信息安全技术数字签名应用安全证明获取方法(GB-T 36644-2018).pdf

ICS 35.040L 80中中 华华 人人 民民 共共 和和 国国 国国 家家 标标 准准GB/TXXXXXXXXX信息安全技术 数字签名应用安全证明获取方法Information security technologyThe methods for obtaining security attestations for digital signature applications(报批稿)（本稿完成日期：2017/11/29）XXXX-XX-XX 发布XXXX-XX-XX 实施GB/T XXXXXXXXXI目录前言.II1 范围.12 规范性引用文件.13 术语和定义.14 缩略语.25 数字签名应用安全证明获取.25.1 概述.25.2 私钥拥有属性的安全证明获取.35.2.1 证明时刻确定的私钥拥有属性安全证明获取时效模型.35.2.2 证明时刻不确定的私钥拥有属性安全证明获取时效模型.45.2.3 私钥拥有属性安全证明获取过程.45.2.4 具体的私钥拥有属性安全证明获取流程.75.3 公钥有效性的安全证明获取.105.3.1 总则.105.3.2 拥有者的公钥有效性安全证明获取.115.3.3 验证者的公钥有效性安全证明获取.115.3.4 公钥有效性验证过程.115.4 数字签名的生成时间安全证明获取.125.4.1 总则.125.4.2 从 TTSA 获取时间的方式获取签名生成时间证明.125.4.3 用验证方提供的数据获得签名生成时间证明.21附录 A（资料性附录）SM2 签名算法公钥有效性获取流程.26参考文献.27GB/T XXXXXXXXXII前言本标准按照GB/T 1.1-2009 标准化工作导则 第1部分：标准的结构和编写给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本标准起草单位：中国科学院数据与通信保护研究教育中心。本标准主要起草人：王跃武、刘丽敏、吕娜、荆继武、雷灵光、牛莹姣、刘志娟、周荃、夏鲁宁。GB/T XXXXXXXXX1信息安全技术数字签名应用安全证明获取方法1范围本标准规定了一套数字签名应用安全证明获取方法，用以规范数字签名应用安全证明过程。本标准适用于各种数字签名应用场景，在具体应用中，一些安全证明的获取流程需要根据具体的签名算法标准，进行具体化。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 250692010信息安全技术术语3术语和定义GB/T 250692010界定的以及下列术语和定义适用于本文件。3.1公钥有效性证明 attestation of public key validity证明用于签名验证的公钥有效性的证据。3.2私钥拥有属性安全证明 attestation of private key possession证明声称的签名者确实实际拥有用于生成签名的私钥的证据。3.3证明消息 attestation message用于获取私钥拥有属性安全证明的，具有特定格式的消息。3.4证明签名 attestation signature作用于证明消息的数字签名。3.5证明时间 attestation time私钥拥有属性安全证明获取的时间。3.6GB/T XXXXXXXXX2证明水平 attestation level私钥拥有属性安全证明的可信程度，分为高、中、低三个层次，依赖于证明获取的手段。3.7请求验证签名 signature in question请求私钥拥有属性安全证明的一个签名。3.8签名生成时间证明 attestation of signature timeliness证明一个数字签名确实是在一个时间点之前、之后或者是在两个时间点之间生成的证据。3.9时间戳机构 time stamp authority用来产生和管理时间戳的权威机构。GB/T 20520-2006，定义3.33.10可信时间戳机构 trusted time stamp authority被签名者、验证者以及其它签名依赖方相信的时间戳机构。4缩略语下列缩略语适用于本文件。