  
4262.  
4263.  
4264. INTERNET DRAFT                                              July 30 1997
4265.  
4266.  
4267. id-ce-subjectKeyIdentifier OBJECT IDENTIFIER ::=  { id-ce 14 }
4268. id-ce-keyUsage OBJECT IDENTIFIER ::=  { id-ce 15 }
4269. id-ce-authorityKeyIdentifier OBJECT IDENTIFIER ::=  { id-ce 35 }
4270.  
4271. CPSuri ::= IA5String
4272.  
4273. UserNotice ::= CHOICE {
4274.   visibleString     VisibleString,
4275.   bmpString         BMPString
4276.                       }
4277.  
4278. PresentationAddress ::= SEQUENCE {
4279.         pSelector       [0] EXPLICIT OCTET STRING OPTIONAL,
4280.         sSelector       [1] EXPLICIT OCTET STRING OPTIONAL,
4281.         tSelector               [2] EXPLICIT OCTET STRING OPTIONAL,
4282.         nAddresses      [3] EXPLICIT SET SIZE (1..MAX) OF OCTET STRING}
4283.  
4284. -- x400 address syntax starts here
4285. --      OR Names
4286.  
4287. ORAddressAndOrDirectoryName ::= ORName
4288.  
4289. ORAddressAndOptionalDirectoryName ::= ORName
4290.  
4291. ORName ::= [APPLICATION 0] SEQUENCE {
4292.    -- address -- COMPONENTS OF ORAddress,
4293.    directory-name [0] Name OPTIONAL }
4294.  
4295. ORAddress ::= SEQUENCE {
4296.    built-in-standard-attributes BuiltInStandardAttributes,
4297.    built-in-domain-defined-attributes
4298.                         BuiltInDomainDefinedAttributes OPTIONAL,
4299.    -- see also teletex-domain-defined-attributes
4300.    extension-attributes ExtensionAttributes OPTIONAL }
4301. --      The OR-address is semantically absent from the OR-name if the
4302. --      built-in-standard-attribute sequence is empty and the
4303. --      built-in-domain-defined-attributes and extension-attributes are
4304. --      both omitted.
4305.  
4306. --      Built-in Standard Attributes
4307. BuiltInStandardAttributes ::= SEQUENCE {
4308.    country-name CountryName OPTIONAL,
4309.    administration-domain-name AdministrationDomainName OPTIONAL,
4310.    network-address      [0] NetworkAddress OPTIONAL,
4311.    -- see also extended-network-address
4312.    terminal-identifier  [1] TerminalIdentifier OPTIONAL,
4313.    private-domain-name  [2] PrivateDomainName OPTIONAL,
4314.    organization-name    [3] OrganizationName OPTIONAL,
4315.  
4316.  
4317.  
4318. Housley, Ford, Polk, & Solo                                    [Page 72]
4319.  
4320.  
4321.  
4322.  
4323.  
4324. INTERNET DRAFT                                              July 30 1997
4325.  
4326.  
4327.    -- see also teletex-organization-name
4328.    numeric-user-identifier      [4] NumericUserIdentifier OPTIONAL,
4329.    personal-name        [5] PersonalName OPTIONAL,
4330.    -- see also teletex-personal-name
4331.    organizational-unit-names    [6] OrganizationalUnitNames OPTIONAL
4332.    -- see also teletex-organizational-unit-names -- }
4333.  
4334. CountryName ::= [APPLICATION 1] CHOICE {
4335.    x121-dcc-code NumericString
4336.                 (SIZE (ub-country-name-numeric-length)),
4337.    iso-3166-alpha2-code PrintableString
4338.                 (SIZE (ub-country-name-alpha-length)) }
4339.  
4340. AdministrationDomainName ::= [APPLICATION 2] CHOICE {
4341.    numeric NumericString (SIZE (0..ub-domain-name-length)),
4342.    printable PrintableString (SIZE (0..ub-domain-name-length)) }
4343.  
4344. NetworkAddress ::= X121Address
4345. -- see also extended-network-address
4346.  
4347. X121Address ::= NumericString (SIZE (1..ub-x121-address-length))
4348.  
4349. TerminalIdentifier ::= PrintableString (SIZE (1..ub-terminal-id-length))
4350.  
4351. PrivateDomainName ::= CHOICE {
4352.    numeric NumericString (SIZE (1..ub-domain-name-length)),
4353.    printable PrintableString (SIZE (1..ub-domain-name-length)) }
4354.  
4355. OrganizationName ::= PrintableString
4356.                             (SIZE (1..ub-organization-name-length))
4357. -- see also teletex-organization-name
4358.  
4359. NumericUserIdentifier ::= NumericString
4360.                             (SIZE (1..ub-numeric-user-id-length))
4361.  
4362. PersonalName ::= SET {
4363.    surname [0] PrintableString (SIZE (1..ub-surname-length)),
4364.    given-name [1] PrintableString
4365.                         (SIZE (1..ub-given-name-length)) OPTIONAL,
4366.    initials [2] PrintableString (SIZE (1..ub-initials-length)) OPTIONAL,
4367.    generation-qualifier [3] PrintableString
4368.                 (SIZE (1..ub-generation-qualifier-length)) OPTIONAL}
4369. -- see also teletex-personal-name
4370.  
4371. OrganizationalUnitNames ::= SEQUENCE SIZE (1..ub-organizational-units)
4372.                                         OF OrganizationalUnitName
4373. -- see also teletex-organizational-unit-names
4374.  
4375.  
4376.  
4377.  
4378. Housley, Ford, Polk, & Solo                                    [Page 73]
4379.  
4380.  
4381.  
4382.  
4383.  
4384. INTERNET DRAFT                                              July 30 1997
4385.  
4386.  
4387. OrganizationalUnitName ::= PrintableString (SIZE
4388.                         (1..ub-organizational-unit-name-length))
4389.  
4390. --      Built-in Domain-defined Attributes
4391. BuiltInDomainDefinedAttributes ::= SEQUENCE SIZE
4392.                                 (1..ub-domain-defined-attributes) OF
4393.                                 BuiltInDomainDefinedAttribute
4394.  
4395. BuiltInDomainDefinedAttribute ::= SEQUENCE {
4396.    type PrintableString (SIZE
4397.                         (1..ub-domain-defined-attribute-type-length)),
4398.    value PrintableString (SIZE
4399.                         (1..ub-domain-defined-attribute-value-length))}
4400.  
4401. --      Extension Attributes
4402. ExtensionAttributes ::= SET SIZE (1..ub-extension-attributes) OF
4403.                         ExtensionAttribute
4404. ExtensionAttribute ::= EXTENSION-ATTRIBUTE
4405.  
4406. EXTENSION-ATTRIBUTE ::= SEQUENCE {
4407.    extension-attribute-type [0] INTEGER (0..ub-extension-attributes),
4408.    extension-attribute-value [1] ANY DEFINED BY extension-attribute-type
4409.                                 }
4410.  
4411. ExtensionAttributeTable EXTENSION-ATTRIBUTE ::= {
4412.    common-name |
4413.    teletex-common-name |
4414.    teletex-organization-name |
4415.    teletex-personal-name |
4416.    teletex-organizational-unit-names |
4417.    teletex-domain-defined-attributes |
4418.    pds-name |
4419.    physical-delivery-country-name |
4420.    postal-code |
4421.    physical-delivery-office-name |
4422.    physical-delivery-office-number |
4423.    extension-OR-address-components |
4424.    physical-delivery-personal-name |
4425.    physical-delivery-organization-name |
4426.    extension-physical-delivery-address-components |
4427.    unformatted-postal-address |
4428.    street-address |
4429.    post-office-box-address |
4430.    poste-restante-address |
4431.    unique-postal-name |
4432.    local-postal-attributes |
4433.    extended-network-address |
4434.    terminal-type }
4435.  
4436.  
4437.  
4438. Housley, Ford, Polk, & Solo                                    [Page 74]
4439.  
4440.  
4441.  
4442.  
4443.  
4444. INTERNET DRAFT                                              July 30 1997
4445.  
4446.  
4447. --      Extension Standard Attributes
4448.  
4449. common-name EXTENSION-ATTRIBUTE ::= {CommonName IDENTIFIED BY 1}
4450.  
4451. CommonName ::= PrintableString (SIZE (1..ub-common-name-length))
4452.  
4453. teletex-common-name EXTENSION-ATTRIBUTE ::=
4454.                 {TeletexCommonName IDENTIFIED BY 2}
4455.  
4456. TeletexCommonName ::= TeletexString (SIZE (1..ub-common-name-length))
4457.  
4458. teletex-organization-name EXTENSION-ATTRIBUTE ::=
4459.                 {TeletexOrganizationName IDENTIFIED BY 3}
4460.  
4461. TeletexOrganizationName ::=
4462.                 TeletexString (SIZE (1..ub-organization-name-length))
4463.  
4464. teletex-personal-name EXTENSION-ATTRIBUTE ::=
4465.                 {TeletexPersonalName IDENTIFIED BY 4}
4466.  
4467. TeletexPersonalName ::= SET {
4468.    surname [0] TeletexString (SIZE (1..ub-surname-length)),
4469.    given-name [1] TeletexString
4470.                            (SIZE (1..ub-given-name-length)) OPTIONAL,
4471.    initials [2] TeletexString (SIZE (1..ub-initials-length)) OPTIONAL,
4472.    generation-qualifier [3] TeletexString (SIZE
4473.                         (1..ub-generation-qualifier-length)) OPTIONAL }
4474.  
4475. teletex-organizational-unit-names EXTENSION-ATTRIBUTE ::=
4476.    {TeletexOrganizationalUnitNames IDENTIFIED BY 5}
4477.  
4478. TeletexOrganizationalUnitNames ::= SEQUENCE SIZE
4479.         (1..ub-organizational-units) OF TeletexOrganizationalUnitName
4480.  
4481. TeletexOrganizationalUnitName ::= TeletexString
4482.                         (SIZE (1..ub-organizational-unit-name-length))
4483.  
4484. pds-name EXTENSION-ATTRIBUTE ::= {PDSName IDENTIFIED BY 7}
4485.  
4486. PDSName ::= PrintableString (SIZE (1..ub-pds-name-length))
4487.  
4488. physical-delivery-country-name EXTENSION-ATTRIBUTE ::=
4489.    {PhysicalDeliveryCountryName IDENTIFIED BY 8}
4490.  
4491. PhysicalDeliveryCountryName ::= CHOICE {
4492.    x121-dcc-code NumericString (SIZE (ub-country-name-numeric-length)),
4493.    iso-3166-alpha2-code PrintableString
4494.                         (SIZE (ub-country-name-alpha-length)) }
4495.  
4496.  
4497.  
4498. Housley, Ford, Polk, & Solo                                    [Page 75]
4499.  
4500.  
4501.  
4502.  
4503.  
4504. INTERNET DRAFT                                              July 30 1997
4505.  
4506.  
4507. postal-code EXTENSION-ATTRIBUTE ::= {PostalCode IDENTIFIED BY 9}
4508.  
4509. PostalCode ::= CHOICE {
4510.    numeric-code NumericString (SIZE (1..ub-postal-code-length)),
4511.    printable-code PrintableString (SIZE (1..ub-postal-code-length)) }
4512.  
4513. physical-delivery-office-name EXTENSION-ATTRIBUTE ::=
4514.                         {PhysicalDeliveryOfficeName IDENTIFIED BY 10}
4515.  
4516. PhysicalDeliveryOfficeName ::= PDSParameter
4517.  
4518. physical-delivery-office-number EXTENSION-ATTRIBUTE ::=
4519.    {PhysicalDeliveryOfficeNumber IDENTIFIED BY 11}
4520.  
4521. PhysicalDeliveryOfficeNumber ::= PDSParameter
4522.  
4523. extension-OR-address-components EXTENSION-ATTRIBUTE ::=
4524.    {ExtensionORAddressComponents IDENTIFIED BY 12}
4525.  
4526. ExtensionORAddressComponents ::= PDSParameter
4527.  
4528. physical-delivery-personal-name EXTENSION-ATTRIBUTE ::=
4529.    {PhysicalDeliveryPersonalName IDENTIFIED BY 13}
4530.  
4531. PhysicalDeliveryPersonalName ::= PDSParameter
4532.  
4533. physical-delivery-organization-name EXTENSION-ATTRIBUTE ::=
4534.    {PhysicalDeliveryOrganizationName IDENTIFIED BY 14}
4535.  
4536. PhysicalDeliveryOrganizationName ::= PDSParameter
4537.  
4538. extension-physical-delivery-address-components EXTENSION-ATTRIBUTE ::=
4539.    {ExtensionPhysicalDeliveryAddressComponents IDENTIFIED BY 15}
4540.  
4541. ExtensionPhysicalDeliveryAddressComponents ::= PDSParameter
4542.  
4543. unformatted-postal-address EXTENSION-ATTRIBUTE ::=
4544.                         {UnformattedPostalAddress IDENTIFIED BY 16}
4545.  
4546. UnformattedPostalAddress ::= SET {
4547.    printable-address SEQUENCE SIZE (1..ub-pds-physical-address-lines) OF
4548.            PrintableString (SIZE (1..ub-pds-parameter-length)) OPTIONAL,
4549.    teletex-string TeletexString (SIZE
4550.                          (1..ub-unformatted-address-length)) OPTIONAL }
4551.  
