PKI
1. PKI는 공개키 알고리즘을 관리하기 위한 키 관리 구조
2. 비대칭키 암호시스템에 기초하여 디지털 인증서를 생성 관리 분배
3. 기밀성, 무결성, 접근제어, 인증 , 부인방지 서비스 제공
4. 인증기관(CA), 등록기관(RA), 사용자, 신뢰당사자, 저장소로 구성
PKI 구성요소
1. 인증기관(CA)
- 인증정책을 수립하고, 인증서 및 인증서 효력정지 및 폐기목록 관리
- 다른 인증기관과 상호 인증을 제공한다.
- 공개키의 등록과 본인인증은 등록기관이나 사람에게 분담시키는 경우도 있다.
- CA(인증기관) → PCA(정책 인증기관) → PAA(정책 승인기관)
- 우리나라의 최상위 인증기관 : 전자서명인증관리센터
공인인증기관 : 한국정보인증(주),(주)코스콤, 금융결제원, 한국전자인증(주), 한국 무역정보통신
- 정책승인기관 : 공개키 구조 전반에 사용되는 정책 수립, 루트인증기관
하위기관들의 정책 준수 상태 및 적정성을 검사
- 정책인증기관 : 자신의 도메인 내의 사용자와 인증기관(CA)가 따라야 할 정책 수립
인증기관(CA)의 공개키 인증, 인증서, 인증서 폐지목록 등을 관리
- 인증기관 : PCA 아래기관으로 다음기능 수행
1. 사용자의 공개키 인증서 발행 또는 폐지
2. 사용자에게 자신의 공개키, 상위기관(PCA,PAA)의 공개키 전달
3. 등록기관(RA)의 요청에 의해 인증서 발행
4. 인증서 소유자 대신하여 공개키와 개인키 쌍 생성, 소유자에게 전달
2. 검증기관(VA)
1. 인증서 거래의 유효성을 확인, 인증서의 유효성 여부와 인증서가 적절할 개체로 발급 되었다는 걸 신뢰 당사자에게 확인시켜줌
2. 검증기관 없이 인증기관만 존재할 수 있다.
3. 검증기관과 인증기관은 통합 운영 또는 독립적 운영이 가능하다.
3. 사용자와 최종개체
1. 자신의 비밀키 / 공개키 쌍을 생성할 수 있다.
2. 공개키 인증서 요청 / 획득 할 수 있다.
3. 전자서명을 생성 또는 검증할 수 있어야 한다.
4. 전자서명을 생성 및 검증 할 수 있어야 한다.
5. 비밀키 분실 또는 손상 또는 자신의 정보가 변했을 때 폐지를 요청할 수 있어야 한다.
4. 등록기관(RA)
1. 사용자와 인증기관(CA)가 원거리에 위치 해있을 경우 CA와 사용자 사이에 등록기관을 두어 사용자의 인증서 신청시 인증기관 대신에 그들의 신분과 소속을 확인하는 기관
2. 등록기관은 사용자의 신분 확인 후 인증서 요청에 서명을 한 후 인증기관에 제출
3. RA는 필수 요건이 아닌 선택 요건이다. → RA 없으면 CA가 대신할 수 있다.
5. 저장소
1. 사용자의 인증서를 저장하는 일종의 DB
2. X.500 표준형식과 LDAP 형식이 있다.
PKI의 형태
1. 계층 구조
- 루트 CA가 존재하고 그 밑에 하위 CA가 존재하는 트리구조
- 하위 인증기관은 상위 인증기관의 정책에 영향을 받는다.
- 최상위 인증기관간의 상호인증은 허용하지만 하위 인증기관간의 상호인증은 원칙적으로 배제
2. 네트워크 구조
- 상위 인증기관의 영향없이 인증기관 각각이 독립적으로 존재하는 형식
- CA간 상호 인증서를 발행하여 인증서비스를 한다.
- 상호인증의 수가 대폭 증가한다는 단점이 있다.
3. 혼합형 구조
- 계층구조와 네트워크 구조의 장점을 취한 방법
- 각 도메인별로 신뢰관계가 적합한 구조로 되어있음
PKI 형태별 장단점
|
구분 |
계층적 |
네트워크형 |
|
장점 |
ㆍ정부와 같은 관료조직에 적합 ㆍ인증경로탐색 용이 ㆍ인증서 검증 용이 |
ㆍ유연하며 실질적인 업무관계에 적합 ㆍ인증경로 단순 ㆍCA의비밀키노출시국소적피해 |
|
단점 |
ㆍ최상위CA에집중되는오버헤드 ㆍ협동업무에는 부적합 ㆍ최상위CA비밀키노출시피해 큼 |
ㆍ인증경로 탐색 복잡 ㆍ인증정책 수립및 적용 어려움 |
인증서
1. 해당키가 특정인의 것이라는 것을 보증해주는 것
2. 공개키가 특정인의 것이라는 것을 증거로서의 기능을 수행
3. 인증서는 믿을 수 있는 제 3자(CA)가 발행한다.
