DAT प्रमाणपत्र DAT (Data Authentication Token) जारी करने के अधिकार को नियंत्रित करने और टोकन के हस्ताक्षर तथा एन्क्रिप्शन एल्गोरिदम एवं कुंजी (Key) जानकारी को प्रबंधित करने के लिए एक विनिर्देशन (Specification) है।
प्रत्येक प्रमाणपत्र का एक अद्वितीय ID (CID) होता है, और DAT जारी करने की अनुमत अवधि तथा बनाए गए टोकन की डिफ़ॉल्ट वैधता अवधि (TTL) को बाध्य करके टोकन के जीवनचक्र को सुरक्षित रूप से प्रबंधित करता है।
CID : Hex (uint64)
CID फ़ील्ड के साथ मैप होकर सत्यापन के समय यह निर्धारित करता है कि किस प्रमाणपत्र का उपयोग किया जाए।DAT जारी करने का प्रारंभ समय : uint64 (Unix Time)
DAT जारी करने की अवधि : uint64 (Seconds)
DAT जारी करने का प्रारंभ समय से यह अवधि (सेकंड) बीत जाने के बाद इस प्रमाणपत्र से नया DAT जारी नहीं किया जा सकता।DAT TTL (वैधता समय) : uint64 (Seconds)
expire का मान जारी करने के समय (वर्तमान समय) में dat-ttl जोड़कर सेट किया जाता है।हस्ताक्षर एल्गोरिदम : String / Enum
signature फ़ील्ड को बनाने और सत्यापित करने के लिए उपयोग किया जाने वाला हस्ताक्षर एल्गोरिदम है।एन्क्रिप्शन एल्गोरिदम : String / Enum
secure फ़ील्ड को एन्क्रिप्ट और डीक्रिप्ट करने के लिए उपयोग किया जाने वाला एन्क्रिप्शन एल्गोरिदम है।हस्ताक्षर कुंजी : Base64Url (Binary)
एन्क्रिप्शन कुंजी : Base64Url (Binary)
secure फ़ील्ड के एन्क्रिप्शन और डीक्रिप्शन में उपयोग किए जाने वाले एन्क्रिप्शन कुंजी डेटा हैं।DAT की जालसाजी और परिवर्तन रोकने के लिए हस्ताक्षर एल्गोरिदम की सूची है।
सममित कुंजी और असममित कुंजी दोनों पद्धतियों का समर्थन करता है।
ECDSA-P256
ECDSA-P384
ECDSA-P521
HMAC-SHA256-MFS
HMAC-SHA384-MFS
HMAC-SHA512-MFS
MFS (Maximum Fixed Secret): हैश एल्गोरिदम के आउटपुट (Output) आकार के समान बिट संख्या की निश्चित आकार की गुप्त कुंजी का उपयोग करने की पद्धति है।
DAT के आंतरिक गोपनीय डेटा (secure फ़ील्ड) की सुरक्षा के लिए प्रमाणित एन्क्रिप्शन (Authenticated Encryption) एल्गोरिदम की सूची है।
एन्क्रिप्शन का परिणाम डीक्रिप्शन और पुनः उपयोग हमले (Replay Attack) की रोकथाम के लिए IV और एन्क्रिप्टेड डेटा के संयुक्त रूप में होता है।
IV-AES128-GCM
IV-AES256-GCM
IV (Initialization Vector) अंतर्निहित होना: पुनः उपयोग हमले (Replay Attack) को रोकने के लिए प्रत्येक एन्क्रिप्शन पर बनाया जाने वाला अद्वितीय 96-बिट आकार का NONCE (IV) एन्क्रिप्शन परिणाम डेटा के आगे उपसर्ग (Prefix) के रूप में जोड़कर बाइनरी में शामिल किया जाता है। डीक्रिप्शन के समय अग्रणी 96 बिट को IV के रूप में अलग करके डीक्रिप्शन किया जाता है।