CA：证书认证机构（Certification Authority）TST：时间戳令牌（Tim Stamp Token）TTP：可信第三方（Trusted Third Party）TTSA：可信时间戳机构（Trusted Time Stamp Authority）TSP：时间戳数据包（Time Stamp Packet）5数字签名应用安全证明获取5.1概述本标准凡涉及密码算法的相关内容，按国家有关法规实施；凡涉及到采用密码技术解决保密性、完整性、真实性、不可否认性需求的须遵循密码相关国家标准和行业标准。本标准明确了获取数字签名生成和验证环节的有效性证明方法。每一个数字签名者都拥有一对公私钥对，并且该签名者就是这对公私钥对的拥有者。私钥用于数字签名的生成，公钥用于数字签名的验证过程。数字签名生成、验证过程的安全证明获取包括：私钥拥有属性的安全证明获取、公钥有效性的安全证明获取和数字签名的生成时间安全证明获取。私钥的拥有者是指被授权使用公私钥对中的私钥来进行数字签名生成的实体。生成的数字签名可以被对应的公钥进行验证。被授权使用私钥生成签名并不意味着拥有者确实知道正确的私钥。因此，在拥有者进行数字签名之前，需要获取私钥拥有属性的安全证明。根据签名公私钥对生成方式的不同，私钥被知道的方式可以分为如下5种：GB/T XXXXXXXXX3a)拥有者自己生成和维护公私钥对，仅由拥有者知道私钥；b)拥有者在 TTP 的帮助下生成公私钥对，但是私钥只能由拥有者知道；c)公私钥对由 TTP 生成后提供给拥有者，拥有者和 TTP 同时知道私钥；d)公私钥对采用方式 a)生成，生成后提供给充当密钥服务器的 TTP，这样拥有者和 TTP 同时知道私钥；e)公私钥对采用方式 b)生成，生成后提供给充当密钥服务器的 TTP，这样拥有者和充当密钥服务器的 TTP 同时知道私钥。后三种方式下，需要建立在TTP不会用私钥生成数字签名的信任之上。公私钥对拥有者、签名验证者以及其它签名依赖方要能够共享这个信任。方式c)、d)、e)相对于方式a)、b)，其私钥拥有属性安全证明的可信程度较低。私钥拥有属性安全证明的使用场景如下：公私钥对拥有者在签名生成之前或者同时需要获得私钥拥有属性的安全证明。验证者接受数字签名之前或者同时需要获得私钥拥有属性安全证明。此场景下，在获得私钥拥有属性安全证明之前，要完成生成签名的公私钥对拥有者的身份鉴别。TTP 向其它各方提供公私钥对拥有者的私钥拥有属性安全证明。此场景下，TTP 在获得私钥拥有属性安全证明之前，要首先完成拥有者的身份鉴别。获取的私钥拥有属性安全证明是有时效性的。以下私钥拥有属性安全证明获取时效模型可以用于私钥拥有属性安全证明水平评估。5.2私钥拥有属性的安全证明获取5.2.1证明时刻确定的私钥拥有属性安全证明获取时效模型私钥拥有属性安全证明的获取要在一个特定的时间点完成，该时间点被称为证明时刻。随着时间的流逝，可能会发生一些事件，对私钥拥有属性安全证明产生负面影响。随着时间流逝的增加，发生这些事件的概率也将增加，安全证明水平将会因为这些事件的发生而降低。因此，合理地推断证明时刻之后一段时间，证明水平是必要的。图1描述了私钥拥有属性安全证明的证明水平随时间变化的模型。签名依赖方所在的组织可以根据该模型对安全证明的证明水平做出判断。在图1中，tA为私钥拥有属性安全证明的证明时刻。a，b，c的值由签名依赖方所在的组织根据自己的安全需求选择。图 1 私钥拥有属性安全证明水平随时间变化的通用模型a和b是tA前后的两个时间段，在这个模型中，tA-a和tA+b这两个时间点内，获得的私钥拥有属性安全证明具有高的证明水平。签名依赖方所在的组织根据安全策略，选择不同的a、b值控制对证明的信任程度。GB/T XXXXXXXXX4c是tA+b之后的一个时间段，在这段时间内，私钥拥有属性安全证明的证明水平逐渐从高降到低。在tA+b+c之后的时间里，私钥拥有属性安全证明的证明水平一直为低。在私钥拥有属性安全证明的证明水平降为低之后，如果仍需要高的证明水平，需要重新进行私钥拥有属性安全证明的获取。5.2.2证明时刻不确定的私钥拥有属性安全证明获取时效模型理想情况下，证明时刻是一个确定的值。然而，实际应用中，准确地确定证明时刻存在一定的困难，通常会用一个估计值代替。这个估计值是用一个包含证明生成时刻的一个时间段表示。证明时刻不确定的私钥拥有属性安全证明如图2所示。图 2 基于证明时刻估值的私钥拥有属性安全证明时效模型a，b，c的定义同5.1.1。tG表示证明签名的生成时刻。t1表示被依赖方信任超前于tG的证明生成时刻。t2表示被依赖方信任滞后于tG的证明生成时刻。