4552. street-address EXTENSION-ATTRIBUTE ::=
4553.                 {StreetAddress IDENTIFIED BY 17}
4554.  
4555.  
4556.  
4557.  
4558. Housley, Ford, Polk, & Solo                                    [Page 76]
4559.  
4560.  
4561.  
4562.  
4563.  
4564. INTERNET DRAFT                                              July 30 1997
4565.  
4566.  
4567. StreetAddress ::= PDSParameter
4568.  
4569. post-office-box-address EXTENSION-ATTRIBUTE ::=
4570.                 {PostOfficeBoxAddress IDENTIFIED BY 18}
4571.  
4572. PostOfficeBoxAddress ::= PDSParameter
4573.  
4574. poste-restante-address EXTENSION-ATTRIBUTE ::=
4575.                 {PosteRestanteAddress IDENTIFIED BY 19}
4576.  
4577. PosteRestanteAddress ::= PDSParameter
4578.  
4579. unique-postal-name EXTENSION-ATTRIBUTE ::=
4580.                 {UniquePostalName IDENTIFIED BY 20}
4581.  
4582. UniquePostalName ::= PDSParameter
4583.  
4584. local-postal-attributes EXTENSION-ATTRIBUTE ::=
4585.                 {LocalPostalAttributes IDENTIFIED BY 21}
4586.  
4587. LocalPostalAttributes ::= PDSParameter
4588.  
4589. PDSParameter ::= SET {
4590.    printable-string PrintableString
4591.                 (SIZE(1..ub-pds-parameter-length)) OPTIONAL,
4592.    teletex-string TeletexString
4593.                 (sizE(1..ub-pds-parameter-length)) OPTIONAL }
4594.  
4595. extended-network-address EXTENSION-ATTRIBUTE ::=
4596.                         {ExtendedNetworkAddress IDENTIFIED BY 22}
4597.  
4598. ExtendedNetworkAddress ::= CHOICE {
4599.  
4600.    e163-4-address SEQUENCE {
4601.         number [0] NumericString (SIZE (1..ub-e163-4-number-length)),
4602.         sub-address [1] NumericString
4603.                 (SIZE (1..ub-e163-4-sub-address-length)) OPTIONAL },
4604.         psap-address [0] PresentationAddress }
4605.  
4606. terminal-type EXTENSION-ATTRIBUTE ::= {TerminalType IDENTIFIED BY 23}
4607.  
4608. TerminalType ::= INTEGER {
4609.    telex (3),
4610.    teletex (4),
4611.    g3-facsimile (5),
4612.    g4-facsimile (6),
4613.    ia5-terminal (7),
4614.    videotex (8) } (0..ub-integer-options)
4615.  
4616.  
4617.  
4618. Housley, Ford, Polk, & Solo                                    [Page 77]
4619.  
4620.  
4621.  
4622.  
4623.  
4624. INTERNET DRAFT                                              July 30 1997
4625.  
4626.  
4627. --      Extension Domain-defined Attributes
4628.  
4629. teletex-domain-defined-attributes EXTENSION-ATTRIBUTE ::=
4630.    {TeletexDomainDefinedAttributes IDENTIFIED BY 6}
4631.  
4632. TeletexDomainDefinedAttributes ::= SEQUENCE SIZE
4633.    (1..ub-domain-defined-attributes) OF TeletexDomainDefinedAttribute
4634.  
4635. TeletexDomainDefinedAttribute ::= SEQUENCE {
4636.         type TeletexString
4637.                (SIZE (1..ub-domain-defined-attribute-type-length)),
4638.         value TeletexString
4639.                (SIZE (1..ub-domain-defined-attribute-value-length)) }
4640.  
4641. --  specifications of Upper Bounds
4642. --  must be regarded as mandatory
4643. --  from Annex B of ITU-T X.411
4644. --  Reference Definition of MTS Parameter Upper Bounds
4645.  
4646. --      Upper Bounds
4647. ub-common-name-length INTEGER ::= 64
4648. ub-country-name-alpha-length INTEGER ::= 2
4649. ub-country-name-numeric-length INTEGER ::= 3
4650. ub-domain-defined-attributes INTEGER ::= 4
4651. ub-domain-defined-attribute-type-length INTEGER ::= 8
4652. ub-domain-defined-attribute-value-length INTEGER ::= 128
4653. ub-domain-name-length INTEGER ::= 16
4654. ub-extension-attributes INTEGER ::= 256
4655. ub-e163-4-number-length INTEGER ::= 15
4656. ub-e163-4-sub-address-length INTEGER ::= 40
4657. ub-generation-qualifier-length INTEGER ::= 3
4658. ub-given-name-length INTEGER ::= 16
4659. ub-initials-length INTEGER ::= 5
4660. ub-integer-options INTEGER ::= 256
4661. ub-numeric-user-id-length INTEGER ::= 32
4662. ub-organization-name-length INTEGER ::= 64
4663. ub-organizational-unit-name-length INTEGER ::= 32
4664. ub-organizational-units INTEGER ::= 4
4665. ub-pds-name-length INTEGER ::= 16
4666. ub-pds-parameter-length INTEGER ::= 30
4667. ub-pds-physical-address-lines INTEGER ::= 6
4668. ub-postal-code-length INTEGER ::= 16
4669. ub-surname-length INTEGER ::= 40
4670. ub-terminal-id-length INTEGER ::= 24
4671. ub-unformatted-address-length INTEGER ::= 180
4672. ub-x121-address-length INTEGER ::= 16
4673.  
4674. -- Note - upper bounds on TeletexString are measured in characters.
4675.  
4676.  
4677.  
4678. Housley, Ford, Polk, & Solo                                    [Page 78]
4679.  
4680.  
4681.  
4682.  
4683.  
4684. INTERNET DRAFT                                              July 30 1997
4685.  
4686.  
4687. -- A significantly greater number of octets will be required to hold
4688. -- such a value.  As a minimum, 16 octets, or twice the specified upper
4689. -- bound, whichever is the larger, should be allowed.
4690.  
4691. END
4692.  
4693. Appendix B. 1993 ASN.1 Structures and OIDs
4694.  
4695.  
4696. PKIX1 DEFINITIONS IMPLICIT TAGS::=
4697.  
4698. BEGIN
4699.  
4700. --
4701. -- Proposed PKIX OIDs
4702. id-pkix  OBJECT IDENTIFIER  ::=
4703.          { iso(1) identified-organization(3) dod(6) internet(1)
4704.                     security(5) mechanisms(5) pkix(7) }
4705.  
4706. -- PKIX arcs
4707. -- arc for private certificate extensions
4708. id-pe OBJECT IDENTIFIER  ::=  { id-pkix 1 }
4709.  -- arc for policy qualifier types
4710. id-qt OBJECT IDENTIFIER ::= { id-pkix 2 }
4711. -- arc for extended key purpose OIDS
4712. id-kp OBJECT IDENTIFIER ::= { id-pkix 3 }
4713. -- arc for access descriptors
4714. id-ad OBJECT IDENTIFIER ::= { id-pkix 48 }
4715.  
4716. -- pkix private extensions
4717. id-pkix-authorityInfoAccess OBJECT IDENTIFIER ::= { id-pe 1 }
4718.  
4719. -- policyQualifierIds for Internet policy qualifiers
4720. id-pkix-cps      OBJECT IDENTIFIER ::=  { id-qt 1 }
4721. id-pkix-unotice  OBJECT IDENTIFIER ::=  { id-qt 2 }
4722.  
4723. -- extended key purpose OIDs
4724. id-kp-serverAuth      OBJECT IDENTIFIER ::= { id-kp 1 }
4725. id-kp-clientAuth      OBJECT IDENTIFIER ::= { id-kp 2 }
4726. id-kp-codeSigning     OBJECT IDENTIFIER ::= { id-kp 3 }
4727. id-kp-emailProtection OBJECT IDENTIFIER ::= { id-kp 4 }
4728. id-kp-ipsecEndSystem  OBJECT IDENTIFIER ::= { id-kp 5 }
4729. id-kp-ipsecTunnel     OBJECT IDENTIFIER ::= { id-kp 6 }
4730. id-kp-ipsecUser       OBJECT IDENTIFIER ::= { id-kp 7 }
4731. id-kp-timeStamping    OBJECT IDENTIFIER ::= { id-kp 8 }
4732.  
4733. -- access descriptors for authority info access extension
4734. id-pkix-ocsp      OBJECT IDENTIFIER ::= { id-ad 1 }
4735.  
4736.  
4737.  
4738. Housley, Ford, Polk, & Solo                                    [Page 79]
4739.  
4740.  
4741.  
4742.  
4743.  
4744. INTERNET DRAFT                                              July 30 1997
4745.  
4746.  
4747. id-pkix-caIssuers OBJECT IDENTIFIER ::= { id-ad 2 }
4748.  
4749. -- attribute data types --
4750.  
4751. Attribute       ::=     SEQUENCE {
4752.         type    AttributeValue,
4753.         values  SET OF AttributeValue
4754.                 -- at least one value is required -- }
4755.  
4756. AttributeType           ::=     OBJECT IDENTIFIER
4757.  
4758. AttributeValue          ::=     ANY
4759.  
4760. AttributeTypeAndValue           ::=     SEQUENCE {
4761.         type    AttributeType,
4762.         value   AttributeValue }
4763.  
4764. AttributeValueAssertion ::=     SEQUENCE {AttributeType, AttributeValue}
4765.  
4766. -- naming data types --
4767.  
4768. Name            ::=     CHOICE { -- only one possibility for now --
4769.                                         rdnSequence  RDNSequence }
4770.  
4771. RDNSequence     ::=     SEQUENCE OF RelativeDistinguishedName
4772.  
4773. DistinguishedName       ::=     RDNSequence
4774.  
4775. RelativeDistinguishedName  ::=  SET SIZE (1 .. MAX) OF
4776.                                                AttributeTypeAndValue
4777.  
4778. -- Directory string type --
4779.  
4780. DirectoryString ::= CHOICE {
4781.         teletexString           TeletexString (SIZE (1..maxSize)),
4782.         printableString         PrintableString (SIZE (1..maxSize)),
4783.         universalString         UniversalString (SIZE (1..maxSize))
4784.                                              }
4785.  
4786. -- from AuthenticationFramework
4787. --    {joint-iso-ccitt ds(5) modules(1) authenticationFramework(7) 2}
4788. -- note this module was defined with EXPLICIT TAGS
4789.  
4790. -- types --
4791.  
4792.  
4793. Certificate            ::=    EXPLICIT SIGNED {SEQUENCE{
4794. version                 [0]   Version DEFAULT v1,
4795.  
4796.  
4797.  
4798. Housley, Ford, Polk, & Solo                                    [Page 80]
4799.  
4800.  
4801.  
4802.  
4803.  
4804. INTERNET DRAFT                                              July 30 1997
4805.  
4806.  
4807. serialNumber                  CertificateSerialNumber,
4808. signature                     AlgorithmIdentifier,
4809. issuer                        Name,
4810. validity                      Validity,
4811. subject                       Name,
4812. subjectPublicKeyInfo          SubjectPublicKeyInfo}
4813. issuerUniqueIdentifier  [1]   IMPLICIT UniqueIdentifier OPTIONAL,
4814.                               ---if present, version must be  v1 or v2--
4815. subjectUniqueIdentifier [2]   IMPLICIT UniqueIdentifier OPTIONAL,
4816.                               ---if present, version must be v1 or v2--
4817. extensions              [3]   Extensions Optional
4818.                               --if present, version must be v3--}  }
4819.  
4820.  
4821. Version                 ::=   INTEGER {v1(0), v2(1), v3(2) }
4822.  
4823. CertificateSerialNumber ::=     INTEGER
4824. Algorithmidentifier     ::=     SEQUENCE{
4825. algorithm               ALGORITHM.&id({SupportedAlgorithms}),
4826. parameters              ALGORITHM.&Type({SupportedAlgorithms}
4827.                                            { @algorithm}) OPTIONAL }
4828.  
4829. --      Definition of the following information object is deferred.
4830. --      SupportedAlgorithms     ALGORITHM  ::=  { ...|... }
4831.  
4832. Validity                        ::=     SEQUENCE{
4833. notBefore       ChoiceOfTime,
4834. notAfter                ChoiceOfTime }
4835.  
4836. ChoiceOfTime ::= CHOICE {
4837.         utcTime         UTCTime,
4838.         generalTime             GeneralizedTime }
4839.  
4840. SubjectPublicKeyInfo    ::=     SEQUENCE{
4841. algorithm                       AlgorithmIdentifier,
4842. subjectPublicKey        BIT STRING}
4843.  
4844. Extensions        ::=   SEQUENCE SIZE (1..MAX) OF Extension
4845.  
4846. Extension         ::=   SEQUENCE {
4847. extnId            EXTENSION.&id ({ExtensionSet}),
4848. critical          BOOLEAN DEFAULT FALSE,
4849. extnValue         OCTET STRING
4850.                 -- contains a DER encoding of a value of type
4851.                 -- &ExtnType for the
4852.                 -- extension object identified by extnId --
4853.  
