home *** CD-ROM | disk | FTP | other *** search

---

/ ftp.rsa.com / 2014.05.ftp.rsa.com.tar / ftp.rsa.com / pub / pkcs / pkcs-15 / pkcs-15v1_1.asn

< prev

next >

Wrap

Text File  |  2014-05-02  |  28KB  |  870 lines

---

1. PKCS-15 {iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1)
2.          pkcs-15(15) modules(1) pkcs-15(1)} 
3.  
4. -- $Revision: 1.7 $ --
5.  
6. DEFINITIONS IMPLICIT TAGS ::=
7.  
8. BEGIN
9.  
10. IMPORTS
11.  
12. informationFramework, authenticationFramework, certificateExtensions
13.         FROM UsefulDefinitions {joint-iso-itu-t(2) ds(5) module(1)
14.                                 usefulDefinitions(0) 3} 
15.  
16. Name, Attribute
17.         FROM InformationFramework informationFramework
18.  
19. Certificate, AttributeCertificate, CertificateSerialNumber,
20.         SubjectPublicKeyInfo
21.         FROM AuthenticationFramework authenticationFramework
22.  
23. GeneralNames, KeyUsage
24.         FROM CertificateExtensions certificateExtensions
25.  
26. RecipientInfos, RecipientInfo, OriginatorInfo, sha-1,
27.     id-alg-CMS3DESwrap, id-alg-CMSRC2wrap, hMAC-SHA1, des-ede3-cbc
28.     FROM CryptographicMessageSyntax {iso(1) member-body(2)
29.     us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) modules(0)
30.     cms(1)}
31.  
32. RSAPublicKey
33.     FROM PKCS-1 {iso(1) member-body(2) us(840) rsadsi(113549)
34.     pkcs(1) pkcs-1(1) modules(0) pkcs-1(1)} 
35.  
36. AlgorithmIdentifier, SupportingAlgorithms, PBKDF2Algorithms,
37.     ALGORITHM-IDENTIFIER, id-hmacWithSHA1
38.     FROM PKCS-5 {iso(1) member-body(2) us(840) rsadsi(113549)
39.     pkcs(1) pkcs-5(5) modules(16) pkcs-5(1)} 
40.  
41. ECPoint, Parameters
42.         FROM ANSI-X9-62 {iso(1) member-body(2) us(840)
43.         ansi-x962(10045) module(4) 1} 
44.  
45. DiffieHellmanPublicNumber, DomainParameters
46.         FROM ANSI-X9-42 {iso(1) member-body(2) us(840)
47.         ansi-x942(10046) module(5) 1}
48.  
49. OOBCertHash
50.         FROM PKIXCMP {iso(1) identified-organization(3) dod(6)
51.         internet(1) security(5) mechanisms(5) pkix(7) id-mod(0)
52.         id-mod-cmp(9)};
53.  
54. -- Constants
55.  
56. pkcs15-ub-identifier          INTEGER ::= 255
57. pkcs15-ub-reference           INTEGER ::= 255
58. pkcs15-ub-index               INTEGER ::= 65535
59. pkcs15-ub-label               INTEGER ::= pkcs15-ub-identifier
60. pkcs15-lb-minPinLength        INTEGER ::= 4
61. pkcs15-ub-minPinLength        INTEGER ::= 8
62. pkcs15-ub-storedPinLength     INTEGER ::= 64
63. pkcs15-ub-recordLength        INTEGER ::= 16383
64. pkcs15-ub-userConsent         INTEGER ::= 15
65. pkcs15-ub-securityConditions  INTEGER ::= 255
66. pkcs15-ub-seInfo              INTEGER ::= 255
67.  
68. -- Object Identifiers
69.  
70. pkcs15 OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840)
71.                                rsadsi(113549) pkcs(1) pkcs-15(15)}
72. pkcs15-mo OBJECT IDENTIFIER ::= {pkcs15 1} -- Modules branch
73. pkcs15-at OBJECT IDENTIFIER ::= {pkcs15 2} -- Attribute branch
74. pkcs15-ct OBJECT IDENTIFIER ::= {pkcs15 3} -- Content type branch
75.  
76. -- Content Types
77.  
78. pkcs15-ct-PKCS15Token OBJECT IDENTIFIER ::= {pkcs15-ct 1}
79.  
80. -- Basic types
81.  
82. Identifier ::= OCTET STRING (SIZE (0..pkcs15-ub-identifier))
83.  
84. Reference ::= INTEGER (0..pkcs15-ub-reference)
85.  
86. Label ::= UTF8String (SIZE(0..pkcs15-ub-label))
87.  
88. KEY-IDENTIFIER ::= CLASS {
89.     &id  INTEGER UNIQUE,
90.     &Value
91. } WITH SYNTAX {
92.     SYNTAX &Value IDENTIFIED BY &id
93. }
94.  
95. CredentialIdentifier {KEY-IDENTIFIER : IdentifierSet} ::= SEQUENCE {
96.     idType  KEY-IDENTIFIER.&id ({IdentifierSet}),
97.     idValue KEY-IDENTIFIER.&Value ({IdentifierSet}{@idType})
98. }
99.  
