我是否知道CMs/pkcs#7签名中缺少某些信息以证明签名在很长一段时间后的有效性采用了CADES格式,是否有其他原因导致用户从CMs/pkcs#7 fomats到Cades。
每种格式的优点和缺点是什么。 提前谢谢你
答案 0 :(得分:5)
CAdES本质上是一个特别描述的CMS(" C"在CAdES中,毕竟代表" CMS")。因此,您不能从CMS迁移,而只是遵循一些更严格或更具体的规则。
CMS签名(RFC 5652)可能非常原始,它们实际上甚至根本不需要包含任何已签名的属性,如果有的话,唯一强制执行的是签名数据的类型和散列。
这种极简主义的签名容器对一般用途无用。伪造的机会太多(签名者没有确定的,签名的信息),而且正确验证的信息太少。
因此,已经公布了许多额外的规范,这些规范定义了以安全,签名的方式添加这种缺失信息的方法,例如, ESS证书标识符(RFC 2634 / RFC 5035)用于签名者证书的安全标识。
已声明这些额外属性的集合必须使签名具有一定的合法价值,例如:作为ISIS-MTT / Common PKI的一部分。因此,在需要这种法律价值的情况下使用的签名应用程序可以依赖签名中存在的那些附加属性,以便对签名进行适当的验证。
虽然起初这些集合仅在较小的上下文中定义,例如在全国范围内,此类收藏也在国际上定义。
CAdES为整个欧洲指定了此类集合(也称为配置文件)(并且也被采用)。
从本质上讲,根据这样的配置文件创建CMS签名可以确保您的签名可以被很多应用程序正确处理,因此,他们的合法价值会立即被他们识别。