4854. -- Definition of the following information object set is deferred,
4855.  
4856.  
4857.  
4858. Housley, Ford, Polk, & Solo                                    [Page 81]
4859.  
4860.  
4861.  
4862.  
4863.  
4864. INTERNET DRAFT                                              July 30 1997
4865.  
4866.  
4867. -- The set is required to specify a table constraint on the critical
4868. -- component of Extension.
4869. --      ExtensionSet    EXTENSION       ::=     { ... | ... }
4870.  
4871. EXTENSION       ::=     CLASS
4872. {
4873. &id             OBJECT IDENTIFIER UNIQUE,
4874. &ExtnType
4875. }
4876. WITH SYNTAX
4877. {
4878. SYNTAX          &ExtnType
4879. IDENTIFIED BY   &id
4880. }
4881.  
4882.  
4883. CertificateList ::=    EXPLICIT SIGNED { SEQUENCE {
4884. version                Version  OPTIONAL, -- if present, must be v2
4885. signature              AlgorithmIdentifier,
4886. issuer                 Name,
4887. thisUpdate             ChoiceOfTime,
4888. nextUpdate             ChoiceOfTime OPTIONAL,
4889. revokedCertificates    SEQUENCE OF SEQUENCE {
4890. userCertificate        CertificateSerialNumber,
4891. revocationDate         ChoiceOfTime,
4892. crlEntryExtensions     Extensions OPTIONAL } OPTIONAL,
4893. crlExtensions          [0]      Extensions OPTIONAL }}
4894.  
4895.  
4896. -- information object classes --
4897.  
4898. ALGORITHM       ::=     TYPE-IDENTIFIER
4899.  
4900. -- Parameterized Types --
4901. HASHED {ToBeHashed}     ::=     OCTET STRING ( CONSTRAINED-BY {
4902.     --must be the result of applying a hashing procedure to the --
4903.     --DER-encoded octets of a value of -- ToBeHashed })
4904.  
4905. ENCRYPTED { ToBeEnciphered}     :=      BIT STRING ( CONSTRAINED BY {
4906.     --must be the result of applying an encipherment procedure to the --
4907.     --BER-encoded octets of a value of -- ToBeEnciphered })
4908.  
4909. SIGNED { ToBeSigned }   ::=     SEQUENCE{
4910.         ToBeSigned,
4911.         COMPONENTS OF SIGNATURE { ToBeSigned }),
4912.  
4913. SIGNATURE { OfSignature }       ::=     SEQUENCE {
4914.         AlgorithmIdentifier,
4915.  
4916.  
4917.  
4918. Housley, Ford, Polk, & Solo                                    [Page 82]
4919.  
4920.  
4921.  
4922.  
4923.  
4924. INTERNET DRAFT                                              July 30 1997
4925.  
4926.  
4927.         ENCRYPTED { HASHED { OfSignature }}}
4928.  
4929. -- Key and policy information extensions --
4930.  
4931. authorityKeyIdentifier EXTENSION ::= {
4932.         SYNTAX          AuthorityKeyIdentifier
4933.         IDENTIFIED BY   { id-ce 35 } }
4934.  
4935. AuthorityKeyIdentifier ::= SEQUENCE {
4936.     keyIdentifier               [0] KeyIdentifier            OPTIONAL,
4937.     authorityCertIssuer         [1] GeneralNames             OPTIONAL,
4938.     authorityCertSerialNumber   [2] CertificateSerialNumber  OPTIONAL }
4939.         ( WITH COMPONENTS       {..., authorityCertIssuer PRESENT,
4940.                                 authorityCertSerialNumber PRESENT} |
4941.          WITH COMPONENTS        {..., authorityCertIssuer ABSENT,
4942.                                 authorityCertSerialNumber ABSENT} )
4943.  
4944. KeyIdentifier ::= OCTET STRING
4945.  
4946. subjectKeyIdentifier EXTENSION ::= {
4947.         SYNTAX          SubjectKeyIdentifier
4948.         IDENTIFIED BY   { id-ce 14 } }
4949.  
4950. SubjectKeyIdentifier ::= KeyIdentifier
4951.  
4952. keyUsage EXTENSION ::= {
4953.         SYNTAX  KeyUsage
4954.         IDENTIFIED BY { id-ce 15 } }
4955.  
4956. KeyUsage ::= BIT STRING {
4957.         digitalSignature     (0),
4958.         nonRepudiation       (1),
4959.         keyEncipherment      (2),
4960.         dataEncipherment     (3),
4961.         keyAgreement         (4),
4962.         keyCertSign          (5),
4963.         cRLSign              (6) }
4964.  
4965. privateKeyUsagePeriod EXTENSION ::= {
4966.         SYNTAX  PrivateKeyUsagePeriod
4967.         IDENTIFIED BY { id-ce 16 } }
4968.  
4969. PrivateKeyUsagePeriod ::= SEQUENCE {
4970.         notBefore       [0]     GeneralizedTime OPTIONAL,
4971.         notAfter        [1]     GeneralizedTime OPTIONAL }
4972.         ( WITH COMPONENTS       {..., notBefore PRESENT} |
4973.         WITH COMPONENTS         {..., notAfter PRESENT} )
4974.  
4975.  
4976.  
4977.  
4978. Housley, Ford, Polk, & Solo                                    [Page 83]
4979.  
4980.  
4981.  
4982.  
4983.  
4984. INTERNET DRAFT                                              July 30 1997
4985.  
4986.  
4987. certificatePolicies EXTENSION ::= {
4988.         SYNTAX  CertificatePoliciesSyntax
4989.         IDENTIFIED BY { id-ce 32 } }
4990.  
4991. CertificatePoliciesSyntax ::=
4992.                 SEQUENCE SIZE (1..MAX) OF PolicyInformation
4993.  
4994. PolicyInformation ::= SEQUENCE {
4995.         policyIdentifier   CertPolicyId,
4996.         policyQualifiers   SEQUENCE SIZE (1..MAX) OF
4997.                 PolicyQualifierInfo OPTIONAL }
4998.  
4999. CertPolicyId ::= OBJECT IDENTIFIER
5000.  
5001. PolicyQualifierInfo ::= SEQUENCE {
5002.         policyQualifierId       CERT-POLICY-QUALIFIER.&id
5003.                                     ({SupportedPolicyQualifiers}),
5004.         qualifier               CERT-POLICY-QUALIFIER.&Qualifier
5005.                                     ({SupportedPolicyQualifiers}
5006.                                     {@policyQualifierId})OPTIONAL }
5007.  
5008. SupportedPolicyQualifiers CERT-POLICY-QUALIFIER ::= { ... }
5009.  
5010. CERT-POLICY-QUALIFIER ::= CLASS {
5011.         &id             OBJECT IDENTIFIER UNIQUE,
5012.         &Qualifier      OPTIONAL }
5013. WITH SYNTAX {
5014.         POLICY-QUALIFIER-ID     &id
5015.         [QUALIFIER-TYPE &Qualifier] }
5016.  
5017. policyMappings EXTENSION ::= {
5018.         SYNTAX  PolicyMappingsSyntax
5019.         IDENTIFIED BY { id-ce 33 } }
5020.  
5021. PolicyMappingsSyntax ::= SEQUENCE SIZE (1..MAX) OF SEQUENCE {
5022.         issuerDomainPolicy           CertPolicyId,
5023.         subjectDomainPolicy          CertPolicyId }
5024.  
5025. supportedAlgorithms ATTRIBUTE ::= {
5026.         WITH SYNTAX SupportedAlgorithm
5027.         EQUALITY MATCHING RULE algorithmIdentifierMatch
5028.         ID { id-at 52 } }
5029.  
5030. SupportedAlgorithm ::= SEQUENCE {
5031.    algorithmIdentifier         AlgorithmIdentifier,
5032.    intendedUsage               [0]  KeyUsage OPTIONAL,
5033.    intendedCertificatePolicies [1]  CertificatePoliciesSyntax OPTIONAL }
5034.  
5035.  
5036.  
5037.  
5038. Housley, Ford, Polk, & Solo                                    [Page 84]
5039.  
5040.  
5041.  
5042.  
5043.  
5044. INTERNET DRAFT                                              July 30 1997
5045.  
5046.  
5047. -- Certificate subject and certificate issuer attributes extensions --
5048.  
5049. subjectAltName EXTENSION ::= {
5050.         SYNTAX  GeneralNames
5051.         IDENTIFIED BY { id-ce 17 } }
5052.  
5053. GeneralNames ::= SEQUENCE SIZE (1..MAX) OF GeneralName
5054.  
5055. GeneralName ::= CHOICE {
5056.         otherName                   [0] INSTANCE OF OTHER-NAME,
5057.         rfc822Name                  [1] IA5String,
5058.         dNSName                     [2] IA5String,
5059.         x400Address                 [3] ORAddress,
5060.         directoryName               [4] Name,
5061.         ediPartyName                [5] EDIPartyName,
5062.         uniformResourceIdentifier   [6] IA5String,
5063.         iPAddress                   [7] OCTET STRING,
5064.         registeredID                [8] OBJECT IDENTIFIER }
5065.  
5066. OTHER-NAME ::= TYPE-IDENTIFIER
5067.  
5068. EDIPartyName ::= SEQUENCE {
5069.         nameAssigner        [0] DirectoryString {ub-name} OPTIONAL,
5070.         partyName           [1] DirectoryString {ub-name} }
5071.  
5072. issuerAltName EXTENSION ::= {
5073.         SYNTAX  GeneralNames
5074.         IDENTIFIED BY { id-ce 18 } }
5075.  
5076. subjectDirectoryAttributes EXTENSION ::= {
5077.         SYNTAX  AttributesSyntax
5078.         IDENTIFIED BY { id-ce 9 } }
5079.  
5080. AttributesSyntax ::= SEQUENCE SIZE (1..MAX) OF Attribute
5081.  
5082.  
5083. -- Certification path constraints extensions --
5084.  
5085. basicConstraints EXTENSION ::= {
5086.         SYNTAX  BasicConstraintsSyntax
5087.         IDENTIFIED BY { id-ce 19 } }
5088.  
5089. BasicConstraintsSyntax ::= SEQUENCE {
5090.         cA                      BOOLEAN DEFAULT FALSE,
5091.         pathLenConstraint       INTEGER (0..MAX) OPTIONAL }
5092.  
5093. nameConstraints EXTENSION ::= {
5094.         SYNTAX  NameConstraintsSyntax
5095.  
5096.  
5097.  
5098. Housley, Ford, Polk, & Solo                                    [Page 85]
5099.  
5100.  
5101.  
5102.  
5103.  
5104. INTERNET DRAFT                                              July 30 1997
5105.  
5106.  
5107.         IDENTIFIED BY { id-ce 30 } }
5108.  
5109. NameConstraintsSyntax ::= SEQUENCE {
5110.         permittedSubtrees       [0]     GeneralSubtrees OPTIONAL,
5111.         excludedSubtrees        [1]     GeneralSubtrees OPTIONAL }
5112.  
5113. GeneralSubtrees ::= SEQUENCE SIZE (1..MAX) OF GeneralSubtree
5114.  
5115. GeneralSubtree ::= SEQUENCE {
5116.         base                    GeneralName,
5117.         minimum         [0]     BaseDistance DEFAULT 0,
5118.         maximum         [1]     BaseDistance OPTIONAL }
5119.  
5120. BaseDistance ::= INTEGER (0..MAX)
5121.  
5122. policyConstraints EXTENSION ::= {
5123.         SYNTAX  PolicyConstraintsSyntax
5124.         IDENTIFIED BY { id-ce 36 } }
5125.  
5126. PolicyConstraints Syntax ::= SEQUENCE SIZE (1..MAX) OF SEQUENCE {
5127.         requireExplicitPolicy   [0] SkipCerts OPTIONAL,
5128.         inhibitPolicyMapping    [1] SkipCerts OPTIONAL }
5129.  
5130. SkipCerts ::= INTEGER (0..MAX)
5131.  
5132. CertPolicySet ::= SEQUENCE SIZE (1..MAX) OF CertPolicyId
5133.  
5134. -- Basic CRL extensions --
5135.  
5136. cRLNumber EXTENSION ::= {
5137.         SYNTAX  CRLNumber
5138.         IDENTIFIED BY { id-ce 20 } }
5139.  
5140. CRLNumber ::= INTEGER (0..MAX)
5141.  
5142. reasonCode EXTENSION ::= {
5143.         SYNTAX  CRLReason
5144.         IDENTIFIED BY { id-ce 21 } }
5145.  
5146. CRLReason ::= ENUMERATED {
5147.         unspecified                     (0),
5148.         keyCompromise           (1),
5149.         cACompromise            (2),
5150.         affiliationChanged              (3),
5151.         superseded                      (4),
5152.         cessationOfOperation            (5),
5153.         certificateHold                 (6),
5154.         removeFromCRL           (8) }
5155.  
5156.  
5157.  
5158. Housley, Ford, Polk, & Solo                                    [Page 86]
5159.  
5160.  
5161.  
5162.  
5163.  