d表示t1和t2之间的差值。tA表示指定的证明时刻，并且必须满足t1tAt2，为了方便起见，可以指定tA=t1，或者tA=t2。a，b，c和d，由签名依赖方或者其所在的组织，在考虑如下因素的基础上确定：a)a，b，c的值根据组织策略对数字签名的安全证明的要求确定，同时还要考虑所采用的私钥拥有属性安全证明获取过程的难易程度。b)d的值应该小于a和b中最小值的一半，即dd，则私钥拥有属性安全证明没有获得，不用赋值给证明时间tA。如果证明签名不能被验证通过，则私钥拥有属性安全证明没有获得，不用赋值给证明时间tA。5.2.3.2.3指定初始证明水平证明签名被验证通过和证明时间指定完成后，需要指定证明的初始水平。证明初始水平指定按如下方法完成：a)如果证明时间tA是从依赖方信任的 TTSA 提供的 TST 中获得，那么最初的证明水平被置于高。GB/T XXXXXXXXX7b)如果证明时间tA不是从依赖方信任的 TTSA 提供的 TST 中获得，而是从证明签名验证者提供的一个精度被依赖方信任的时间源获得，那么最初的证明水平被置于中。c)如果证明时间tA不是从依赖方信任的 TTSA 提供的 TST 中获得，而是从证明签名验证者提供的一个时间源获得，并且该时间源的精度对依赖方不可知，那么最初的证明水平被置于低。5.2.3.3通过密钥再生获取私钥拥有属性安全证明密钥再生可以由公私钥对拥有者或者被提供公私钥对的TTP完成。密钥再生要在与原始密钥对生成环境不同的环境下，用不同于原始密钥对生成方法的方法生成一个或者一对密钥。在后续再次获取私钥拥有属性安全证明时，密钥再生可以采用与第一次密钥再生相同的环境和流程完成。私钥拥有属性安全证明获取只有在再生的密钥与拥有者拥有的密钥相同的情况下才能获取。密钥再生的过程与具体的签名算法相关，可以参考对应的算法标准。通过密钥再生获取私钥拥有属性安全证明，同样需要指定证明时间和初始证明水平，具体过程参见5.2.3.2.2和5.2.3.2.3。5.2.3.4普通签名的私钥拥有属性安全证明确定本部分描述如何判断一个普通消息签名所对应的私钥拥有属性安全证明水平。普通消息一般不会充分满足5.2.3中的证明消息的各项要求。可以用签发该普通消息签名的私钥的私钥拥有属性安全证明来确定该普通消息签名的安全证明水平。普通消息签名安全证明获取可以在其对应私钥的私钥拥有属性安全证明的证明时间之前，同时或者之后生成。普通消息签名的生成时间用ts表示。ts可能有一个确定的值，或者是一个取值范围，或者是完全不确定的一个值。如果ts有一个具有充分精度的值，并且对应私钥的私钥拥有属性安全证明已经获取，则可以根据5.1.1中的时效模型，按照如下的方法确定该普通消息签名的安全证明水平：a)如果（tA-（ad）ts（tA+（bd），那么该普通消息签名的安全证明水平等于获取的私钥拥有属性安全证明的初始证明水平；b)如果（tA+（bd）ts（tA+（bd）+c），那么该普通消息签名的安全证明水平将从最初状态逐渐降低直至低水平；c)ts（tA+（bd）+c），那么该普通消息签名的安全证明水平为低。如果ts没有一个确定的值，则该普通消息签名的安全证明水平被确定为低。5.2.4具体的私钥拥有属性安全证明获取流程5.2.4.1公私钥对拥有者获取私钥拥有属性安全证明公私钥对拥有者可以用如下一种或多种方法获取私钥拥有属性安全证明：a)公私钥对拥有者采用证明签名获取私钥拥有属性安全证明：公私钥对拥有者需要完成以下内容：1)确定适当的d值，例如，可以按照 5.2.2 中的时效模型，在确定完合适的a，b，c值的基础上，确定d值。2)确定一个可信的t1值。3)生成一个新的用于获取私钥拥有属性安全证明的证明消息。4)用要获取证明的私钥对证明消息签名，生成证明签名。5)用对应的公钥验证证明签名。GB/T XXXXXXXXX86)如果验证成功：为t2确定一个可信的值；如果t1t2t1+d，按照本标准前面的规定确定证明时间和初始证明水平。b)公私钥对拥有者采用证明签名从 TTP 获取私钥拥有属性安全证明：1)公私钥对拥有者要确定适当的d值，例如，可以按照 5.2.2 中的时效模型，在确定完合适的a，b，c值的基础上，确定d值。2)如果 TTP 负责证明时间的分配，则d值要让 TTP 知道。3)公私钥对拥有者和/或 TTP 要确定一个被公私钥对拥有者信任的t1值。4)公私钥对拥有者生成一个新的用于获取私钥拥有属性安全证明的证明消息。