100. KeyIdentifiers KEY-IDENTIFIER ::= {
101.     issuerAndSerialNumber|
102.     issuerAndSerialNumberHash|
103.     subjectKeyId|
104.     subjectKeyHash |
105.     issuerKeyHash |
106.     issuerNameHash |
107.     subjectNameHash,
108.     ...
109. }
110.  
111. issuerAndSerialNumber KEY-IDENTIFIER::= 
112.         {SYNTAX PKCS15-OPAQUE.&Type IDENTIFIED BY 1}
113.         -- As defined in RFC 2630
114. subjectKeyId KEY-IDENTIFIER ::= 
115.         {SYNTAX OCTET STRING IDENTIFIED BY 2}
116.         -- From x509v3 certificate extension
117. issuerAndSerialNumberHash KEY-IDENTIFIER ::= 
118.         {SYNTAX OCTET STRING IDENTIFIED BY 3}
119.         -- Assumes SHA-1 hash of DER encoding of IssuerAndSerialNumber
120. subjectKeyHash KEY-IDENTIFIER ::= 
121.         {SYNTAX OCTET STRING IDENTIFIED BY 4}
122. issuerKeyHash KEY-IDENTIFIER ::= 
123.         {SYNTAX OCTET STRING IDENTIFIED BY 5}
124. issuerNameHash KEY-IDENTIFIER ::=
125.     {SYNTAX OCTET STRING IDENTIFIED BY 6}
126.     -- SHA-1 hash of DER-encoded issuer name
127. subjectNameHash KEY-IDENTIFIER ::=
128.         {SYNTAX OCTET STRING IDENTIFIED BY 7}
129.     -- SHA-1 hash of DER-encoded subject name
130.  
131. ReferencedValue {Type} ::= CHOICE {
132.     path    Path,
133.     url        URL
134. } (CONSTRAINED BY {-- 'path' or 'url' shall point to an object of
135.    -- type -- Type}) 
136.  
137. URL ::= CHOICE {
138.     url        PrintableString,
139.     urlWithDigest [3] SEQUENCE {
140.         url    IA5String,
141.         digest    DigestInfoWithDefault
142.         }
143. }
144.  
145. alg-id-sha1 AlgorithmIdentifier {{DigestAlgorithms}} ::= {
146.     algorithm  sha-1, 
147.     parameters SHA1Parameters : NULL} 
148.  
149. SHA1Parameters ::= NULL
150.  
151. DigestInfoWithDefault ::= SEQUENCE {
152.     digestAlg    AlgorithmIdentifier {{DigestAlgorithms}} DEFAULT alg-id-sha1,
153.     digest    OCTET STRING (SIZE(8..128))
154. }
155.  
156. Path ::= SEQUENCE {
157.     path     OCTET STRING,
158.     index      INTEGER (0..pkcs15-ub-index) OPTIONAL,
159.     length     [0] INTEGER (0..pkcs15-ub-index) OPTIONAL
160.     }( WITH COMPONENTS {..., index PRESENT, length PRESENT}| 
161.        WITH COMPONENTS {..., index ABSENT, length ABSENT})
162.  
163. ObjectValue { Type } ::= CHOICE {
164.     indirect             ReferencedValue {Type},
165.     direct             [0] Type,
166.     indirect-protected    [1] ReferencedValue {EnvelopedData {Type}},
167.     direct-protected    [2] EnvelopedData {Type}
168.     }(CONSTRAINED BY {-- if indirection is being used, then it is
169.     -- expected that the reference points either to a (possibly
170.     -- enveloped) object of type -- Type -- or (key case) to a card- 
171.     -- specific key file --})
172.  
173. PathOrObjects {ObjectType} ::= CHOICE {
174.     path      Path,
175.     objects      [0] SEQUENCE OF ObjectType,
176.     ...,
177.     indirect-protected [1] ReferencedValue {EnvelopedData {SEQUENCE OF ObjectType}},
178.     direct-protected [2] EnvelopedData {SEQUENCE OF ObjectType}
179.     }
180.  
181. CommonObjectAttributes ::= SEQUENCE {
182.     label        Label OPTIONAL,
183.     flags          CommonObjectFlags OPTIONAL,
184.     authId         Identifier OPTIONAL,
185.     ...,
186.     userConsent     INTEGER (1..pkcs15-ub-userConsent) OPTIONAL,
187.     accessControlRules    SEQUENCE SIZE (1..MAX) OF AccessControlRule OPTIONAL
188. } (CONSTRAINED BY {-- authId should be present in the IC card case if
189.     -- flags.private is set. It must equal an authID in one AuthRecord
190.     -- in the AODF -- }) 
191.  
192. CommonObjectFlags ::= BIT STRING {
193.     private    (0),
194.     modifiable     (1)
195. }
196.  
197. AccessControlRule ::= SEQUENCE {
198.     accessMode        AccessMode,
199.     securityCondition     SecurityCondition,
200.     ... -- For future extensions
201. }
202.  
203. AccessMode ::= BIT STRING {
204.     read    (0),
205.     update    (1),
206.     execute    (2)
207. }
208.  