5164. INTERNET DRAFT                                              July 30 1997
5165.  
5166.  
5167. instructionCode EXTENSION ::= {
5168.         SYNTAX  HoldInstruction
5169.         IDENTIFIED BY { id-ce 23 } }
5170.  
5171. HoldInstruction ::= OBJECT IDENTIFIER
5172.  
5173. invalidityDate EXTENSION ::= {
5174.         SYNTAX  GeneralizedTime
5175.         IDENTIFIED BY { id-ce 24 } }
5176.  
5177.  
5178. -- CRL distribution points and delta-CRL extensions --
5179.  
5180. cRLDistributionPoints EXTENSION ::= {
5181.         SYNTAX  CRLDistPointsSyntax
5182.         IDENTIFIED BY   { id-ce 31 } }
5183.  
5184. CRLDistPointsSyntax ::= SEQUENCE SIZE (1..MAX) OF DistributionPoint
5185.  
5186. DistributionPoint ::= SEQUENCE {
5187.         distributionPoint       [0]     DistributionPointName OPTIONAL,
5188.         reasons         [1]     ReasonFlags OPTIONAL,
5189.         cRLIssuer               [2]     GeneralNames OPTIONAL }
5190.  
5191. DistributionPointName ::= CHOICE {
5192.         fullName                [0]     GeneralNames,
5193.         nameRelativeToCRLIssuer [1]     RelativeDistinguishedName }
5194.  
5195. ReasonFlags ::= BIT STRING {
5196.         unused                  (0),
5197.         keyCompromise           (1),
5198.         caCompromise            (2),
5199.         affiliationChanged      (3),
5200.         superseded              (4),
5201.         cessationOfOperation    (5),
5202.         certificateHold         (6) }
5203.  
5204. issuingDistributionPoint EXTENSION ::= {
5205.         SYNTAX  IssuingDistPointSyntax
5206.         IDENTIFIED BY   { id-ce 28 } }
5207.  
5208. IssuingDistPointSyntax ::= SEQUENCE {
5209.         distributionPoint       [0] DistributionPointName OPTIONAL,
5210.         onlyContainsUserCerts   [1] BOOLEAN DEFAULT FALSE,
5211.         onlyContainsCACerts     [2] BOOLEAN DEFAULT FALSE,
5212.         onlySomeReasons         [3] ReasonFlags OPTIONAL,
5213.         indirectCRL             [4] BOOLEAN DEFAULT FALSE }
5214.  
5215.  
5216.  
5217.  
5218. Housley, Ford, Polk, & Solo                                    [Page 87]
5219.  
5220.  
5221.  
5222.  
5223.  
5224. INTERNET DRAFT                                              July 30 1997
5225.  
5226.  
5227. certificateIssuer EXTENSION ::= {
5228.         SYNTAX          GeneralNames
5229.         IDENTIFIED BY           { id-ce 29 } }
5230.  
5231. deltaCRLIndicator EXTENSION ::= {
5232.         SYNTAX          BaseCRLNumber
5233.         IDENTIFIED BY   { id-ce 27 } }
5234.  
5235. BaseCRLNumber ::= CRLNumber
5236.  
5237. deltaRevocationList ATTRIBUTE ::= {
5238.         WITH SYNTAX     CertificateList
5239.         EQUALITY MATCHING RULE certificateListExactMatch
5240.         ID      {id-at 53 } }
5241.  
5242.  
5243. -- Object identifier assignments --
5244.  
5245. id-ce-subjectDirectoryAttributes OBJECT IDENTIFIER  ::= {id-ce 9}
5246. id-ce-subjectKeyIdentifier       OBJECT IDENTIFIER  ::= {id-ce 14}
5247. id-ce-keyUsage          OBJECT IDENTIFIER       ::=     {id-ce 15}
5248. id-ce-privateKeyUsagePeriod     OBJECT IDENTIFIER  ::=  {id-ce 16}
5249. id-ce-subjectAltName    OBJECT IDENTIFIER       ::=     {id-ce 17}
5250. id-ce-issuerAltName     OBJECT IDENTIFIER       ::=     {id-ce 18}
5251. id-ce-basicConstraints  OBJECT IDENTIFIER       ::=     {id-ce 19}
5252. id-ce-cRLNumber         OBJECT IDENTIFIER       ::=     {id-ce 20}
5253. id-ce-reasonCode        OBJECT IDENTIFIER       ::=     {id-ce 21}
5254. id-ce-instructionCode   OBJECT IDENTIFIER       ::=     {id-ce 23}
5255. id-ce-invalidityDate    OBJECT IDENTIFIER       ::=     {id-ce 24}
5256. id-ce-deltaCRLIndicator OBJECT IDENTIFIER       ::=     {id-ce 27}
5257. id-ce-issuingDistributionPoint  OBJECT IDENTIFIER  ::=  {id-ce 28}
5258. id-ce-certificateIssuer OBJECT IDENTIFIER       ::=     {id-ce 29}
5259. id-ce-nameConstraints   OBJECT IDENTIFIER       ::=     {id-ce 30}
5260. id-ce-cRLDistributionPoints     OBJECT IDENTIFIER  ::=  {id-ce 31}
5261. id-ce-certificatePolicies       OBJECT IDENTIFIER  ::=  {id-ce 32}
5262. id-ce-policyMappings    OBJECT IDENTIFIER       ::=     {id-ce 33}
5263. id-ce-policyConstraints OBJECT IDENTIFIER       ::=     {id-ce 34}
5264. id-ce-authorityKeyIdentifier    OBJECT IDENTIFIER  ::=  {id-ce 35}
5265.  
5266. -- PKIX 1 extensions
5267.  
5268. id-pkix-authorityInfoAccess OBJECT-IDENTIFIER ::= { id-pe 1 }
5269.  
5270. -- authorityInfoAccess ::=  { AuthorityInfoAccessSyntax  }
5271.  
5272. AuthorityInfoAccessSyntax  ::=  SEQUENCE  {
5273.      authorityInfo     [0] SEQUENCE OF GeneralName OPTIONAL,
5274.      certStatus        [1] SEQUENCE OF GeneralName OPTIONAL }
5275.  
5276.  
5277.  
5278. Housley, Ford, Polk, & Solo                                    [Page 88]
5279.  
5280.  
5281.  
5282.  
5283.  
5284. INTERNET DRAFT                                              July 30 1997
5285.  
5286.  
5287.  
5288. CPSuri ::= IA5String
5289.  
5290. UserNotice ::= CHOICE {
5291.   visibleString     VisibleString,
5292.   bmpString         BMPString
5293.                       }
5294.  
5295. -- misc missing ASN.1
5296.  
5297. PresentationAddress ::= SEQUENCE {
5298.         pSelector       [0] EXPLICIT OCTET STRING OPTIONAL,
5299.         sSelector       [1] EXPLICIT OCTET STRING OPTIONAL,
5300.         tSelector       [2] EXPLICIT OCTET STRING OPTIONAL,
5301.         nAddresses      [3] EXPLICIT SET SIZE (1..MAX) OF OCTET STRING}
5302.  
5303.  
5304. -- The following OBJECT IDENTIFIERS are not used by this specification:
5305. -- {id-ce 2}, {id-ce 3}, {id-ce 4}, {id-ce 5}, {id-ce 6}, {id-ce 7},
5306. -- {id-ce 8}, {id-ce 10}, {id-ce 11}, {id-ce 12}, {id-ce 13},
5307. -- {id-ce 22}, {id-ce 25}, {id-ce 26}
5308.  
5309. -- X.400, Algorithm Identifier, and maximum values Module
5310.  
5311. ORAddressAndOrDirectoryName ::= ORName
5312.  
5313. ORAddressAndOptionalDirectoryName ::= ORName
5314.  
5315. ORName ::= [APPLICATION 0] SEQUENCE {
5316.    -- address -- COMPONENTS OF ORAddress,
5317.    directory-name [0] Name OPTIONAL }
5318.  
5319. ORAddress ::= SEQUENCE {
5320.    built-in-standard-attributes BuiltInStandardAttributes,
5321.    built-in-domain-defined-attributes
5322.                         BuiltInDomainDefinedAttributes OPTIONAL,
5323.    -- see also teletex-domain-defined-attributes
5324.    extension-attributes ExtensionAttributes OPTIONAL }
5325.  
5326. --  The OR-address is semantically absent from the OR-name if the
5327. --  built-in-standard-attribute sequence is empty and the
5328. --  built-in-domain-defined-attributes and extension-attributes are
5329. --  both omitted.
5330.  
5331. --      Built-in Standard Attributes
5332.  
5333. BuiltInStandardAttributes ::= SEQUENCE {
5334.    country-name CountryName OPTIONAL,
5335.  
5336.  
5337.  
5338. Housley, Ford, Polk, & Solo                                    [Page 89]
5339.  
5340.  
5341.  
5342.  
5343.  
5344. INTERNET DRAFT                                              July 30 1997
5345.  
5346.  
5347.    administration-domain-name AdministrationDomainName OPTIONAL,
5348.    network-address      [0] NetworkAddress OPTIONAL,
5349.    -- see also extended-network-address
5350.    terminal-identifier  [1] TerminalIdentifier OPTIONAL,
5351.    private-domain-name  [2] PrivateDomainName OPTIONAL,
5352.    organization-name    [3] OrganizationName OPTIONAL,
5353.    -- see also teletex-organization-name
5354.    numeric-user-identifier      [4] NumericUserIdentifier OPTIONAL,
5355.    personal-name        [5] PersonalName OPTIONAL,
5356.    -- see also teletex-personal-name
5357.    organizational-unit-names    [6] OrganizationalUnitNames OPTIONAL
5358.    -- see also teletex-organizational-unit-names -- }
5359.  
5360. CountryName ::= [APPLICATION 1] CHOICE {
5361.    x121-dcc-code NumericString
5362.                 (SIZE (ub-country-name-numeric-length)),
5363.    iso-3166-alpha2-code PrintableString
5364.                 (SIZE (ub-country-name-alpha-length)) }
5365.  
5366. AdministrationDomainName ::= [APPLICATION 2] CHOICE {
5367.    numeric NumericString (SIZE (0..ub-domain-name-length)),
5368.    printable PrintableString (SIZE (0..ub-domain-name-length)) }
5369.  
5370. NetworkAddress ::= X121Address
5371. -- see also extended-network-address
5372.  
5373. X121Address ::= NumericString (SIZE (1..ub-x121-address-length))
5374.  
5375. TerminalIdentifier ::= PrintableString (SIZE (1..ub-terminal-id-length))
5376.  
5377. PrivateDomainName ::= CHOICE {
5378.    numeric NumericString (SIZE (1..ub-domain-name-length)),
5379.    printable PrintableString (SIZE (1..ub-domain-name-length)) }
5380.  
5381. OrganizationName ::= PrintableString
5382.                            (SIZE (1..ub-organization-name-length))
5383. -- see also teletex-organization-name
5384.  
5385. NumericUserIdentifier ::= NumericString
5386.                              (SIZE (1..ub-numeric-user-id-length))
5387.  
5388. PersonalName ::= SET {
5389.    surname    [0] PrintableString (SIZE (1..ub-surname-length)),
5390.    given-name [1] PrintableString
5391.                         (SIZE (1..ub-given-name-length)) OPTIONAL,
5392.    initials   [2] PrintableString
5393.                         (SIZE (1..ub-initials-length)) OPTIONAL,
5394.    generation-qualifier [3] PrintableString
5395.  
5396.  
5397.  
5398. Housley, Ford, Polk, & Solo                                    [Page 90]
5399.  
5400.  
5401.  
5402.  
5403.  
5404. INTERNET DRAFT                                              July 30 1997
5405.  
5406.  
5407.                 (SIZE (1..ub-generation-qualifier-length)) OPTIONAL}
5408. -- see also teletex-personal-name
5409.  
5410. OrganizationalUnitNames ::= SEQUENCE SIZE (1..ub-organizational-units)
5411.                                         OF OrganizationalUnitName
5412. -- see also teletex-organizational-unit-names
5413.  
5414. OrganizationalUnitName ::= PrintableString (SIZE
5415.                         (1..ub-organizational-unit-name-length))
5416.  
5417. --      Built-in Domain-defined Attributes
5418. BuiltInDomainDefinedAttributes ::= SEQUENCE SIZE
5419.                                 (1..ub-domain-defined-attributes) OF
5420.                                 BuiltInDomainDefinedAttribute
5421.  
5422. BuiltInDomainDefinedAttribute ::= SEQUENCE {
5423.    type PrintableString (SIZE
5424.                 (1..ub-domain-defined-attribute-type-length)),
5425.    value PrintableString (SIZE
5426.                 (1..ub-domain-defined-attribute-value-length)) }
5427.  
5428. --      Extension Attributes
5429.  
5430. ExtensionAttributes ::= SET SIZE (1..ub-extension-attributes)
5431.                                         OF ExtensionAttribute
5432. ExtensionAttribute ::= SEQUENCE {
5433.         extension-attribute-type [0] EXTENSION-ATTRIBUTE.&id
5434.                                         ({ExtensionAttributeTable}),
5435.         extension-attribute-value [1] EXTENSION-ATTRIBUTE.&Type
5436.              ({ExtensionAttributeTable} {@extension-attribute-type}) }
5437.  