5)公私钥对拥有者用要获取证明的私钥对证明消息签名，生成证明签名。6)公私钥对拥有者将证明消息、证明签名和其它必要的数据发送给 TTP。7)TTP 用对应的公钥验证证明签名。8)如果验证通过：需要通知公私钥对拥有者，证明签名验证成功；公私钥对拥有者和/或 TTP 要为t2确定一个拥有者信任的值；如果t1t2t1+d，公私钥对拥有者或者是 TTP 开始指定证明时间和初始证明水平；指定证明时间的实体必须要知道d值以及t1和t2；指定初始证明水平的实体必须知道确定t1和t2值的方法；公私钥对拥有者要记录证明时间和初始证明水平。c)公私钥对拥有者通过密钥再生获取私钥拥有属性安全证明：公私钥对拥有者需要完成以下内容：1)确定适当的d值，例如，可以按照 5.2.2 中的时效模型，在确定完合适的a，b，c值的基础上，确定d值。2)确定一个可信的t1值。3)选择下面的一个操作：重新生成要获取证明的私钥对应的密钥对；重新生成要获取证明的私钥对应的密钥对中的一个密钥。4)对比重新生成的密钥对（密钥）值和目前拥有的密钥值。5)如果匹配成功：为t2确定一个可信的值；如果t1t2t1+d，指定和记录证明时间，并且指定初始证明水平。d)公私钥对拥有者通过密钥再生从 TTP 获取私钥拥有属性安全证明：1)公私钥对拥有者要确定适当的d值，例如，可以按照 5.2.2 中的时效模型，在确定完合适的a，b，c值的基础上，确定d值。如果 TTP 负责证明时间值的指定，则d值要让 TTP 知道。2)公私钥对拥有者和/或 TTP 要确定一个t1值，该值要被公私钥对拥有者信任。3)公私钥对拥有者要提供其持有的密钥以及任何其他必要的数据给 TTP 实体。4)TTP 实体：重新生成要获取证明的私钥对应的密钥对；或者重新生成要提供保护的私钥对应的密钥对中的一个密钥。5)TTP 对比重新生成的密钥对（密钥）值和拥有者目前拥有的密钥值。GB/T XXXXXXXXX96)如果匹配成功：应通知公私钥对拥有者匹配成功；公私钥对拥有者和/或 TTP 要确定一个被公私钥对拥有者信任的t2值；如果t1t2t1+d，公私钥对拥有者或者是 TTP 开始指定证明时间和初始证明水平，指定证明时间的实体必须要知道d值以及t1和t2；指定初始证明水平的实体必须知道确定t1和t2值的方法；公私钥对拥有者要记录证明时间和初始证明水平。5.2.4.2TTP 从公私钥对拥有者处获取私钥拥有属性安全证明TTP被要求提供私钥拥有属性安全证明给其它签名依赖方时，必须实施一个明确的私钥拥有属性安全证明获取过程。该过程通过验证证明签名的方式或者密钥再生的方式从公私钥对拥有者处获得。在再生密钥的情况下，TTP必须承诺不使用拥有者的密钥对知识生成数字签名。这种信任必须由公私钥对拥有者，潜在签名验证者，以及其它各依赖方共享。其中，使用证明签名的方法是首选方法。TTP使用如下一种或多种方法从公私钥对拥有者处获取私钥拥有属性安全证明：a)TTP 通过验证证明签名的方法从公私钥对拥有者处获取私钥拥有属性安全证明：1)确定适当的d值，例如，可以按照 5.2.2 中的时效模型，在确定完合适的a，b，c值的基础上，确定d值。2)公私钥对拥有者生成一个新的私钥拥有属性安全证明的证明消息。3)公私钥对拥有者用要获取证明的私钥对证明消息签名，生成证明签名。4)公私钥对拥有者提供证明消息、证明签名以及其他必要的数据给 TTP。5)TTP 为t1确定一个可信的值。6)TTP 用要获取证明的私钥对应的公钥验证证明签名。7)如果验证成功：TTP 为t2确定一个可信的值；如果t1t2t1+d，TTP 开始指定证明时间和初始证明水平；TTP 记录证明时间和初始证明水平，并且应该将这些值也提供给公私钥对拥有者。b)TTP 通过密钥（密钥对）再生的方法从公私钥对拥有者处获取私钥拥有属性安全证明：1)确定适当的d值，例如，可以按照 5.2.2 中的时效模型，在确定完合适的a，b，c值的基础上，确定d值。2)公私钥对拥有者提供要获取证明的密钥信息，以及任何其他必要的数据给 TTP。3)TTP 为t1确定一个可信的值。4)TTP 需要：再生公私钥对拥有者的整个密钥对；或者再生公私钥对拥有者的整个密钥对中的一个密钥。5)TTP 将生成的密钥与公私钥对拥有者原有的密钥进行对比。6)如果 e）中的比对结果相匹配：TTP 要为t2确定一个可信的值；如果t1t2t1+d，TTP 开始指定证明时间和初始证明水平，TTP 必须知道t1和t2值以及t1和t2值的确定方法；TTP 要记录证明时间、初始证明水平和d值，这些值也应提供给公私钥对拥有者。