209. SecurityCondition ::= CHOICE {
210.     authId    Identifier,
211.     not        [0] SecurityCondition,
212.     and        [1] SEQUENCE SIZE (2..pkcs15-ub-securityConditions)
213.                 OF SecurityCondition, 
214.     or         [2] SEQUENCE SIZE (2..pkcs15-ub-securityConditions)
215.                 OF SecurityCondition, 
216.     ... -- For future extensions
217. }
218.  
219. CommonKeyAttributes ::= SEQUENCE {
220.     iD          Identifier,
221.     usage      KeyUsageFlags,
222.     native     BOOLEAN DEFAULT TRUE,
223.     accessFlags     KeyAccessFlags OPTIONAL,
224.     keyReference Reference OPTIONAL,
225.     startDate      GeneralizedTime OPTIONAL,
226.     endDate       [0] GeneralizedTime OPTIONAL,
227.     ... -- For future extensions
228. }
229.  
230. KeyUsageFlags ::= BIT STRING {
231.     encrypt             (0),
232.     decrypt             (1),
233.     sign             (2),
234.     signRecover         (3),
235.     wrap             (4),
236.     unwrap             (5),
237.     verify             (6),
238.     verifyRecover          (7),
239.     derive             (8),
240.     nonRepudiation        (9)
241. }
242.  
243. KeyAccessFlags ::= BIT STRING {
244.     sensitive          (0),
245.     extractable     (1),
246.     alwaysSensitive     (2),
247.     neverExtractable    (3),
248.     local        (4)
249. }
250.  
251. CommonPrivateKeyAttributes ::= SEQUENCE {
252.     subjectName    Name OPTIONAL,
253.     keyIdentifiers     [0] SEQUENCE OF CredentialIdentifier
254.                         {{KeyIdentifiers}} OPTIONAL, 
255.     ... -- For future extensions
256. }
257.  
258. CommonPublicKeyAttributes ::= SEQUENCE {
259.     subjectName     Name OPTIONAL,
260.     ...,
261.     trustedUsage [0] Usage OPTIONAL
262. }
263.  
264. CommonSecretKeyAttributes ::= SEQUENCE {
265.     keyLen    INTEGER OPTIONAL, -- keylength (in bits)
266.     ... -- For future extensions
267. }
268.  
269. KeyInfo {ParameterType, OperationsType} ::= CHOICE {
270.     reference        Reference,
271.     paramsAndOps     SEQUENCE {
272.         parameters         ParameterType,
273.         supportedOperations     OperationsType OPTIONAL
274.     }
275. }
276.  
277. CommonCertificateAttributes ::= SEQUENCE {
278.     iD         Identifier, 
279.     authority    BOOLEAN DEFAULT FALSE,
280.     identifier     CredentialIdentifier {{KeyIdentifiers}} OPTIONAL,
281.     certHash    [0] OOBCertHash OPTIONAL,
282.     ...,
283.     trustedUsage [1] Usage OPTIONAL,
284.     identifiers    [2] SEQUENCE OF CredentialIdentifier{{KeyIdentifiers}} OPTIONAL, 
285.     implicitTrust [3] BOOLEAN DEFAULT FALSE
286. }
287.  
288. Usage ::= SEQUENCE {
289.     keyUsage    KeyUsage OPTIONAL,
290.     extKeyUsage    SEQUENCE SIZE (1..MAX) OF OBJECT IDENTIFIER OPTIONAL
291.     }(WITH COMPONENTS {..., keyUsage PRESENT} |
292.       WITH COMPONENTS {..., extKeyUsage PRESENT})
293.  
294. CommonDataObjectAttributes ::= SEQUENCE {
295.     applicationName    Label OPTIONAL,
296.     applicationOID     OBJECT IDENTIFIER OPTIONAL,
297.     ... -- For future extensions
298.     } (WITH COMPONENTS {..., applicationName PRESENT}| 
299.        WITH COMPONENTS {..., applicationOID PRESENT})
300.  
301. CommonAuthenticationObjectAttributes ::= SEQUENCE {
302.     authId Identifier,
303.     ... -- For future extensions
304. }
305.  
306. PKCS15Object {ClassAttributes, SubClassAttributes, TypeAttributes}
307.     ::= SEQUENCE {
308.     commonObjectAttributes    CommonObjectAttributes,
309.     classAttributes        ClassAttributes,
310.     subClassAttributes         [0] SubClassAttributes OPTIONAL,
311.     typeAttributes        [1] TypeAttributes
312. }
313.  
314. PKCS15Objects ::= CHOICE {
315.     privateKeys     [0] PrivateKeys,
316.     publicKeys         [1] PublicKeys,
317.     trustedPublicKeys      [2] PublicKeys,
318.     secretKeys         [3] SecretKeys,
319.     certificates    [4] Certificates,
320.     trustedCertificates [5] Certificates,
321.     usefulCertificates     [6] Certificates,
322.     dataObjects     [7] DataObjects,
323.     authObjects     [8] AuthObjects,
324.     ... -- For future extensions
325. }
326.  
327. PrivateKeys  ::= PathOrObjects {PrivateKeyType}
328.  
329. SecretKeys   ::= PathOrObjects {SecretKeyType}
330.  