5438. EXTENSION-ATTRIBUTE ::= CLASS {
5439.         &id     INTEGER (0..ub-extension-attributes) UNIQUE,
5440.         &Type }
5441. WITH SYNTAX {&Type IDENTIFIED BY &id}
5442.  
5443. ExtensionAttributeTable EXTENSION-ATTRIBUTE ::= {
5444.         common-name |
5445.         teletex-common-name |
5446.         teletex-organization-name |
5447.         teletex-personal-name |
5448.         teletex-organizational-unit-names |
5449.         teletex-domain-defined-attributes |
5450.         pds-name |
5451.         physical-delivery-country-name |
5452.         postal-code |
5453.         physical-delivery-office-name |
5454.         physical-delivery-office-number |
5455.  
5456.  
5457.  
5458. Housley, Ford, Polk, & Solo                                    [Page 91]
5459.  
5460.  
5461.  
5462.  
5463.  
5464. INTERNET DRAFT                                              July 30 1997
5465.  
5466.  
5467.         extension-OR-address-components |
5468.         physical-delivery-personal-name |
5469.         physical-delivery-organization-name |
5470.         extension-physical-delivery-address-components |
5471.         unformatted-postal-address |
5472.         street-address |
5473.         post-office-box-address |
5474.         poste-restante-address |
5475.         unique-postal-name |
5476.         local-postal-attributes |
5477.         extended-network-address |
5478.         terminal-type }
5479.  
5480. --      Extension Standard Attributes
5481.  
5482. common-name EXTENSION-ATTRIBUTE ::= {CommonName IDENTIFIED BY 1}
5483.  
5484. CommonName ::= PrintableString (SIZE (1..ub-common-name-length))
5485.  
5486. teletex-common-name EXTENSION-ATTRIBUTE ::=
5487.                 {TeletexCommonName IDENTIFIED BY 2}
5488.  
5489. TeletexCommonName ::= TeletexString (SIZE (1..ub-common-name-length))
5490.  
5491. teletex-organization-name EXTENSION-ATTRIBUTE ::=
5492.                 {TeletexOrganizationName IDENTIFIED BY 3}
5493.  
5494. TeletexOrganizationName ::=
5495.                 TeletexString (SIZE (1..ub-organization-name-length))
5496.  
5497. teletex-personal-name EXTENSION-ATTRIBUTE ::=
5498.                 {TeletexPersonalName IDENTIFIED BY 4}
5499.  
5500. TeletexPersonalName ::= SET {
5501.    surname [0] TeletexString (SIZE (1..ub-surname-length)),
5502.    given-name [1] TeletexString
5503.                 (SIZE (1..ub-given-name-length)) OPTIONAL,
5504.    initials [2] TeletexString (SIZE (1..ub-initials-length)) OPTIONAL,
5505.    generation-qualifier [3] TeletexString (SIZE
5506.                 (1..ub-generation-qualifier-length)) OPTIONAL }
5507.  
5508. teletex-organizational-unit-names EXTENSION-ATTRIBUTE ::=
5509.    {TeletexOrganizationalUnitNames IDENTIFIED BY 5}
5510.  
5511. TeletexOrganizationalUnitNames ::= SEQUENCE SIZE
5512.         (1..ub-organizational-units) OF TeletexOrganizationalUnitName
5513.  
5514. TeletexOrganizationalUnitName ::= TeletexString
5515.  
5516.  
5517.  
5518. Housley, Ford, Polk, & Solo                                    [Page 92]
5519.  
5520.  
5521.  
5522.  
5523.  
5524. INTERNET DRAFT                                              July 30 1997
5525.  
5526.  
5527.                         (SIZE (1..ub-organizational-unit-name-length))
5528.  
5529. pds-name EXTENSION-ATTRIBUTE ::= {PDSName IDENTIFIED BY 7}
5530.  
5531. PDSName ::= PrintableString (SIZE (1..ub-pds-name-length))
5532.  
5533. physical-delivery-country-name EXTENSION-ATTRIBUTE ::=
5534.    {PhysicalDeliveryCountryName IDENTIFIED BY 8}
5535.  
5536. PhysicalDeliveryCountryName ::= CHOICE {
5537.    x121-dcc-code NumericString (SIZE (ub-country-name-numeric-length)),
5538.    iso-3166-alpha2-code PrintableString
5539.                         (SIZE (ub-country-name-alpha-length)) }
5540.  
5541. postal-code EXTENSION-ATTRIBUTE ::= {PostalCode IDENTIFIED BY 9}
5542.  
5543. PostalCode ::= CHOICE {
5544.    numeric-code NumericString (SIZE (1..ub-postal-code-length)),
5545.    printable-code PrintableString (SIZE (1..ub-postal-code-length)) }
5546.  
5547. physical-delivery-office-name EXTENSION-ATTRIBUTE ::=
5548.                         {PhysicalDeliveryOfficeName IDENTIFIED BY 10}
5549.  
5550. PhysicalDeliveryOfficeName ::= PDSParameter
5551.  
5552. physical-delivery-office-number EXTENSION-ATTRIBUTE ::=
5553.    {PhysicalDeliveryOfficeNumber IDENTIFIED BY 11}
5554.  
5555. PhysicalDeliveryOfficeNumber ::= PDSParameter
5556.  
5557. extension-OR-address-components EXTENSION-ATTRIBUTE ::=
5558.    {ExtensionORAddressComponents IDENTIFIED BY 12}
5559.  
5560. ExtensionORAddressComponents ::= PDSParameter
5561.  
5562. physical-delivery-personal-name EXTENSION-ATTRIBUTE ::=
5563.    {PhysicalDeliveryPersonalName IDENTIFIED BY 13}
5564.  
5565. PhysicalDeliveryPersonalName ::= PDSParameter
5566.  
5567. physical-delivery-organization-name EXTENSION-ATTRIBUTE ::=
5568.    {PhysicalDeliveryOrganizationName IDENTIFIED BY 14}
5569.  
5570. PhysicalDeliveryOrganizationName ::= PDSParameter
5571.  
5572. extension-physical-delivery-address-components EXTENSION-ATTRIBUTE ::=
5573.    {ExtensionPhysicalDeliveryAddressComponents IDENTIFIED BY 15}
5574.  
5575.  
5576.  
5577.  
5578. Housley, Ford, Polk, & Solo                                    [Page 93]
5579.  
5580.  
5581.  
5582.  
5583.  
5584. INTERNET DRAFT                                              July 30 1997
5585.  
5586.  
5587. ExtensionPhysicalDeliveryAddressComponents ::= PDSParameter
5588.  
5589. unformatted-postal-address EXTENSION-ATTRIBUTE ::=
5590.                         {UnformattedPostalAddress IDENTIFIED BY 16}
5591.  
5592. UnformattedPostalAddress ::= SET {
5593.    printable-address SEQUENCE SIZE (1..ub-pds-physical-address-lines) OF
5594.            PrintableString (SIZE (1..ub-pds-parameter-length)) OPTIONAL,
5595.    teletex-string TeletexString (SIZE
5596.                          (1..ub-unformatted-address-length)) OPTIONAL }
5597.  
5598. street-address EXTENSION-ATTRIBUTE ::=
5599.                 {StreetAddress IDENTIFIED BY 17}
5600.  
5601. StreetAddress ::= PDSParameter
5602.  
5603. post-office-box-address EXTENSION-ATTRIBUTE ::=
5604.                 {PostOfficeBoxAddress IDENTIFIED BY 18}
5605.  
5606. PostOfficeBoxAddress ::= PDSParameter
5607.  
5608. poste-restante-address EXTENSION-ATTRIBUTE ::=
5609.                 {PosteRestanteAddress IDENTIFIED BY 19}
5610.  
5611. PosteRestanteAddress ::= PDSParameter
5612.  
5613. unique-postal-name EXTENSION-ATTRIBUTE ::=
5614.                 {UniquePostalName IDENTIFIED BY 20}
5615.  
5616. UniquePostalName ::= PDSParameter
5617.  
5618. local-postal-attributes EXTENSION-ATTRIBUTE ::=
5619.                 {LocalPostalAttributes IDENTIFIED BY 21}
5620.  
5621. LocalPostalAttributes ::= PDSParameter
5622.  
5623. PDSParameter ::= SET {
5624.    printable-string PrintableString
5625.             (SIZE(1..ub-pds-parameter-length)) OPTIONAL,
5626.    teletex-string TeletexString
5627.             (sizE(1..ub-pds-parameter-length)) OPTIONAL }
5628.  
5629. extended-network-address EXTENSION-ATTRIBUTE ::=
5630.                 {ExtendedNetworkAddress IDENTIFIED BY 22}
5631.  
5632. ExtendedNetworkAddress ::= CHOICE {
5633.         e163-4-address SEQUENCE {
5634.                 number [0] NumericString
5635.  
5636.  
5637.  
5638. Housley, Ford, Polk, & Solo                                    [Page 94]
5639.  
5640.  
5641.  
5642.  
5643.  
5644. INTERNET DRAFT                                              July 30 1997
5645.  
5646.  
5647.                    (SIZE (1..ub-e163-4-number-length)),
5648.                 sub-address [1] NumericString
5649.                    (SIZE (1..ub-e163-4-sub-address-length)) OPTIONAL},
5650.         psap-address [0] PresentationAddress }
5651.  
5652. terminal-type EXTENSION-ATTRIBUTE ::= {TerminalType IDENTIFIED BY 23}
5653.  
5654. TerminalType ::= INTEGER {
5655.    telex (3),
5656.    teletex (4),
5657.    g3-facsimile (5),
5658.    g4-facsimile (6),
5659.    ia5-terminal (7),
5660.    videotex (8) } (0..ub-integer-options)
5661.  
5662. --      Extension Domain-defined Attributes
5663.  
5664. teletex-domain-defined-attributes EXTENSION-ATTRIBUTE ::=
5665.    {TeletexDomainDefinedAttributes IDENTIFIED BY 6}
5666.  
5667. TeletexDomainDefinedAttributes ::= SEQUENCE SIZE
5668.    (1..ub-domain-defined-attributes) OF TeletexDomainDefinedAttribute
5669.  
5670. TeletexDomainDefinedAttribute ::= SEQUENCE {
5671.     type TeletexString
5672.          (SIZE (1..ub-domain-defined-attribute-type-length)),
5673.     value TeletexString
5674.          (SIZE (1..ub-domain-defined-attribute-value-length)) }
5675.  
5676. --  specifications of Upper Bounds
5677. --  must be regarded as mandatory
5678. --  from Annex B of ITU-T X.411
5679. --  Reference Definition of MTS Parameter Upper Bounds
5680.  
5681. --      Upper Bounds
5682. ub-common-name-length INTEGER ::= 64
5683. ub-country-name-alpha-length INTEGER ::= 2
5684. ub-country-name-numeric-length INTEGER ::= 3
5685. ub-domain-defined-attributes INTEGER ::= 4
5686. ub-domain-defined-attribute-type-length INTEGER ::= 8
5687. ub-domain-defined-attribute-value-length INTEGER ::= 128
5688. ub-domain-name-length INTEGER ::= 16
5689. ub-extension-attributes INTEGER ::= 256
5690. ub-e163-4-number-length INTEGER ::= 15
5691. ub-e163-4-sub-address-length INTEGER ::= 40
5692. ub-generation-qualifier-length INTEGER ::= 3
5693. ub-given-name-length INTEGER ::= 16
5694. ub-initials-length INTEGER ::= 5
5695.  
5696.  
5697.  
5698. Housley, Ford, Polk, & Solo                                    [Page 95]
5699.  
5700.  
5701.  
5702.  
5703.  
5704. INTERNET DRAFT                                              July 30 1997
5705.  
5706.  
5707. ub-integer-options INTEGER ::= 256
5708. ub-numeric-user-id-length INTEGER ::= 32
5709. ub-organization-name-length INTEGER ::= 64
5710. ub-organizational-unit-name-length INTEGER ::= 32
5711. ub-organizational-units INTEGER ::= 4
5712. ub-pds-name-length INTEGER ::= 16
5713. ub-pds-parameter-length INTEGER ::= 30
5714. ub-pds-physical-address-lines INTEGER ::= 6
5715. ub-postal-code-length INTEGER ::= 16
5716. ub-surname-length INTEGER ::= 40
5717. ub-terminal-id-length INTEGER ::= 24
5718. ub-unformatted-address-length INTEGER ::= 180
5719. ub-x121-address-length INTEGER ::= 16
5720.  
5721. -- Note - upper bounds on TeletexString are measured in characters.
5722. -- A significantly greater number of octets will be required to hold
5723. -- such a value.  As a minimum, 16 octets, or twice the specified upper
5724. -- bound, whichever is the larger, should be allowed.
5725.  
5726. END
5727.  
5728.  
5729. Appendix C. ASN.1 Notes
5730.  
5731. The construct
5732.  
5733.        SEQUENCE SIZE (1..MAX) OF
5734.  
5735. appears in several ASN.1 constructs. A valid ASN.1 sequence will have
5736. zero or more entries. The SIZE (1..MAX) construct constrains the
5737. sequence to have at least one entry. MAX indicates the upper bound is
5738. unspecified. Implementations are free to choose an upper bound that
5739. suits their environment.
