5.2　私鑰擁有屬性的安全證明獲取

5.2.1　總則

在進行私鑰擁有屬性安全證明獲取之前，需要完成公鑰有效性的獲取。本標準下述內容所使用的參數定義如下：

1) timestamped_data：時間戳數據，被可信時間戳機構簽名，用以提供簽名生成時間證明的一個數據結構。

2) TTSA_supplied_info：可信時間戳機構信息，在簽名生成時間證明獲取中，由可信時間戳機構向時間戳申請實體發送時間戳數據包時提供的信息，是時間戳數據的組成部分。

3) user_supplied_info：用戶提供信息，是一個實體在向TTSA請求時間戳數據包時提供的信息，是時間戳數據的組成部分。

4) timestamp_packet：時間戳數據包，在簽名生成時間證明獲取中，由可信時間戳機構發送給時間戳申請實體的，包含時間戳數據和時間戳簽名的一個數據包。TSP由TTSA發送，包括如下信息：①數字簽名（timestamp_signatureTTSA）：由TTSA的私鑰生成的數字簽名；②時間戳數據（timestamped_data）：生成數字簽名的依賴數據，包括用來精確、明確地表示數字簽名timestamp_signatureTTSA的生成時間的時間戳。

5.2.2　擁有者的公鑰有效性安全證明獲取

公私鑰對擁有者可以通過以下五種方法獲得公鑰有效性的安全證明。其中，方法a)或者b)與方法c)或者d)的結合可以獲得更為有效的安全證明。

a) 公私鑰對由擁有者自己生成：擁有者采用認定的方法生成公私鑰對。

b) 公私鑰對由擁有者與TTP合作生成：擁有者在TTP的幫助下，采用認定的方法生成公私鑰對。

c) 擁有者采用明確的過程驗證公鑰有效性：擁有者通過執行一個明確的驗證過程獲得公鑰有效性的安全證明，具體的驗證過程見5.3.4。

d) TTP采用明確的過程驗證公鑰有效性：擁有者要收到證明，證明TTP確實通過一個明確的驗證過程獲得公鑰有效性的安全證明，具體的驗證過程見5.3.4。TTP的驗證結果要提供給擁有者。

e) 公私鑰對由TTP生成：TTP生成公私鑰對，并將其提供給擁有者。如果采用了該方式，應該采用一個公鑰有效性的驗證過程，驗證過程可以是擁有者按照上述方法c)進行，也可以是TTP按照上述方法d)進行。

擁有者或者其代理需要知道，具體采用了上述哪種方法來獲得公鑰有效性的安全證明，以確定獲得的公鑰有效性安全證明是否滿足擁有者的要求。

5.2.3　驗證者的公鑰有效性安全證明獲取

簽名的驗證者可以通過采用如下三種方法，獲取簽發者在簽名時所使用的公私鑰對中的公鑰有效性的安全證明。其中，前兩種方法應該優先采用。

a) 驗證者采用明確的過程驗證公鑰有效性：驗證者通過執行一個明確的驗證過程獲得公鑰有效性的安全證明，具體的驗證過程見5.3.4。

b) TTP采用明確的過程驗證公鑰有效性：驗證者要收到證明，證明TTP確實通過一個明確的驗證過程獲得公鑰有效性的安全證明，具體的驗證過程見5.3.4，TTP的驗證結果要提供給驗證者。

c) TTP重新生成公鑰：驗證者要收到證明，證明TTP確實采用了一種可信的途徑生成或者重新生成公鑰，并且驗證了公私鑰對的一致性。

簽名驗證者或其可信代理在進行簽名驗證之前，要知道采用了何種方法來獲取公鑰的有效性證明，以確定這樣的證明是否能夠滿足驗證者的要求。

5.2.4　公鑰有效性驗證過程

公鑰有效性驗證是通過一個明確的過程，檢查公鑰的數學特性是否符合要求。公鑰的有效性驗證過程不需要知道對應的私鑰信息，因此，驗證可以由任何人在任何地點進行。具體驗證過程與算法標準關系密切，應參考相應的簽名算法標準實施。公鑰有效性證明包括必要的參數有效性證明。