331. PublicKeys   ::= PathOrObjects {PublicKeyType}
332.  
333. Certificates ::= PathOrObjects {CertificateType}
334.  
335. DataObjects  ::= PathOrObjects {DataType}
336.  
337. AuthObjects  ::= PathOrObjects {AuthenticationType}
338.  
339. PrivateKeyType ::= CHOICE {
340.     privateRSAKey    PrivateKeyObject {PrivateRSAKeyAttributes},
341.     privateECKey     [0] PrivateKeyObject {PrivateECKeyAttributes},
342.     privateDHKey     [1] PrivateKeyObject {PrivateDHKeyAttributes},
343.     privateDSAKey    [2] PrivateKeyObject {PrivateDSAKeyAttributes},
344.     privateKEAKey    [3] PrivateKeyObject {PrivateKEAKeyAttributes},
345.     ... -- For future extensions
346. }
347.  
348. PrivateKeyObject {KeyAttributes} ::= PKCS15Object { 
349.     CommonKeyAttributes, CommonPrivateKeyAttributes, KeyAttributes}
350.  
351. PrivateRSAKeyAttributes ::= SEQUENCE {
352.     value         ObjectValue {RSAPrivateKeyObject},
353.     modulusLength     INTEGER, -- modulus length in bits, e.g. 1024
354.     keyInfo          KeyInfo {NULL, PublicKeyOperations} OPTIONAL,
355.     ... -- For future extensions
356. } 
357.  
358. RSAPrivateKeyObject ::= SEQUENCE {
359.     modulus         [0] INTEGER OPTIONAL, -- n
360.     publicExponent     [1] INTEGER OPTIONAL, -- e
361.     privateExponent     [2] INTEGER OPTIONAL, -- d
362.     prime1         [3] INTEGER OPTIONAL, -- p
363.     prime2         [4] INTEGER OPTIONAL, -- q
364.     exponent1          [5] INTEGER OPTIONAL, -- d mod (p-1)
365.     exponent2          [6] INTEGER OPTIONAL, -- d mod (q-1)
366.     coefficient     [7] INTEGER OPTIONAL -- inv(q) mod p
367. } (CONSTRAINED BY {-- must be possible to reconstruct modulus and
368.    -- privateExponent from selected fields --}) 
369.  
370. PrivateECKeyAttributes ::= SEQUENCE {
371.     value      ObjectValue {ECPrivateKey},
372.     keyInfo     KeyInfo {Parameters, PublicKeyOperations} OPTIONAL,
373.     ... -- For future extensions
374. }
375.  
376. ECPrivateKey ::= INTEGER
377.  
378. PrivateDHKeyAttributes ::= SEQUENCE {
379.     value      ObjectValue {DHPrivateKey},
380.     keyInfo     KeyInfo {DomainParameters, PublicKeyOperations} OPTIONAL,
381.     ... -- For future extensions
382. }
383.  
384. DHPrivateKey ::= INTEGER -- Diffie-Hellman exponent
385.  
386. PrivateDSAKeyAttributes ::= SEQUENCE {
387.     value      ObjectValue {DSAPrivateKey},
388.     keyInfo     KeyInfo {DomainParameters, PublicKeyOperations} OPTIONAL,
389.     ... -- For future extensions
390. }
391.  
392. DSAPrivateKey ::= INTEGER
393.  
394. PrivateKEAKeyAttributes ::= SEQUENCE {
395.     value      ObjectValue {KEAPrivateKey},
396.     keyInfo     KeyInfo {DomainParameters, PublicKeyOperations} OPTIONAL,
397.     ... -- For future extensions
398. }
399.  
400. KEAPrivateKey ::= INTEGER
401.  
402. PublicKeyType ::= CHOICE {
403.     publicRSAKey     PublicKeyObject {PublicRSAKeyAttributes},
404.     publicECKey     [0] PublicKeyObject {PublicECKeyAttributes},
405.     publicDHKey     [1] PublicKeyObject {PublicDHKeyAttributes},
406.     publicDSAKey     [2] PublicKeyObject {PublicDSAKeyAttributes},
407.     publicKEAKey     [3] PublicKeyObject {PublicKEAKeyAttributes},
408.     ... -- For future extensions
409. }
410.  
411. PublicKeyObject {KeyAttributes} ::= PKCS15Object { 
412.     CommonKeyAttributes, CommonPublicKeyAttributes, KeyAttributes}
413.  
414. PublicRSAKeyAttributes ::= SEQUENCE {
415.     value        ObjectValue {RSAPublicKeyChoice},
416.     modulusLength     INTEGER, -- modulus length in bits, e.g. 1024
417.     keyInfo        KeyInfo {NULL, PublicKeyOperations} OPTIONAL,
418.     ... -- For future extensions
419. } 
420.  
421. RSAPublicKeyChoice ::= CHOICE {
422.     raw     RSAPublicKey,
423.     spki [1] SubjectPublicKeyInfo, -- See X.509. Must contain a
424.     -- public RSA key 
425.     ...
426. }
427.  
