X509証明書には、PKCS7の署名をチェックするように非控除ビットが設定される必要がありますか？

Question

X509証明書には、KeyUSAGEビットのセットがあります。それらの2つはDigitalSignatureです
非繰り返し（X.509の最近のエディションは、このビットをContentCommitmentに変更しました）。

X509 RFCを読みました（http://tools.ietf.org/html/rfc5280）そして、これらのビットの一般的な使用について語っています。

そして、私はPKCS7 RFCを読みました（http://tools.ietf.org/html/rfc2315）そして、それはPKCS7の構造などについて話し、どのビットを設定する必要があるかを指定しません。

それらの1つまたは両方を設定する必要があるかどうかを識別するRFCまたはその他の仕様はありますか？

よろしく、ビクター

Answer 1

PKCS＃7ファイルには、一般に一連の証明書が含まれています。つまり、ルートCA証明書、適用される中間CA証明書、次にエンドポイント証明書（SSL、電子メールなど）がPKCS＃7を使用して、これらを単一のファイルにバンドルするために使用されます。チェーン全体を一度にキーストアまたはその他の依存アプリケーションにインポートできるという点で便利です。

主要な使用法については、特定の証明書のニーズと目的に応じて設定されます。たとえば、ルートCA証明書には通常、デジタル署名と非repudiationセットの両方があります。 SSL証明書の場合、キーエンシファメントとデジタル署名を見つけることができます。 PKCS＃7ファイルに含まれるCA証明書について話している場合を除き、主要な使用法とPKCS＃7ファイルの間には実際に相関関係はありません。

Answer 2

ところで、このビットは、その設計における懸念の分離に違反しています。非繰り返しは、ビジネスレベルで交渉された法的問題です。証明書/署名レベルでビットを使用することは無関係です。例を参照してください http://www-personal.umich.edu/~lsiden/tutorials/signed-applet/shockingtruth.html