DAT 証明書は、DAT(Data Authentication Token)の発行権限を制御し、トークンの署名および暗号化アルゴリズムとキー(Key)情報を管理するための仕様です。
各証明書は固有のID(CID)を持ち、DATの発行可能期間および生成されるトークンの基本有効期間(TTL)を強制することで、トークンのライフサイクルを安全に管理します。
CID : Hex (uint64)
CID フィールドとマッピングされ、検証時にどの証明書を使用するかを決定します。DAT発行開始時間 : uint64 (Unix Time)
DAT発行期間 : uint64 (Seconds)
DAT発行開始時間から本期間(秒)が経過した後は、この証明書で新しいDATを発行することはできません。DAT TTL (有効時間) : uint64 (Seconds)
expire 値は、発行時刻(現在時刻)に dat-ttl を加算した値として設定されます。署名アルゴリズム : String / Enum
signature フィールドを生成および検証する際に使用する署名アルゴリズムです。暗号化アルゴリズム : String / Enum
secure フィールドを暗号化および復号する際に使用する暗号化アルゴリズムです。署名キー : Base64Url (Binary)
暗号化キー : Base64Url (Binary)
secure フィールドの暗号化・復号に使用される暗号化キーデータです。DATの改ざん防止のための署名アルゴリズム一覧です。
対称キーと非対称キーの両方式をサポートしています。
ECDSA-P256
ECDSA-P384
ECDSA-P521
HMAC-SHA256-MFS
HMAC-SHA384-MFS
HMAC-SHA512-MFS
MFS (Maximum Fixed Secret): ハッシュアルゴリズムの出力(Output)サイズと同じビット数の固定サイズ秘密鍵を使用する方式です。
DAT内部の機密データ(secure フィールド)を保護するための認証付き暗号化(Authenticated Encryption)アルゴリズム一覧です。
暗号化の結果は、復号および再利用攻撃防止のため、IVと暗号化データが結合された形式を持ちます。
IV-AES128-GCM
IV-AES256-GCM
IV (Initialization Vector) の内在化: 再利用攻撃(Replay Attack)を防止するため、毎回の暗号化ごとに生成される固有の96ビットサイズのNONCE(IV)が、暗号化結果データの先頭に接頭辞(Prefix)として結合されバイナリに含まれます。復号時には先頭の96ビットをIVとして分離して復号を行います。