428. PublicECKeyAttributes ::= SEQUENCE {
429.     value      ObjectValue {ECPublicKeyChoice},
430.     keyInfo     KeyInfo {Parameters, PublicKeyOperations} OPTIONAL,
431.     ... -- For future extensions
432. }
433.  
434. ECPublicKeyChoice ::= CHOICE {
435.     raw     ECPoint,
436.     spki SubjectPublicKeyInfo, -- See X.509. Must contain a public EC key
437.     ...
438. }
439.  
440. PublicDHKeyAttributes ::= SEQUENCE {
441.     value      ObjectValue {DHPublicKeyChoice},
442.     keyInfo     KeyInfo {DomainParameters, PublicKeyOperations} OPTIONAL,
443.     ... -- For future extensions
444. }
445.  
446. DHPublicKeyChoice ::= CHOICE {
447.     raw     DiffieHellmanPublicNumber,
448.     spki SubjectPublicKeyInfo, -- See X.509. Must contain a public D-H key
449.     ...
450. }
451.  
452. PublicDSAKeyAttributes ::= SEQUENCE {
453.     value      ObjectValue {DSAPublicKeyChoice},
454.     keyInfo     KeyInfo {DomainParameters, PublicKeyOperations} OPTIONAL,
455.     ... -- For future extensions
456. }
457.  
458. DSAPublicKeyChoice ::= CHOICE {
459.     raw     INTEGER,
460.     spki SubjectPublicKeyInfo, -- See X.509. Must contain a public DSA key.
461.     ...
462. }
463.  
464. PublicKEAKeyAttributes ::= SEQUENCE {
465.     value      ObjectValue {KEAPublicKeyChoice},
466.     keyInfo     KeyInfo {DomainParameters, PublicKeyOperations} OPTIONAL,
467.     ... -- For future extensions
468. }
469.  
470. KEAPublicKeyChoice ::= CHOICE {
471.     raw     INTEGER,
472.     spki SubjectPublicKeyInfo, -- See X.509. Must contain a public KEA key
473.     ...
474. }
475.  
476. SecretKeyType ::= CHOICE {
477.     genericSecretKey    SecretKeyObject {GenericSecretKeyAttributes},
478.     rc2key         [0] SecretKeyObject {GenericSecretKeyAttributes},
479.     rc4key         [1] SecretKeyObject {GenericSecretKeyAttributes},
480.     desKey         [2] SecretKeyObject {GenericSecretKeyAttributes},
481.     des2Key        [3] SecretKeyObject {GenericSecretKeyAttributes},
482.     des3Key                [4] SecretKeyObject {GenericSecretKeyAttributes}, 
483.     castKey         [5] SecretKeyObject {GenericSecretKeyAttributes},
484.     cast3Key         [6] SecretKeyObject {GenericSecretKeyAttributes},
485.     cast128Key      [7] SecretKeyObject {GenericSecretKeyAttributes},
486.     rc5Key          [8] SecretKeyObject {GenericSecretKeyAttributes},
487.     ideaKey         [9] SecretKeyObject {GenericSecretKeyAttributes},
488.     skipjackKey     [10] SecretKeyObject {GenericSecretKeyAttributes},
489.     batonKey        [11] SecretKeyObject {GenericSecretKeyAttributes},
490.     juniperKey      [12] SecretKeyObject {GenericSecretKeyAttributes},
491.     rc6Key         [13] SecretKeyObject {GenericSecretKeyAttributes},
492.     otherKey        [14] OtherKey,
493. ... -- For future extensions
494. }
495.  
496. SecretKeyObject {KeyAttributes} ::= PKCS15Object { 
497.      CommonKeyAttributes, CommonSecretKeyAttributes, KeyAttributes}
498.  
499. OtherKey ::= SEQUENCE {
500.     keyType    OBJECT IDENTIFIER,
501.     keyAttr    SecretKeyObject {GenericSecretKeyAttributes}
502. }
503.  
504. GenericSecretKeyAttributes ::= SEQUENCE {
505.     value    ObjectValue { OCTET STRING },
506.     ... -- For future extensions
507. }
508.  
509. CertificateType ::= CHOICE {
510.     x509Certificate      CertificateObject { X509CertificateAttributes},
511.     x509AttributeCertificate [0] CertificateObject
512.                         {X509AttributeCertificateAttributes}, 
513.     spkiCertificate     [1] CertificateObject {SPKICertificateAttributes},
514.     pgpCertificate      [2] CertificateObject {PGPCertificateAttributes},
515.     wtlsCertificate     [3] CertificateObject {WTLSCertificateAttributes},
516.     x9-68Certificate     [4] CertificateObject {X9-68CertificateAttributes},
517.     ...,
518.     cvCertificate    [5] CertificateObject {CVCertificateAttributes}
519. }
520.  
521. CertificateObject {CertAttributes} ::= PKCS15Object { 
522.     CommonCertificateAttributes, NULL, CertAttributes}
523.  
524. X509CertificateAttributes ::= SEQUENCE {
525.     value        ObjectValue { Certificate },
526.     subject          Name OPTIONAL,
527.     issuer         [0] Name OPTIONAL,
528.     serialNumber     CertificateSerialNumber OPTIONAL,
529.     ... -- For future extensions
530. }
531.  