GB/T XXXXXXXXX10在响应其它依赖方的证明请求时，TTP要将私钥拥有属性安全证明，连同证明时间和初始证明水平一同提供给发起请求的依赖方。此外，TTP还可以向发起请求的依赖方提供在一个特定时刻的私钥拥有属性安全证明的估计值，证明水平估计的方法参见5.2.2中的证明时效模型。由TTP选择的a，b，c和d的值，可能与其它请求私钥拥有属性安全证明的依赖方的信任标准不同。如果是此种情况，则TTP应当（至少）准备t2t1值的上限（如，d）给潜在的依赖方，以及在确定上述值时对采用的时间源进行说明，从而使这些依赖方能够判定TTP提供的证明时间值是否有足够的精度（可信度）以满足他们的需要。5.2.4.3验证者获取私钥拥有属性安全证明验证者在接受数字签名验证为有效之前，要获得签名者在生成签名时，其签名的私钥的私钥拥有属性安全证明。证明时间和初始证明水平需要验证者与签名者或者TTP相互合作获得。一旦通过标准流程获得证明后，以后任意时刻的签名的证明水平，可以根据5.2.2中的证明时效模型估计得到。验证者可以通过使用以下一种或多种方法获取私钥拥有属性安全证明：a)通过与公私钥对拥有者合作，验证证明签名，获得私钥拥有属性安全证明：1)确定适当的d值，例如，可以按照 5.2.2 中的时效模型，在确定完合适的a，b，c值的基础上，确定d值。2)公私钥对拥有者要提供新的证明消息、证明签名和其它必要的数据给验证者。3)验证者要为t1确定一个可信的值。4)验证者用要获取证明的私钥对应的公钥验证证明签名。5)如果证明签名验证通过：验证者要为t2确定一个可信的值；如果t1t2t1+d，验证者开始指定证明时间和初始证明水平；验证者记录证明时间和初始证明水平。b)验证者通过与 TTP 合作获得私钥拥有属性安全证明：1)确定适当的d值，例如，可以按照 5.2.2 中的时效模型，在确定完合适的a，b，c值的基础上，确定d值。2)验证者向 TTP 索要私钥拥有属性安全证明。如果 TTP 成功获得了私钥拥有属性安全证明：3)TTP 要将获取的证明时间、初始证明水平以及采用的证明获取方法提供给验证者。4)如果验证者需要，TTP 还应该提供t2-t1的上限值，t1、t2时间的获得方法和/或在验证者验证的签名签发时刻，TTP 对证明的评估值。5)验证者：如果 TTP 提供的t2-t1的上限值d，则拒绝 TTP 提供的私钥拥有属性安全证明，否则，记录 TTP 提供的证明时间值和初始证明水平，和/或，TTP 在请求时刻对该证明的评估，和/或，t1、t2值获得方法的描述，以帮助验证者判断是否对证明水平进行调整。5.3公钥有效性的安全证明获取5.3.1总则在进行私钥拥有属性安全证明获取之前，需要完成公钥有效性的获取。本标准下述内容所使用的参数定义如下：1)timestamped_data：时间戳数据，被可信时间戳机构签名，用以提供签名生成时间证明的一个GB/T XXXXXXXXX11数据结构。2)TTSA_supplied_info：可信时间戳机构信息，在签名生成时间证明获取中，由可信时间戳机构向时间戳申请实体发送时间戳数据包时提供的信息，是时间戳数据的组成部分。3)user_supplied_info：用户提供信息，是一个实体在向 TTSA 请求时间戳数据包时提供的信息，是时间戳数据的组成部分。4)timestamp_packet：时间戳数据包，在签名生成时间证明获取中，由可信时间戳机构发送给时间戳申请实体的，包含时间戳数据和时间戳签名的一个数据包。TSP 由 TTSA 发送，包括如下信息：数字签名（timestamp_signatureTTSA）：由 TTSA 的私钥生成的数字签名；时间戳数据（timestamped_data）：生成数字签名的依赖数据，包括用来精确、明确地表示数字签名timestamp_signatureTTSA的生成时间的时间戳。5.3.2拥有者的公钥有效性安全证明获取公私钥对拥有者可以通过以下五种方法获得公钥有效性的安全证明。其中，方法a)或者b)与方法c)或者d)的结合可以获得更为有效的安全证明。a)公私钥对由拥有者自己生成：拥有者采用认定的方法生成公私钥对。b)公私钥对由拥有者与 TTP 合作生成：拥有者在 TTP 的帮助下，采用认定的方法生成公私钥对。