5740.  
5741. The construct
5742.  
5743.       positiveInt ::= INTEGER (0..MAX)
5744.  
5745. defines positiveInt as a subtype of INTEGER containing integers greater
5746. than or equal to zero.  The upper bound is unspecified. Implementations
5747. are free to select an upper bound that suits their environment.
5748.  
5749.    The character string type PrintableString supports a very basic Latin
5750.    character set:  the lower case letters 'a' through 'z', upper case
5751.    letters 'A' through 'Z', the digits '0' through '9', eleven special
5752.    characters ' " ( ) + , - . / : ? and space.
5753.  
5754.    The character string type TeletexString is a superset of
5755.  
5756.  
5757.  
5758. Housley, Ford, Polk, & Solo                                    [Page 96]
5759.  
5760.  
5761.  
5762.  
5763.  
5764. INTERNET DRAFT                                              July 30 1997
5765.  
5766.  
5767.    PrintableString.  TeletexString supports a fairly standard (ascii-
5768.    like) Latin character set, Latin characters with non-spacing accents
5769.    and Japanese characters.
5770.  
5771.    The character string type UniversalString supports any of the
5772.    characters allowed by ISO 10646-1. ISO 10646 is the Universal
5773.    multiple-octet coded Character Set (UCS).  ISO 10646-1 specifes the
5774.    architecture and the "basic multilingual plane" - a large standard
5775.    character set which includes all major world character standards.
5776.  
5777. Appendix D. Examples
5778.  
5779.    This section contains three examples; two certificates and a CRL.
5780.    Together, they comprise a minimal certification path.
5781.  
5782.    Section D.1 contains two annotated hex dumps of a "self-signed"
5783.    certificate issued by a CA whose distinguished name is
5784.    cn=us,o=gov,ou=nist.  The certificate contains a DSA public key with
5785.    parameters, and is signed by the corresponding DSA private key. The
5786.    first hex dump is a basic dump of the ASN.1 encoding and does not not
5787.    reflect the fact that the object is a certificate. The second dump
5788.    identfies the values of the various certificate fields.
5789.  
5790.    Section D.2 contains  an annotated hex dump of an end-entity
5791.    certificate.  The end entity certificate contains a DSA public key,
5792.    and is signed by the private key corresponding to the "self-signed"
5793.    certificate in section D.1.   The first hex dump is a basic dump of
5794.    the ASN.1 encoding and does not not reflect the fact that the object
5795.    is a certificate. The second dump identfies the values of the various
5796.    certificate fields.
5797.  
5798.    Section D.3 contains an annotated hex dump of a CRL.  The CRL is
5799.    issued by the CA whose distinguished name is cn=us,o=gov,ou=nist and
5800.    the list of revoked certifcates includes the end entity certificate
5801.    presented in D.2.  The hex dump is a basic dump of the ASN.1
5802.    encoding.
5803.  
5804. D.1 Certificate
5805.  
5806.    This section contains an annotated hex dump of a 662 byte version 3
5807.    certificate.  The certificate contains the following information:
5808.    (a) the serial number is 17 (11 hex);
5809.    (b) the certificate is signed with DSA and the SHA-1 hash algorithm;
5810.    (c) the issuer's distinguished name is OU=nist;O=gov;C=US
5811.    (d) and the subject's distinguished name is OU=nist;O=gov;C=US
5812.    (e) the certificate was issued on June 30, 1997 and will expire on
5813.    December 31, 1997;
5814.    (f) the certificate contains a 1024 bit DSA public key; and
5815.  
5816.  
5817.  
5818. Housley, Ford, Polk, & Solo                                    [Page 97]
5819.  
5820.  
5821.  
5822.  
5823.  
5824. INTERNET DRAFT                                              July 30 1997
5825.  
5826.  
5827.    (g) the certificate is a CA certificate (as indicated through the
5828.    basic constraints extension.)
5829.  
5830. D.1.1 ASN.1 Dump of "Self-Signed" Certificate
5831.  
5832. get 0, len=662 (662 bytes in file)
5833. 0000 30 82 02 92  658: SEQUENCE
5834. 0004 30 82 02 52  594: . SEQUENCE
5835. 0008 a0 03          3: . . [0]
5836. 0010 02 01          1: . . . INTEGER 2
5837. 0013 02 01          1: . . INTEGER 17
5838. 0016 30 09          9: . . SEQUENCE
5839. 0018 06 07          7: . . . OID 1.2.840.10040.4.3: dsa-with-sha
5840. 0027 30 2a         42: . . SEQUENCE
5841. 0029 31 0b         11: . . . SET
5842. 0031 30 09          9: . . . . SEQUENCE
5843. 0033 06 03          3: . . . . . OID 2.5.4.6: C
5844. 0038 13 02          2: . . . . . PrintableString  'US'
5845. 0042 31 0c         12: . . . SET
5846. 0044 30 0a         10: . . . . SEQUENCE
5847. 0046 06 03          3: . . . . . OID 2.5.4.10: O
5848. 0051 13 03          3: . . . . . PrintableString  'gov'
5849. 0056 31 0d         13: . . . SET
5850. 0058 30 0b         11: . . . . SEQUENCE
5851. 0060 06 03          3: . . . . . OID 2.5.4.11: OU
5852. 0065 13 04          4: . . . . . PrintableString  'nist'
5853. 0071 30 1e         30: . . SEQUENCE
5854. 0073 17 0d         13: . . . UTCTime  '970630000000Z'
5855. 0088 17 0d         13: . . . UTCTime  '971231000000Z'
5856. 0103 30 2a         42: . . SEQUENCE
5857. 0105 31 0b         11: . . . SET
5858. 0107 30 09          9: . . . . SEQUENCE
5859. 0109 06 03          3: . . . . . OID 2.5.4.6: C
5860. 0114 13 02          2: . . . . . PrintableString  'US'
5861. 0118 31 0c         12: . . . SET
5862. 0120 30 0a         10: . . . . SEQUENCE
5863. 0122 06 03          3: . . . . . OID 2.5.4.10: O
5864. 0127 13 03          3: . . . . . PrintableString  'gov'
5865. 0132 31 0d         13: . . . SET
5866. 0134 30 0b         11: . . . . SEQUENCE
5867. 0136 06 03          3: . . . . . OID 2.5.4.11: OU
5868. 0141 13 04          4: . . . . . PrintableString  'nist'
5869. 0147 30 82 01 b4  436: . . SEQUENCE
5870. 0151 30 82 01 29  297: . . . SEQUENCE
5871. 0155 06 07          7: . . . . OID 1.2.840.10040.4.1: dsa
5872. 0164 30 82 01 1c  284: . . . . SEQUENCE
5873. 0168 02 81 80     128: . . . . . INTEGER
5874.                      : d4 38 02 c5 35 7b d5 0b a1 7e 5d 72 59 63 55 d3
5875.  
5876.  
5877.  
5878. Housley, Ford, Polk, & Solo                                    [Page 98]
5879.  
5880.  
5881.  
5882.  
5883.  
5884. INTERNET DRAFT                                              July 30 1997
5885.  
5886.  
5887.                      : 45 56 ea e2 25 1a 6b c5 a4 ab aa 0b d4 62 b4 d2
5888.                      : 21 b1 95 a2 c6 01 c9 c3 fa 01 6f 79 86 83 3d 03
5889.                      : 61 e1 f1 92 ac bc 03 4e 89 a3 c9 53 4a f7 e2 a6
5890.                      : 48 cf 42 1e 21 b1 5c 2b 3a 7f ba be 6b 5a f7 0a
5891.                      : 26 d8 8e 1b eb ec bf 1e 5a 3f 45 c0 bd 31 23 be
5892.                      : 69 71 a7 c2 90 fe a5 d6 80 b5 24 dc 44 9c eb 4d
5893.                      : f9 da f0 c8 e8 a2 4c 99 07 5c 8e 35 2b 7d 57 8d
5894. 0299 02 14         20: . . . . . INTEGER
5895.                      : a7 83 9b f3 bd 2c 20 07 fc 4c e7 e8 9f f3 39 83
5896.                      : 51 0d dc dd
5897. 0321 02 81 80     128: . . . . . INTEGER
5898.                      : 0e 3b 46 31 8a 0a 58 86 40 84 e3 a1 22 0d 88 ca
5899.                      : 90 88 57 64 9f 01 21 e0 15 05 94 24 82 e2 10 90
5900.                      : d9 e1 4e 10 5c e7 54 6b d4 0c 2b 1b 59 0a a0 b5
5901.                      : a1 7d b5 07 e3 65 7c ea 90 d8 8e 30 42 e4 85 bb
5902.                      : ac fa 4e 76 4b 78 0e df 6c e5 a6 e1 bd 59 77 7d
5903.                      : a6 97 59 c5 29 a7 b3 3f 95 3e 9d f1 59 2d f7 42
5904.                      : 87 62 3f f1 b8 6f c7 3d 4b b8 8d 74 c4 ca 44 90
5905.                      : cf 67 db de 14 60 97 4a d1 f7 6d 9e 09 94 c4 0d
5906. 0452 03 81 84     132: . . . BIT STRING  (0 unused bits)
5907.                      : 02 81 80 aa 98 ea 13 94 a2 db f1 5b 7f 98 2f 78
5908.                      : e7 d8 e3 b9 71 86 f6 80 2f 40 39 c3 da 3b 4b 13
5909.                      : 46 26 ee 0d 56 c5 a3 3a 39 b7 7d 33 c2 6b 5c 77
5910.                      : 92 f2 55 65 90 39 cd 1a 3c 86 e1 32 eb 25 bc 91
5911.                      : c4 ff 80 4f 36 61 bd cc e2 61 04 e0 7e 60 13 ca
5912.                      : c0 9c dd e0 ea 41 de 33 c1 f1 44 a9 bc 71 de cf
5913.                      : 59 d4 6e da 44 99 3c 21 64 e4 78 54 9d d0 7b ba
5914.                      : 4e f5 18 4d 5e 39 30 bf e0 d1 f6 f4 83 25 4f 14
5915.                      : aa 71 e1
5916. 0587 a3 0d         13: . . [3]
5917. 0589 30 0b         11: . . . SEQUENCE
5918. 0591 30 09          9: . . . . SEQUENCE
5919. 0593 06 03          3: . . . . . OID 2.5.29.19: basicConstraints
5920. 0598 04 02          2: . . . . . OCTET STRING
5921.                      : 30 00
5922. 0602 30 09          9: . SEQUENCE
5923. 0604 06 07          7: . . OID 1.2.840.10040.4.3: dsa-with-sha
5924. 0613 03 2f         47: . BIT STRING  (0 unused bits)
5925.                      : 30 2c 02 14 a0 66 c1 76 33 99 13 51 8d 93 64 2f
5926.                      : ca 13 73 de 79 1a 7d 33 02 14 5d 90 f6 ce 92 4a
5927.                      : bf 29 11 24 80 28 a6 5a 8e 73 b6 76 02 68
5928.  
5929. ------- extensions ----------
5930.  
5931. printber -s 456 pkix-ex1.ber
5932. get 0, len=131 (662 bytes in file)
5933. 0000 02 81 80     128: INTEGER
5934.                      : aa 98 ea 13 94 a2 db f1 5b 7f 98 2f 78 e7 d8 e3
5935.  
5936.  
5937.  
5938. Housley, Ford, Polk, & Solo                                    [Page 99]
5939.  
5940.  
5941.  
5942.  
5943.  
5944. INTERNET DRAFT                                              July 30 1997
5945.  
5946.  
5947.                      : b9 71 86 f6 80 2f 40 39 c3 da 3b 4b 13 46 26 ee
5948.                      : 0d 56 c5 a3 3a 39 b7 7d 33 c2 6b 5c 77 92 f2 55
5949.                      : 65 90 39 cd 1a 3c 86 e1 32 eb 25 bc 91 c4 ff 80
5950.                      : 4f 36 61 bd cc e2 61 04 e0 7e 60 13 ca c0 9c dd
5951.                      : e0 ea 41 de 33 c1 f1 44 a9 bc 71 de cf 59 d4 6e
5952.                      : da 44 99 3c 21 64 e4 78 54 9d d0 7b ba 4e f5 18
5953.                      : 4d 5e 39 30 bf e0 d1 f6 f4 83 25 4f 14 aa 71 e1
5954.  
5955.  
5956.  
5957. D.1.2 Pretty Print of "Self-Signed" Certificate
5958.  
5959. ----------
5960. X-Sun-Data-Type: default
5961. X-Sun-Data-Description: default
5962. X-Sun-Data-Name: pkix-ex1.pcert
5963. X-Sun-Charset: us-ascii
5964. X-Sun-Content-Lines: 49
5965.  
5966. decode: 0-OK, len=662 (662 bytes in file)
5967.  