532. X509AttributeCertificateAttributes ::= SEQUENCE {
533.     value    ObjectValue { AttributeCertificate },
534.     issuer    GeneralNames OPTIONAL,
535.     serialNumber CertificateSerialNumber OPTIONAL,
536.     attrTypes     [0] SEQUENCE OF OBJECT IDENTIFIER OPTIONAL,
537.     ... -- For future extensions
538. }
539.  
540. SPKICertificateAttributes ::= SEQUENCE {
541.     value    ObjectValue { PKCS15-OPAQUE.&Type },
542.     ... -- For future extensions
543. }
544.  
545. PGPCertificateAttributes ::= SEQUENCE {
546.     value    ObjectValue { PKCS15-OPAQUE.&Type },
547.     ... -- For future extensions
548. }
549.  
550. WTLSCertificateAttributes ::= SEQUENCE {
551.     value    ObjectValue { PKCS15-OPAQUE.&Type },
552.     ... -- For future extensions
553. }
554.  
555. X9-68CertificateAttributes ::= SEQUENCE {
556.     value    ObjectValue { PKCS15-OPAQUE.&Type },
557.     ... -- For future extensions
558. }
559. CVCertificateAttributes ::= SEQUENCE {
560.     value    ObjectValue { PKCS15-OPAQUE.&Type},
561.     ... -- For future extensions
562. }
563.  
564. DataType ::= CHOICE {
565.     opaqueDO    DataObject {Opaque},
566.     externalIDO    [0] DataObject {ExternalIDO},
567.     oidDO      [1] DataObject {OidDO},
568.     ... -- For future extensions
569. }
570.  
571. DataObject {DataObjectAttributes} ::= PKCS15Object { 
572.     CommonDataObjectAttributes, NULL, DataObjectAttributes}
573.  
574. Opaque ::= ObjectValue {PKCS15-OPAQUE.&Type}
575.  
576. ExternalIDO ::= ObjectValue {PKCS15-OPAQUE.&Type}
577.     (CONSTRAINED BY {-- All data objects must be defined in
578.     -- accordance with ISO/IEC 7816-6 --}) 
579.  
580. OidDO ::= SEQUENCE {
581.     id        OBJECT IDENTIFIER,
582.     value     ObjectValue {PKCS15-OPAQUE.&Type}
583. }
584.  
585. AuthenticationType ::= CHOICE {
586.     pin    AuthenticationObject { PinAttributes },
587.     ...,
588.     biometricTemplate [0] AuthenticationObject {BiometricAttributes},
589.     authKey  [1] AuthenticationObject {AuthKeyAttributes},
590.     external [2] AuthenticationObject {ExternalAuthObjectAttributes}
591. }
592.  
593. AuthenticationObject {AuthObjectAttributes} ::= PKCS15Object { 
594.     CommonAuthenticationObjectAttributes, NULL, AuthObjectAttributes}
595.  
596. PinAttributes ::= SEQUENCE {
597.     pinFlags        PinFlags,
598.     pinType        PinType,
599.     minLength       INTEGER (pkcs15-lb-minPinLength..pkcs15-ub-minPinLength),
600.     storedLength  INTEGER (0..pkcs15-ub-storedPinLength),
601.     maxLength       INTEGER OPTIONAL,
602.     pinReference  [0] Reference DEFAULT 0,
603.     padChar        OCTET STRING (SIZE(1)) OPTIONAL,
604.     lastPinChange GeneralizedTime OPTIONAL,
605.     path       Path OPTIONAL,
606.     ... -- For future extensions
607. }
608.  
609. PinFlags ::= BIT STRING {
610.     case-sensitive        (0),
611.     local             (1),
612.     change-disabled         (2),
613.     unblock-disabled         (3),
614.     initialized          (4),
615.     needs-padding         (5),
616.     unblockingPin         (6),
617.     soPin             (7),
618.     disable-allowed         (8),
619.     integrity-protected        (9),
620.     confidentiality-protected    (10),
621.     exchangeRefData        (11)
622. } (CONSTRAINED BY { -- 'unblockingPin' and 'soPIN' cannot both be set -- })
623.  
624. PinType ::= ENUMERATED {bcd, ascii-numeric, utf8, ...,
625.     half-nibble-bcd, iso9564-1}
626.  
627. BiometricAttributes ::= SEQUENCE {
628.     bioFlags        BiometricFlags,
629.     templateId        OBJECT IDENTIFIER,
630.     bioType        BiometricType,
631.     bioReference    Reference DEFAULT 0,
632.     lastChange        GeneralizedTime OPTIONAL,
633.     path        Path OPTIONAL,
634. ... -- For future extensions
635. }
636.  
637. BiometricFlags ::= BIT STRING {
638.     local        (1),
639.     change-disabled    (2),
640.     unblock-disabled    (3),
641.     initialized        (4),
642.     disable-allowed    (8),
643.     integrity-protected    (9),
644.     confidentiality-protected    (10)
645.     } -- Note: bits 0, 5, 6, and 7 are reserved for future use
646.  