c)拥有者采用明确的过程验证公钥有效性：拥有者通过执行一个明确的验证过程获得公钥有效性的安全证明，具体的验证过程见 5.3.4。d)TTP 采用明确的过程验证公钥有效性：拥有者要收到证明，证明 TTP 确实通过一个明确的验证过程获得公钥有效性的安全证明，具体的验证过程见 5.3.4。TTP 的验证结果要提供给拥有者。e)公私钥对由 TTP 生成：TTP 生成公私钥对，并将其提供给拥有者。如果采用了该方式，应该采用一个公钥有效性的验证过程，验证过程可以是拥有者按照上述方法 c)进行，也可以是 TTP按照上述方法 d)进行。拥有者或者其代理需要知道，具体采用了上述哪种方法来获得公钥有效性的安全证明，以确定获得的公钥有效性安全证明是否满足拥有者的要求。5.3.3验证者的公钥有效性安全证明获取签名的验证者可以通过采用如下三种方法，获取签发者在签名时所使用的公私钥对中的公钥有效性的安全证明。其中，前两种方法应该优先采用。a)验证者采用明确的过程验证公钥有效性：验证者通过执行一个明确的验证过程获得公钥有效性的安全证明，具体的验证过程见 5.3.4。b)TTP 采用明确的过程验证公钥有效性：验证者要收到证明，证明 TTP 确实通过一个明确的验证过程获得公钥有效性的安全证明，具体的验证过程见 5.3.4，TTP 的验证结果要提供给验证者。c)TTP 重新生成公钥：验证者要收到证明，证明 TTP 确实采用了一种可信的途径生成或者重新生成公钥，并且验证了公私钥对的一致性。签名验证者或其可信代理在进行签名验证之前，要知道采用了何种方法来获取公钥的有效性证明，以确定这样的证明是否能够满足验证者的要求。5.3.4公钥有效性验证过程公钥有效性验证是通过一个明确的过程，检查公钥的数学特性是否符合要求。公钥的有效性验证过程不需要知道对应的私钥信息，因此，验证可以由任何人在任何地点进行。具体验证过程与算法标准关系密切，应参考相应的签名算法标准实施。公钥有效性证明包括必要的参数有效性证明。GB/T XXXXXXXXX125.4数字签名的生成时间安全证明获取5.4.1总则签名生成时间是数字签名的一个重点关注因素，如私钥拥有属性安全证明获取需要签名的生成时间证明。数字签名生成时间证明获取利用可信时间戳机构 TTSA 提供的时间戳和/或签名验证者提供的时间相关数据实现。TTSA 的建立和管理不在本标准的讨论范围内。5.4.2从 TTSA 获取时间的方式获取签名生成时间证明5.4.2.1时间戳数据包（TSP）的格式从被签名者和验证者信任的TTSA获取时间是获取签名生成时间证明的一个重要方式。时间戳数据包（TSP）是该方式获取签名生成时间证明的主要数据结构。TSP的格式具体描述如下：其中，逗号用来分割不同的数据，而不是数据格式的一部分。a)TSP=timestamped_data，timestamp_signatureTTSATSP 由时间戳数据及其数字签名构成。数字签名是由 TTSA 的私钥对时间戳数据的签名。b)timestamp_signatureTTSA=SIGTTSA(timestamped_data)数字签名算法 SIGTTSA是一个使用在时间戳数据上的数字签名操作，签名私钥为 TTSA 的数字签名私钥，该私钥只被用于对时间戳数据生成数字签名。c)timestamped_data=user_supplied_info,TTSA_supplied_info,timestamp其中：1)用户提供信息 user_supplied_info 是一个实体在向 TTSA 请求时间戳时，提供的信息；user_supplied_info 在实际应用中可以为空。如果提供了此信息，该信息将被 TTSA 在生成时间戳签名时使用，而不需要在传递时间戳数据包时返回给请求者。若使用了该信息，必须保证在一个实体要验证 timestamp_signatureTTSA时，该信息是可见的。2)TTSA 提供信息 TTSA_supplied_info 是 TTSA 在生成 timestamp_signatureTTSA时采用的额外信息。TTSA_supplied_info 在实际应用中可能为空。只要该部分信息能够在验证timestamp_signatureTTSA签名时，被重新生成，其中的任何一部分都可以从时间戳数据包中删除。3)时间戳 timestamp 包含时间和（可能）的其他信息。