5968.       Version: v3
5969. Serial Number: 17
5970. Signature Alg: dsa-with-sha (1.2.840.10040.4.3)
5971.        Issuer: C=US, O=gov, OU=nist
5972.      Validity: from 970630000000Z
5973.                  to 971231000000Z
5974.       Subject: OU=nist, O=gov, C=US
5975. SubjectPKInfo: dsa (1.2.840.10040.4.1)
5976.        params:
5977.         02 81 80 d4 38 02 c5 35 7b d5 0b a1 7e 5d 72 59
5978.         63 55 d3 45 56 ea e2 25 1a 6b c5 a4 ab aa 0b d4
5979.         62 b4 d2 21 b1 95 a2 c6 01 c9 c3 fa 01 6f 79 86
5980.         83 3d 03 61 e1 f1 92 ac bc 03 4e 89 a3 c9 53 4a
5981.         f7 e2 a6 48 cf 42 1e 21 b1 5c 2b 3a 7f ba be 6b
5982.         5a f7 0a 26 d8 8e 1b eb ec bf 1e 5a 3f 45 c0 bd
5983.         31 23 be 69 71 a7 c2 90 fe a5 d6 80 b5 24 dc 44
5984.         9c eb 4d f9 da f0 c8 e8 a2 4c 99 07 5c 8e 35 2b
5985.         7d 57 8d 02 14 a7 83 9b f3 bd 2c 20 07 fc 4c e7
5986.         e8 9f f3 39 83 51 0d dc dd 02 81 80 0e 3b 46 31
5987.         8a 0a 58 86 40 84 e3 a1 22 0d 88 ca 90 88 57 64
5988.         9f 01 21 e0 15 05 94 24 82 e2 10 90 d9 e1 4e 10
5989.         5c e7 54 6b d4 0c 2b 1b 59 0a a0 b5 a1 7d b5 07
5990.         e3 65 7c ea 90 d8 8e 30 42 e4 85 bb ac fa 4e 76
5991.         4b 78 0e df 6c e5 a6 e1 bd 59 77 7d a6 97 59 c5
5992.         29 a7 b3 3f 95 3e 9d f1 59 2d f7 42 87 62 3f f1
5993.         b8 6f c7 3d 4b b8 8d 74 c4 ca 44 90 cf 67 db de
5994.         14 60 97 4a d1 f7 6d 9e 09 94 c4 0d
5995.  
5996.  
5997.  
5998. Housley, Ford, Polk, & Solo                                   [Page 100]
5999.  
6000.  
6001.  
6002.  
6003.  
6004. INTERNET DRAFT                                              July 30 1997
6005.  
6006.  
6007.    Public Key:
6008.         00 02 81 80 aa 98 ea 13 94 a2 db f1 5b 7f 98 2f
6009.         78 e7 d8 e3 b9 71 86 f6 80 2f 40 39 c3 da 3b 4b
6010.         13 46 26 ee 0d 56 c5 a3 3a 39 b7 7d 33 c2 6b 5c
6011.         77 92 f2 55 65 90 39 cd 1a 3c 86 e1 32 eb 25 bc
6012.         91 c4 ff 80 4f 36 61 bd cc e2 61 04 e0 7e 60 13
6013.         ca c0 9c dd e0 ea 41 de 33 c1 f1 44 a9 bc 71 de
6014.         cf 59 d4 6e da 44 99 3c 21 64 e4 78 54 9d d0 7b
6015.         ba 4e f5 18 4d 5e 39 30 bf e0 d1 f6 f4 83 25 4f
6016.         14 aa 71 e1
6017.     issuerUID:
6018.    subjectUID:
6019.  1 extensions:
6020.      Exten  1:   basicConstraints (2.5.29.19)
6021.         30 00
6022. Signature Alg: dsa-with-sha (1.2.840.10040.4.3)
6023.     Sig Value: 368 bits:
6024.         30 2c 02 14 a0 66 c1 76 33 99 13 51 8d 93 64 2f
6025.         ca 13 73 de 79 1a 7d 33 02 14 5d 90 f6 ce 92 4a
6026.         bf 29 11 24 80 28 a6 5a 8e 73 b6 76 02 68
6027.  
6028.  
6029. ------- extensions ----------
6030.  
6031. printber -s 616 pkix-ex1.ber
6032. get 0, len=46 (662 bytes in file)
6033. 0000 30 2c         44: SEQUENCE
6034. 0002 02 14         20: . INTEGER
6035.                      : 9d 2d 0c 75 ec ce 01 79 25 4c cd 7b dc fc 17 0e
6036.                      : 0f 2a 22 ef
6037. 0024 02 14         20: . INTEGER
6038.                      : 80 61 6f fb dc 71 cf 3f 09 62 b4 aa ad 4b 8c 28
6039.                      : 68 d7 60 fe
6040.  
6041.  
6042.  
6043. D.2 Certificate
6044.  
6045.    This section contains an annotated hex dump of a xxx byte version 3
6046.    certificate.  The certificate contains the following information:
6047.    (a) the serial number is 18 (12 hex);
6048.    (b) the certificate is signed with DSA and the SHA-1 hash algorithm;
6049.    (c) the issuer's distinguished name is OU=nist;O=gov;C=US
6050.    (d) and the subject's distinguished name is CN=Tim
6051.    Polk;OU=nist;O=gov;C=US
6052.    (e) the certificate was valid from July 30, 1997 and will expire on
6053.    December 1, 1997;
6054.    (f) the certificate contains a 1024 bit DSA public key;
6055.  
6056.  
6057.  
6058. Housley, Ford, Polk, & Solo                                   [Page 101]
6059.  
6060.  
6061.  
6062.  
6063.  
6064. INTERNET DRAFT                                              July 30 1997
6065.  
6066.  
6067.    (g) the certificate is an end entity certificate unless external
6068.    information is provided, as the basic constraints extension is not
6069.    present;
6070.    (h) the certificate includes one alternative name - an RFC 822
6071.    address.
6072.  
6073.  
6074. D.2.1 Basic ASN.1 Dump of "End Entity" Certificate
6075.  
6076. ----------
6077. X-Sun-Data-Type: default
6078. X-Sun-Data-Description: default
6079. X-Sun-Data-Name: pkix-ex2.pber
6080. X-Sun-Charset: us-ascii
6081. X-Sun-Content-Lines: 89
6082.  
6083. get 0, len=697 (697 bytes in file)
6084. 0000 30 82 02 b5  693: SEQUENCE
6085. 0004 30 82 02 75  629: . SEQUENCE
6086. 0008 a0 03          3: . . [0]
6087. 0010 02 01          1: . . . INTEGER 2
6088. 0013 02 01          1: . . INTEGER 18
6089. 0016 30 09          9: . . SEQUENCE
6090. 0018 06 07          7: . . . OID 1.2.840.10040.4.3: dsa-with-sha
6091. 0027 30 2a         42: . . SEQUENCE
6092. 0029 31 0b         11: . . . SET
6093. 0031 30 09          9: . . . . SEQUENCE
6094. 0033 06 03          3: . . . . . OID 2.5.4.6: C
6095. 0038 13 02          2: . . . . . PrintableString  'US'
6096. 0042 31 0c         12: . . . SET
6097. 0044 30 0a         10: . . . . SEQUENCE
6098. 0046 06 03          3: . . . . . OID 2.5.4.10: O
6099. 0051 13 03          3: . . . . . PrintableString  'gov'
6100. 0056 31 0d         13: . . . SET
6101. 0058 30 0b         11: . . . . SEQUENCE
6102. 0060 06 03          3: . . . . . OID 2.5.4.11: OU
6103. 0065 13 04          4: . . . . . PrintableString  'nist'
6104. 0071 30 1e         30: . . SEQUENCE
6105. 0073 17 0d         13: . . . UTCTime  '970730000000Z'
6106. 0088 17 0d         13: . . . UTCTime  '971201000000Z'
6107. 0103 30 3d         61: . . SEQUENCE
6108. 0105 31 0b         11: . . . SET
6109. 0107 30 09          9: . . . . SEQUENCE
6110. 0109 06 03          3: . . . . . OID 2.5.4.6: C
6111. 0114 13 02          2: . . . . . PrintableString  'US'
6112. 0118 31 0c         12: . . . SET
6113. 0120 30 0a         10: . . . . SEQUENCE
6114. 0122 06 03          3: . . . . . OID 2.5.4.10: O
6115.  
6116.  
6117.  
6118. Housley, Ford, Polk, & Solo                                   [Page 102]
6119.  
6120.  
6121.  
6122.  
6123.  
6124. INTERNET DRAFT                                              July 30 1997
6125.  
6126.  
6127. 0127 13 03          3: . . . . . PrintableString  'gov'
6128. 0132 31 0d         13: . . . SET
6129. 0134 30 0b         11: . . . . SEQUENCE
6130. 0136 06 03          3: . . . . . OID 2.5.4.11: OU
6131. 0141 13 04          4: . . . . . PrintableString  'nist'
6132. 0147 31 11         17: . . . SET
6133. 0149 30 0f         15: . . . . SEQUENCE
6134. 0151 06 03          3: . . . . . OID 2.5.4.3: CN
6135. 0156 13 08          8: . . . . . PrintableString  'Tim Polk'
6136. 0166 30 82 01 b4  436: . . SEQUENCE
6137. 0170 30 82 01 29  297: . . . SEQUENCE
6138. 0174 06 07          7: . . . . OID 1.2.840.10040.4.1: dsa
6139. 0183 30 82 01 1c  284: . . . . SEQUENCE
6140. 0187 02 81 80     128: . . . . . INTEGER
6141.                      : d4 38 02 c5 35 7b d5 0b a1 7e 5d 72 59 63 55 d3
6142.                      : 45 56 ea e2 25 1a 6b c5 a4 ab aa 0b d4 62 b4 d2
6143.                      : 21 b1 95 a2 c6 01 c9 c3 fa 01 6f 79 86 83 3d 03
6144.                      : 61 e1 f1 92 ac bc 03 4e 89 a3 c9 53 4a f7 e2 a6
6145.                      : 48 cf 42 1e 21 b1 5c 2b 3a 7f ba be 6b 5a f7 0a
6146.                      : 26 d8 8e 1b eb ec bf 1e 5a 3f 45 c0 bd 31 23 be
6147.                      : 69 71 a7 c2 90 fe a5 d6 80 b5 24 dc 44 9c eb 4d
6148.                      : f9 da f0 c8 e8 a2 4c 99 07 5c 8e 35 2b 7d 57 8d
6149. 0318 02 14         20: . . . . . INTEGER
6150.                      : a7 83 9b f3 bd 2c 20 07 fc 4c e7 e8 9f f3 39 83
6151.                      : 51 0d dc dd
6152. 0340 02 81 80     128: . . . . . INTEGER
6153.                      : 0e 3b 46 31 8a 0a 58 86 40 84 e3 a1 22 0d 88 ca
6154.                      : 90 88 57 64 9f 01 21 e0 15 05 94 24 82 e2 10 90
6155.                      : d9 e1 4e 10 5c e7 54 6b d4 0c 2b 1b 59 0a a0 b5
6156.                      : a1 7d b5 07 e3 65 7c ea 90 d8 8e 30 42 e4 85 bb
6157.                      : ac fa 4e 76 4b 78 0e df 6c e5 a6 e1 bd 59 77 7d
6158.                      : a6 97 59 c5 29 a7 b3 3f 95 3e 9d f1 59 2d f7 42
6159.                      : 87 62 3f f1 b8 6f c7 3d 4b b8 8d 74 c4 ca 44 90
6160.                      : cf 67 db de 14 60 97 4a d1 f7 6d 9e 09 94 c4 0d
6161. 0471 03 81 84     132: . . . BIT STRING  (0 unused bits)
6162.                      : 02 81 80 a8 63 b1 60 70 94 7e 0b 86 08 93 0c 0d
6163.                      : 08 12 4a 58 a9 af 9a 09 38 54 3b 46 82 fb 85 0d
6164.                      : 18 8b 2a 77 f7 58 e8 f0 1d d2 18 df fe e7 e9 35
6165.                      : c8 a6 1a db 8d 3d 3d f8 73 14 a9 0b 39 c7 95 f6
6166.                      : 52 7d 2d 13 8c ae 03 29 3c 4e 8c b0 26 18 b6 d8
6167.                      : 11 1f d4 12 0c 13 ce 3f f1 c7 05 4e df e1 fc 44
6168.                      : fd 25 34 19 4a 81 0d dd 98 42 ac d3 b6 91 0c 7f
6169.                      : 16 72 a3 a0 8a d7 01 7f fb 9c 93 e8 99 92 c8 42
6170.                      : 47 c6 43
6171. 0606 a3 1d         29: . . [3]
6172. 0608 30 1b         27: . . . SEQUENCE
6173. 0610 30 19         25: . . . . SEQUENCE
6174. 0612 06 03          3: . . . . . OID 2.5.29.17: subjectAltName
6175.  
6176.  
6177.  
6178. Housley, Ford, Polk, & Solo                                   [Page 103]
6179.  
6180.  
6181.  
6182.  
6183.  
6184. INTERNET DRAFT                                              July 30 1997
6185.  
6186.  