647. BiometricType ::= CHOICE {
648.     fingerPrint        FingerPrint,
649.     irisScan        [0] IrisScan,
650.     -- Possible extensions:
651.     -- voiceScan    VoiceScan,
652.     -- faceScan        FaceScan,
653.     -- retinaScan    Retinascan,
654.     -- handGeometry    HandGeometry,
655.     -- writeDynamics    WriteDynamics,
656.     -- keyStrokeDynamicsKeyStrokeDynamics,
657.     -- lipDynamics    LipDynamics,
658.     ... -- For future extensions
659. }
660.  
661. FingerPrint ::= SEQUENCE {
662.     hand    ENUMERATED {left, right},
663.     finger    ENUMERATED {thumb, pointerFinger, middleFinger,
664.                     ringFinger, littleFinger}, 
665.     ...
666. }
667.  
668. IrisScan ::= SEQUENCE {
669.     eye    ENUMERATED {left, right},
670.     ...
671. }
672.  
673. ExternalAuthObjectAttributes ::= CHOICE {
674.     authKeyAttributes    AuthKeyAttributes,
675.     certBasedAttributes    [0] CertBasedAuthenticationAttributes,
676.     ... -- For future extensions
677. }
678.  
679. AuthKeyAttributes ::= SEQUENCE {
680.     derivedKey    BOOLEAN DEFAULT TRUE,
681.     authKeyId    Identifier,
682.     ... -- For future extensions
683. }
684.  
685. CertBasedAuthenticationAttributes ::= SEQUENCE {
686.     cha    OCTET STRING,
687.     ...
688. }
689.  
690. TokenInfo ::= SEQUENCE {
691.     version        INTEGER {v1(0)} (v1,...),
692.     serialNumber    OCTET STRING,
693.     manufacturerID     Label OPTIONAL,
694.     label         [0] Label OPTIONAL,
695.     tokenflags         TokenFlags,
696.     seInfo         SEQUENCE OF SecurityEnvironmentInfo OPTIONAL,
697.     recordInfo         [1] RecordInfo OPTIONAL,
698.     supportedAlgorithms    [2] SEQUENCE OF AlgorithmInfo OPTIONAL,
699.     ...,
700.     issuerId        [3] Label OPTIONAL,
701.     holderId        [4] Label OPTIONAL,
702.     lastUpdate        [5] LastUpdate OPTIONAL,
703.     preferredLanguage    PrintableString OPTIONAL -- In accordance with
704.     -- IETF RFC 1766 
705. } (CONSTRAINED BY { -- Each AlgorithmInfo.reference value must be unique --})
706.  
707. TokenFlags ::= BIT STRING {
708.     readonly        (0),
709.     loginRequired     (1),
710.     prnGeneration     (2),
711.     eidCompliant      (3)
712. }
713.  
714. SecurityEnvironmentInfo ::= SEQUENCE {
715.     se        INTEGER (0..pkcs15-ub-seInfo),
716.     owner     OBJECT IDENTIFIER,
717.     ... -- For future extensions
718. }
719.  
720. RecordInfo ::= SEQUENCE {
721.     oDFRecordLength      [0] INTEGER (0..pkcs15-ub-recordLength) OPTIONAL,
722.     prKDFRecordLength     [1] INTEGER (0..pkcs15-ub-recordLength) OPTIONAL,
723.     puKDFRecordLength    [2] INTEGER (0..pkcs15-ub-recordLength) OPTIONAL,
724.     sKDFRecordLength     [3] INTEGER (0..pkcs15-ub-recordLength) OPTIONAL,
725.     cDFRecordLength      [4] INTEGER (0..pkcs15-ub-recordLength) OPTIONAL,
726.     dODFRecordLength     [5] INTEGER (0..pkcs15-ub-recordLength) OPTIONAL,
727.     aODFRecordLength     [6] INTEGER (0..pkcs15-ub-recordLength) OPTIONAL
728. }
729.  
730. AlgorithmInfo ::= SEQUENCE {
731.     reference      Reference,
732.     algorithm      PKCS15-ALGORITHM.&id({AlgorithmSet}),
733.     parameters     PKCS15-ALGORITHM.&Parameters({AlgorithmSet}{@algorithm}),
734.     supportedOperations
735.             PKCS15-ALGORITHM.&Operations({AlgorithmSet}{@algorithm}),
736.     algId       PKCS15-ALGORITHM.&objectIdentifier({AlgorithmSet}{@algorithm})
737.                     OPTIONAL, 
738.     algRef    Reference OPTIONAL
739. }
740.  
741. PKCS15-ALGORITHM ::= CLASS {
742.         &id INTEGER UNIQUE,
743.         &Parameters,
744.         &Operations Operations,
745.     &objectIdentifier OBJECT IDENTIFIER OPTIONAL
746. } WITH SYNTAX {
747.   PARAMETERS &Parameters OPERATIONS &Operations ID &id [OID &objectIdentifier]}
748.  
749. PKCS15-OPAQUE ::= TYPE-IDENTIFIER
750.  
751. PublicKeyOperations ::= Operations 
752.  