因此，由 TTSA 生成的通用的 TSP 格式如下：TSP=user_supplied_info,TTSA_supplied_info,timestamp,SIGTTSA(user_supplied_info,TTSA_supplied_info,timestamp)其中，user_supplied_info和TTSA_supplied_info可能为空。TTSA可能广播一个TSP或针对提出请求的实体回应一个TSP。当 TTSA 广播一个 TSP 时，TSP 中的用户提供信息为空，数字签名 timestamp_signatureTTSA在TTSA 提供信息（可能为空）和时间戳的基础上生成，TSP 随后被组装和广播。在 TTSA 提供信息中，被所有 TSP 的既定接收者共知的部分可以从传输的 TSP 中删除。当一个实体请求一个时间戳时，请求实体提供用户提供信息（可能为空）给 TTSA。数字签名timestamp_signatureTTSA在用户提供信息、TTSA 提供信息中（可能为空）和时间戳的基础上生成。在生成签名的基础上，将数字签名 timestamp_signatureTTSA和时间戳数据组装成一个 TSP，然后发送给请求的实体。被所有既定接收者共知的部分 TTSA 提供信息，还有以其他方式告知验证实体的用户提供信息，可以从返回的 TSP 的时间戳数据域中删除。GB/T XXXXXXXXX135.4.2.2用从 TTSA 申请的 TSP 提供签名生成时间证明对于一个实体A，有四种不同的方案使其从一个受信任的TTSA获得一个TSP，然后将TSP、消息（M）、和签名组合，并将其加入数据的有效载荷，发送到接收实体B，提供签名消息的生成时间证明。在下面的方案中，签名生成由实体A或者TTSA采用一个认定的数字签名算法生成。SIGA()表示实体A用其私钥生成的签名，SIGTTSA()表示TTSA使用其私钥生成的签名。SIGA()使用实体A的公开签名验证密钥验证，SIGTTSA()使用TTSA的公开签名验证密钥验证。以下讨论，假定实体A和B都已成功地验证所有收到的签名。各方案描述如下：5.4.2.2.1实体 A 向 TTSA 提供用户信息（可选的）获得 TSP实体 A 可以直接从 TTSA 请求一个时间戳，或者实体 A 使用 TTSA 广播的时间戳（即，实体 A 没有明确地从一个 TTSA 请求时间戳），提供数字签名的生成时间证明，具体过程如图 3 所示。a)一个实体 A 可以明确地向 TTSA 发送一个时间戳请求。如果请求被发送，请求消息包含期望的用户提供信息 user_supplied_info。b)TTSA 发送 TSP 到实体 A（或广播一个 TSP，随后被实体 A 获得），其中 TSP 定义同 5.4.2.1。如果实体 A 在第一步被发送了请求信息：时间戳数据 timestamped_data 包含用户提供信息 user_supplied_info。如果实体 A 没有在第一步发送请求信息，即广播方式发送 TSP：在 TSP 采用广播的形式下，用户提供信息为空。如果实体 A 和 TTSA 之间存在双方协议，则下列信息可以从 TTSA 传输的 TSP 数据中去除：1)用户提供信息 user_supplied_info 中的任何一部分信息可以被去除，如果实体 A 已经知道该信息；2)TTSA 提供信息中 TTSA_supplied_info 中的任何一部分信息可以被去除，只要实体 A 知道该信息，或者该信息能够被实体 A 确定。但是，任何从发送的 TSP 数据中删除的信息，必须要包含在生成/验证数字签名timestamp_signatureTTSA时所用的时间戳数据中。在接到从 TTSA 发送的 TSP 时，实体 A 应该：a）检查传输的部分用户提供信息user_supplied_info 是否正确；b）使用 TTSA 的公开签名验证密钥验证数字签名timestamp_signatureTTSA。图 3 实体 A 向 TTSA 提供用户信息（可选的）获得 TSPGB/T XXXXXXXXX14c)实体 A 签名(M,TSP)，组装数据D，并将其发送到实体 B：)TSP,(SIG,TSP,AMMD其中，TSP 同 5.4.2.1 中规定。如果用户提供信息中的任何一部分信息从来自 TTSA 的 TSP 中被删除，那么整个用户提供信息要在组建数据 D 时回填到 TSP 中，除非实体 A 和实体 B 存在相互协定，使得被删除的部分能够被实体 B 知道或者重新生成。