6187. 0617 04 12         18: . . . . . OCTET STRING
6188.                      : 30 10 81 0e 77 70 6f 6c 6b 40 6e 69 73 74 2e 67
6189.                      : 6f 76
6190. 0637 30 09          9: . SEQUENCE
6191. 0639 06 07          7: . . OID 1.2.840.10040.4.3: dsa-with-sha
6192. 0648 03 2f         47: . BIT STRING  (0 unused bits)
6193.                      : 30 2c 02 14 3c 02 e0 ab d9 5d 05 77 75 15 71 58
6194.                      : 92 29 48 c4 1c 54 df fc 02 14 5b da 53 98 7f c5
6195.                      : 33 df c6 09 b2 7a e3 6f 97 70 1e 14 ed 94
6196.  
6197. -------- extensions ----------
6198.  
6199. printber -s 475 pkix-ex2.ber
6200. get 0, len=131 (697 bytes in file)
6201. 0000 02 81 80     128: INTEGER
6202.                      : a8 63 b1 60 70 94 7e 0b 86 08 93 0c 0d 08 12 4a
6203.                      : 58 a9 af 9a 09 38 54 3b 46 82 fb 85 0d 18 8b 2a
6204.                      : 77 f7 58 e8 f0 1d d2 18 df fe e7 e9 35 c8 a6 1a
6205.                      : db 8d 3d 3d f8 73 14 a9 0b 39 c7 95 f6 52 7d 2d
6206.                      : 13 8c ae 03 29 3c 4e 8c b0 26 18 b6 d8 11 1f d4
6207.                      : 12 0c 13 ce 3f f1 c7 05 4e df e1 fc 44 fd 25 34
6208.                      : 19 4a 81 0d dd 98 42 ac d3 b6 91 0c 7f 16 72 a3
6209.                      : a0 8a d7 01 7f fb 9c 93 e8 99 92 c8 42 47 c6 43
6210.  
6211.  
6212. D.2.2 Pretty Print of "End Entity" Certificate
6213.  
6214. ----------
6215. X-Sun-Data-Type: default
6216. X-Sun-Data-Description: default
6217. X-Sun-Data-Name: pkix-ex2.pcert
6218. X-Sun-Charset: us-ascii
6219. X-Sun-Content-Lines: 50
6220.  
6221. decode: 0-OK, len=697 (697 bytes in file)
6222.  
6223.       Version: v3
6224. Serial Number: 18
6225. Signature Alg: dsa-with-sha (1.2.840.10040.4.3)
6226.        Issuer: C=US, O=gov, OU=nist
6227.      Validity: from 970730000000Z
6228.                  to 971201000000Z
6229.       Subject: CN=Tim Polk, OU=nist, O=gov, C=US
6230. SubjectPKInfo: dsa (1.2.840.10040.4.1)
6231.        params:
6232.         02 81 80 d4 38 02 c5 35 7b d5 0b a1 7e 5d 72 59
6233.         63 55 d3 45 56 ea e2 25 1a 6b c5 a4 ab aa 0b d4
6234.         62 b4 d2 21 b1 95 a2 c6 01 c9 c3 fa 01 6f 79 86
6235.  
6236.  
6237.  
6238. Housley, Ford, Polk, & Solo                                   [Page 104]
6239.  
6240.  
6241.  
6242.  
6243.  
6244. INTERNET DRAFT                                              July 30 1997
6245.  
6246.  
6247.         83 3d 03 61 e1 f1 92 ac bc 03 4e 89 a3 c9 53 4a
6248.         f7 e2 a6 48 cf 42 1e 21 b1 5c 2b 3a 7f ba be 6b
6249.         5a f7 0a 26 d8 8e 1b eb ec bf 1e 5a 3f 45 c0 bd
6250.         31 23 be 69 71 a7 c2 90 fe a5 d6 80 b5 24 dc 44
6251.         9c eb 4d f9 da f0 c8 e8 a2 4c 99 07 5c 8e 35 2b
6252.         7d 57 8d 02 14 a7 83 9b f3 bd 2c 20 07 fc 4c e7
6253.         e8 9f f3 39 83 51 0d dc dd 02 81 80 0e 3b 46 31
6254.         8a 0a 58 86 40 84 e3 a1 22 0d 88 ca 90 88 57 64
6255.         9f 01 21 e0 15 05 94 24 82 e2 10 90 d9 e1 4e 10
6256.         5c e7 54 6b d4 0c 2b 1b 59 0a a0 b5 a1 7d b5 07
6257.         e3 65 7c ea 90 d8 8e 30 42 e4 85 bb ac fa 4e 76
6258.         4b 78 0e df 6c e5 a6 e1 bd 59 77 7d a6 97 59 c5
6259.         29 a7 b3 3f 95 3e 9d f1 59 2d f7 42 87 62 3f f1
6260.         b8 6f c7 3d 4b b8 8d 74 c4 ca 44 90 cf 67 db de
6261.         14 60 97 4a d1 f7 6d 9e 09 94 c4 0d
6262.    Public Key:
6263.         00 02 81 80 a8 63 b1 60 70 94 7e 0b 86 08 93 0c
6264.         0d 08 12 4a 58 a9 af 9a 09 38 54 3b 46 82 fb 85
6265.         0d 18 8b 2a 77 f7 58 e8 f0 1d d2 18 df fe e7 e9
6266.         35 c8 a6 1a db 8d 3d 3d f8 73 14 a9 0b 39 c7 95
6267.         f6 52 7d 2d 13 8c ae 03 29 3c 4e 8c b0 26 18 b6
6268.         d8 11 1f d4 12 0c 13 ce 3f f1 c7 05 4e df e1 fc
6269.         44 fd 25 34 19 4a 81 0d dd 98 42 ac d3 b6 91 0c
6270.         7f 16 72 a3 a0 8a d7 01 7f fb 9c 93 e8 99 92 c8
6271.         42 47 c6 43
6272.     issuerUID:
6273.    subjectUID:
6274.  1 extensions:
6275.      Exten  1:   subjectAltName (2.5.29.17)
6276.         30 10 81 0e 77 70 6f 6c 6b 40 6e 69 73 74 2e 67
6277.         6f 76
6278. Signature Alg: dsa-with-sha (1.2.840.10040.4.3)
6279.     Sig Value: 368 bits:
6280.         30 2c 02 14 3c 02 e0 ab d9 5d 05 77 75 15 71 58
6281.         92 29 48 c4 1c 54 df fc 02 14 5b da 53 98 7f c5
6282.         33 df c6 09 b2 7a e3 6f 97 70 1e 14 ed 94
6283.  
6284. -------- extensions ----------
6285.  
6286. printber -s 619 pkix-ex2.ber
6287. get 0, len=18 (697 bytes in file)
6288. 0000 30 10         16: SEQUENCE
6289. 0002 81 0e         14: . [1]
6290.                      : 77 70 6f 6c 6b 40 6e 69 73 74 2e 67 6f 76
6291. Note: This subjectAltName data is IMPLICIT TAGS - is that correct?
6292.  
6293. printber -s 651 pkix-ex2.ber
6294. get 0, len=46 (697 bytes in file)
6295.  
6296.  
6297.  
6298. Housley, Ford, Polk, & Solo                                   [Page 105]
6299.  
6300.  
6301.  
6302.  
6303.  
6304. INTERNET DRAFT                                              July 30 1997
6305.  
6306.  
6307. 0000 30 2c         44: SEQUENCE
6308. 0002 02 14         20: . INTEGER
6309.                      : 2b 82 c9 2d 79 9c a4 16 97 22 b1 48 16 03 c2 ed
6310.                      : 31 65 99 d5
6311. 0024 02 14         20: . INTEGER
6312.                      : 3f 90 79 17 f8 9d 50 fb f3 5d 70 b7 40 31 a3 74
6313.                      : 31 d7 b1 30
6314.  
6315.  
6316. D.3 Certificate Revocation List
6317.  
6318.    This section contains an annotated hex dump of a version 2 CRL with
6319.    one extension (cRLNumber). The CRL was issued by OU=nist;O=gov;C=us
6320.    on July 7, 1996; the next scheduled issuance was August 7, 1996.  The
6321.    CRL includes one revoked certificates: serial number 18 (12 hex).
6322.    The CRL itself is number 18, and it was signed with DSA.
6323.  
6324. printber pkix-crl.ber
6325. get 0, len=189 (189 bytes in file)
6326. 0000 30 81 ba     186: SEQUENCE
6327. 0003 30 7c        124: . SEQUENCE
6328. 0005 02 01          1: . . INTEGER 1
6329. 0008 30 09          9: . . SEQUENCE
6330. 0010 06 07          7: . . . OID 1.2.840.10040.4.3: dsa-with-sha
6331. 0019 30 2a         42: . . SEQUENCE
6332. 0021 31 0b         11: . . . SET
6333. 0023 30 09          9: . . . . SEQUENCE
6334. 0025 06 03          3: . . . . . OID 2.5.4.6: C
6335. 0030 13 02          2: . . . . . PrintableString  'US'
6336. 0034 31 0c         12: . . . SET
6337. 0036 30 0a         10: . . . . SEQUENCE
6338. 0038 06 03          3: . . . . . OID 2.5.4.10: O
6339. 0043 13 03          3: . . . . . PrintableString  'gov'
6340. 0048 31 0d         13: . . . SET
6341. 0050 30 0b         11: . . . . SEQUENCE
6342. 0052 06 03          3: . . . . . OID 2.5.4.11: OU
6343. 0057 13 04          4: . . . . . PrintableString  'nist'
6344. 0063 17 0d         13: . . UTCTime  '970801000000Z'
6345. 0078 17 0d         13: . . UTCTime  '970808000000Z'
6346. 0093 30 22         34: . . SEQUENCE
6347. 0095 30 20         32: . . . SEQUENCE
6348. 0097 02 01          1: . . . . INTEGER 18
6349. 0100 17 0d         13: . . . . UTCTime  '970731000000Z'
6350. 0115 30 0c         12: . . . . SEQUENCE
6351. 0117 30 0a         10: . . . . . SEQUENCE
6352. 0119 06 03          3: . . . . . . OID 2.5.29.21: reasonCode
6353. 0124 04 03          3: . . . . . . OCTET STRING
6354.                      : 0a 01 01
6355.  
6356.  
6357.  
6358. Housley, Ford, Polk, & Solo                                   [Page 106]
6359.  
6360.  
6361.  
6362.  
6363.  
6364. INTERNET DRAFT                                              July 30 1997
6365.  
6366.  
6367. 0129 30 09          9: . SEQUENCE
6368. 0131 06 07          7: . . OID 1.2.840.10040.4.3: dsa-with-sha
6369. 0140 03 2f         47: . BIT STRING  (0 unused bits)
6370.                      : 30 2c 02 14 9e d8 6b c1 7d c2 c4 02 f5 17 84 f9
6371.                      : 9f 46 7a ca cf b7 05 8a 02 14 9e 43 39 85 dc ea
6372.                      : 14 13 72 93 54 5d 44 44 e5 05 fe 73 9a b2
6373.  
6374.  
6375. printber -s 143 pkix-crl.ber
6376. get 0, len=46 (189 bytes in file)
6377. 0000 30 2c         44: SEQUENCE
6378. 0002 02 14         20: . INTEGER
6379.                      : 9e d8 6b c1 7d c2 c4 02 f5 17 84 f9 9f 46 7a ca
6380.                      : cf b7 05 8a
6381. 0024 02 14         20: . INTEGER
6382.                      : 9e 43 39 85 dc ea 14 13 72 93 54 5d 44 44 e5 05
6383.                      : fe 73 9a b2
6384.  
6385.  
6386. Security Considerations
6387.  
6388.    This entire memo is about security mechanisms.
6389.  
6390. Author Addresses:
6391.  
6392.    Russell Housley
6393.    SPYRUS
6394.    PO Box 1198
6395.    Herndon, VA 20172
6396.    USA
6397.    housley@spyrus.com
6398.  
6399.    Warwick Ford
6400.    VeriSign, Inc.
6401.    One Alewife Center
6402.    Cambridge, MA 02140
6403.    USA
6404.    wford@verisign.com
6405.  
6406.    Tim Polk
6407.    NIST
6408.    Building 820, Room 426
6409.    Gaithersburg, MD 20899
6410.    USA
6411.    wpolk@nist.gov
6412.  
6413.    David Solo
6414.    BBN
6415.  
6416.  
6417.  
6418. Housley, Ford, Polk, & Solo                                   [Page 107]
6419.  
6420.  
6421.  
6422.  
6423.  
6424. INTERNET DRAFT                                              July 30 1997
6425.  
6426.  
6427.    150 CambridgePark Drive
6428.    Cambridge, MA 02140
6429.    USA
6430.    solo@bbn.com
6431.  
6432.  
6433.  
6434.  
6435.  
6436.  
6437.  
6438.  
6439.  
6440.  
6441.  
6442.  
6443.  
6444.  
6445.  
6446.  
6447.  
6448.  
6449.  
6450.  
6451.  
6452.  
6453.  
6454.  
6455.  
6456.  
6457.  
6458.  
6459.  
6460.  
6461.  
6462.  
6463.  
6464.  
6465.  
6466.  
6467.  
6468.  
6469.  
6470.  
6471.  
6472.  
6473.  
6474.  
6475.  
6476.  
6477.  
6478. Housley, Ford, Polk, & Solo                                   [Page 108]
6479.  
6480.  
6481.