753. Operations ::= BIT STRING {
754.         compute-checksum  (0), -- H/W computation of checksum
755.         compute-signature (1), -- H/W computation of signature
756.         verify-checksum   (2), -- H/W verification of checksum
757.         verify-signature  (3), -- H/W verification of signature
758.         encipher          (4), -- H/W encryption of data
759.         decipher          (5), -- H/W decryption of data
760.         hash              (6), -- H/W hashing
761.         generate-key      (7)  -- H/W key generation
762.         }
763.  
764. pkcs15-alg-null      PKCS15-ALGORITHM ::= {
765.         PARAMETERS NULL OPERATIONS {{generate-key}} ID -1}
766.  
767. AlgorithmSet PKCS15-ALGORITHM ::= { 
768.         pkcs15-alg-null,
769.         ... -- See PKCS #11 for values for the &id field (and parameters)
770.         }
771.  
772. LastUpdate ::= CHOICE {
773.         generalizedTime GeneralizedTime,
774.         referencedTime ReferencedValue {GeneralizedTime},
775.     ... -- For future extensions
776.     }
777.  
778. -- Soft token related types and objects
779.  
780. EnvelopedData {Type} ::= SEQUENCE {
781.     version         INTEGER{v0(0),v1(1),v2(2),v3(3),v4(4)}(v0|v1|v2,...),
782.     originatorInfo     [0] OriginatorInfo OPTIONAL,
783.     recipientInfos      RecipientInfos,
784.     encryptedContentInfo EncryptedContentInfo{Type},
785.     unprotectedAttrs     [1] SET SIZE (1..MAX) OF Attribute OPTIONAL
786. }
787.  
788. EncryptedContentInfo {Type} ::= SEQUENCE {
789.     contentType               OBJECT IDENTIFIER,
790.     contentEncryptionAlgorithm AlgorithmIdentifier {{KeyDerivationAlgorithms}},
791.     encryptedContent            [0] OCTET STRING OPTIONAL
792. }(CONSTRAINED BY {-- 'encryptedContent' shall be the result of
793.   -- encrypting DER-encoded value of type -- Type})
794.  
795. PKCS15Token ::= SEQUENCE {
796.     version        INTEGER {v1(0)} (v1,...),
797.     keyManagementInfo    [0] KeyManagementInfo OPTIONAL,
798.     pkcs15Objects    SEQUENCE OF PKCS15Objects
799. }
800.  
801. KeyManagementInfo ::= SEQUENCE OF SEQUENCE {
802.     keyId        Identifier,
803.     keyInfo        CHOICE {
804.         recipientInfo    RecipientInfo,
805.         passwordInfo    [0] PasswordInfo
806.     }
807. } (CONSTRAINED BY {-- Each keyID must be unique --})
808.  
809. PasswordInfo ::= SEQUENCE {
810.     hint    Label OPTIONAL,
811.     algId    AlgorithmIdentifier {{KeyDerivationAlgorithms}},
812.     ...
813. } (CONSTRAINED BY {--keyID shall point to a KEKRecipientInfo--})
814.  
815. KeyDerivationAlgorithms ALGORITHM-IDENTIFIER ::= {
816.     PBKDF2Algorithms,
817.     ... -- For future extensions
818. }
819.  
820. CMS3DESwrap ::= NULL
821.  
822. KeyEncryptionAlgorithms ALGORITHM-IDENTIFIER ::= {
823.     {CMS3DESwrap IDENTIFIED BY id-alg-CMS3DESwrap} |
824.     {INTEGER IDENTIFIED BY id-alg-CMSRC2wrap},
825.     ... -- For future extensions
826. }
827.  
828. DES-IV ::= OCTET STRING (SIZE(8))
829.  
830. ContentEncryptionAlgorithms ALGORITHM-IDENTIFIER ::= {
831.     SupportingAlgorithms EXCEPT {NULL IDENTIFIED BY id-hmacWithSHA1},
832.     ... -- For future extensions
833. }
834.  
835. MACAlgorithms ALGORITHM-IDENTIFIER ::= {
836.     {NULL IDENTIFIED BY hMAC-SHA1},
837.     ... -- For future extensions
838. }
839.  
840. DigestAlgorithms ALGORITHM-IDENTIFIER ::= {
841.     {NULL IDENTIFIED BY sha-1},
842.     ... -- For future extensions
843. }
844.  
845. -- Misc
846.  
847. DDO ::= SEQUENCE {
848.     oid        OBJECT IDENTIFIER,
849.     odfPath        Path OPTIONAL,
850.     tokenInfoPath [0] Path OPTIONAL,
851.     unusedPath       [1] Path OPTIONAL,
852.     ... -- For future extensions
853. }
854.  
855. DIRRecord ::=   [APPLICATION 1] SEQUENCE {
856.     aid      [APPLICATION 15] OCTET STRING,
857.     label     [APPLICATION 16] UTF8String OPTIONAL,
858.     path     [APPLICATION 17] OCTET STRING,
859.     ddo      [APPLICATION 19] DDO OPTIONAL
860. }
861.  
862. UnusedSpace ::= SEQUENCE {
863.     path      Path (WITH COMPONENTS {..., index PRESENT, length PRESENT}),
864.     authId     Identifier OPTIONAL,
865.     ...,
866.     accessControlRules SEQUENCE OF AccessControlRule OPTIONAL
867. }
868.  
869. END
870.