在存在部分信息删除的情况下，整个用户提供信息 user_supplied_info 应该包含在生成/验证数字签名 timestamp_signatureTTSA和 SIGA（M，TSP）所用的时间戳数据 timestamped_data 中。如果 TTSA 提供信息 TTSA_supplied_info 中的任何一部分信息从来自 TTSA 的 TSP 中被删除，那么整个 TTSA 提供信息要在组建 D 时回填到 TSP 中，除非实体 A 和实体 B 之间存在双方协定，可以让 B 能够确定出这些信息。在这种情况下，如果实体 B 已知或者可以确定 TTSA 提供信息，那么它的任何部分信息可以从实体 A 传输的 TSP 数据中删除。然而，整 个 TTSA 提 供 信 息 TTSA_supplied_info 应 该 包 含 在 生 成/验 证 数 字 签 名timestamp_signatureTTSA和 SIGA（M，TSP）所用的时间戳数据 timestamped_data 中。d)在收到 D 时，实体 B 按照如下步骤进行操作：1)用 TTSA 的公钥验证数字签名 timestamp_signatureTTSA；2)用 A 的公钥验证数字签名SIGA(M,TSP)。上述两个步骤执行的先后顺序无关，但这两个验证必须是成功的。通过完成第 4 步的核查，实体 B 获取如下证明：消息 M 可能在收到 TSP 之前或者之后组装。数字签名 SIGA(M,TSP)在 TSP 中的时间戳表示的时间之后被生成。D 在 TSP 中的时间戳表示的时间之后被组装。如果需要一个更为精确的 SIGA(M,TSP)生成时间证明，第二个可信的时间戳是必要的，见 5.4.2.3。5.4.2.2.2实体 A 向 TTSA 提供消息 M 的 Hash 值获得 TSP实体A可以在向TTSA请求时间戳时，可以提供M的Hash值，提供数字签名的生成时间证明，具体过程如图4所示。用H表示生成的M的Hash值：图 4 实体 A 向 TTSA 提供 M 的 Hash 值获得 TSPGB/T XXXXXXXXX15a)实体 A 在向 TTSA 的时间戳请求中发送 H，即用户提供信息由 H 和其它信息 other_info 组成。其中，other_info 可能空。b)TTSA 向实体 A 回送一个 TSP：TSP 由时间戳数据及其数字签名组成。与 5.4.2.2.1 方案不同的是，用户提供信息user_supplied_info 中包括了消息 M 的 Hash 值 H。如果实体 A 和 TTSA 之间存在双方协定，下列消息可以从传送的 TSP 数据中去除：1)user_supplied_info 的任何部分信息可以被删除，只要实体 A 已知该信息；2)TTSA_supplied_info 的任何部分信息可以被删除，只要实体 A 已知该信息，或者能够被实体 A 确定；虽 然 这 些 信 息 可 以 从 TSP 传 输 信 息 中 被 删 除，但 完 整 的 user_supplied_info 和TTSA_supplied_info 要被包括在 timestamped_data 中，用于生成如下的签名及其验证：timestamp_signatureTTSA=SIGTTSA(timestamped_data).在收到从 TTSA 中发送的 TSP 时，实体 A 应该：a）检查传送的用户信息是否正确；b）用 TTSA的公钥验证 timestamp_signatureTTSA；c)实体 A 签名(M,TSP),组装 D，并将其发送到实体 B：D=M,TSP,SIGA(M,TSP)其中，TSP 在第 2 步中规定。如果 user_supplied_info 中的任何一部分信息从来自 TTSA 的 TSP 中被删除，那么整个user_supplied_info 要在组建 D 时回填到 TSP 中，除非实体 A 和实体 B 存在双方协定，使得 B可以确定这些信息。一般情况下，D 中传输的 TSP 中的下列信息可以被删除：1)H 可以被删除，因为它可以被实体 B（重新）计算得到；2)任何在 user_supplied_info 中的 other_info，只要能够被 B 知道或者确定则可以被删除；但整个 user_supplied_info 应该包含在生成/验证 timestamp_signatureTTSA和 SIGA（M，TSP）所用的 timestamped_data