4. 공개키 인증서는 개인정보와 그 사람의 공개키가 CA의 공개키로 전자서명이 되어있음
5. 인증서의 표준 규격은 X.509이다.
그림 : X.509 인증 양식
6. X.509 인증서
1. 공개키 기반구조(PKI)의 ITU-T 표준
2. X.509 인증서의 ASN.1 구조는 크게 OID, AI, DS, DN, GN으로 나눠짐
3. X.509 인증서는 CRL 구현을 위한 표준도 포함한다.
7. 인증서에 포함되는 내용
1. 일련번호
2. 알고리즘 식별자
3. 발행자
8. 인증서 확장 영역
1. X.509 v3 인증서의 확장영역은 사용자의 공개키 정보와 연관된 추가정보를 제공, 인증서 계층 구조를 관리할 수 있는 방법을 제공한다.
2. 키와 정책정보 : 인증서와 관련된 키와 키의 용도 및 정책에 대한 부가적 정보 포함
- 기관키 식별자
- 사용자키 식별자
- 키 사용
- 인증서 정책
3. 사용자와 발행자 속성 : 인증서 주체나 인증서 발행자에대해 여러형식의 대체 이름 지원
- 사용자 대체이름
- 발급자 대체이름
4. 인증 경로 제약 조건 : 다른 CA가 발행한 CA 인증서에 포함될 제한사항 포함
- 기본 제한
- 이름 제한
- 정책 제한
9. 인증서 폐지 목록 프로파일
- 인증서 폐지사유
1. 사용자의 개인키가 침해당한 경우
2. CA가 사용자를 더 이상 인증하지 않을 경우
3. CA의 개인키가 침해 당한 경우 → 이 경우에는 유효기간이 남아있는 모든 인증서 폐지해야함
- 인증서 폐지는 인증서 소유주 본인 뿐만 아니라 인증기관의 직권으로 가능하다.
10. CRL
1. 폐지된 인증서들에 대한 목록
2. 인증기관의 저장소, 디렉터리 시스템 등에 등재하여 신뢰당사자가 언제든지 이 목록을 검색할 수 있도록 해야한다.
3. 인증서 폐지는 인증서 소유주 본인 또는 인증기관의
4. 인증서 폐지 목록에 포함되어야 하는 내용
- 인증서 폐지 목록의 버전
- 서명 알고리즘 및 발급기관의 이름
- 인증서 발급일
- 다음 번 갱신일
- 취소된 인증서에 대한 정보
5. CRL 개체 확장 필드
- 원인코드(Reason code) : 인증서 폐지원인을 정의하는 CRL의 코드
- 정지 지시코드(hold instruction code) : 등록된 지시 식별자를 제공
※ 지시 식별자 : 정지 상태에 놓여진 인증서를 만났을 때의 동작을 지시하는 식별자
- 무효날짜(invalidity date) : 개인키가 손상되거나 인증서가 무효하게 된 것을 의심하거나 알게 된 날짜를 나타내는 필드
- 인증서 발급자(certificate issuer) : CRL 관련하여 CRL 내의 효력정지 및 폐지된 인증서의 발급 기관에 대한 명칭
11. 온라인 인증서 상태 검증 프로토콜(OCSP)
1. 실시간으로 인증서 상태를 확인할 수 있는 효율적인 방법이다.
2. OSCP 작동 원리
3. OCSP 서비스
- 온라인 취소 상태 확인 서비스(ORS) : 클라이언트가 서버에게 특정 인증서 정보 제공하고 서버는 클라이언트에게 특정 인증서 취소 상태를 검사하여 알려주는 것
- 대리 인증 경로 발견 서비스(DPD) : 인증 경로 발견의 기능을 서버로 위임하여 인증경로가 다양한 경우 서버가 선택 할 수 있도록 하는 프로토콜
- 대리 인증 경로 검증 서비스(DPV) : 클라이언트가 인증서의 상태 검증을 위해 서버에게 보내면 서버는 수신한 인증서의 정보를 바탕으로 인증 경로의 유효성을 검증하고 그 겨로가와 정보를 클라이언트에게 응답해주는 과정으로 이뤄짐
'보안기사 > 필기' 카테고리의 다른 글
| 기사자격증(알기사, 사용자인증) (0) | 2019.01.19 |
|---|---|
| 기사자격증(알기사, 키, 난수) (0) | 2019.01.17 |
| 기사공부(알기사, 전자서명) (0) | 2019.01.16 |
| 기사자격증(알기사, 해시함수의 응용1) (0) | 2019.01.15 |
| 기사공부(알기사, 비 대칭키 암호) (0) | 2019.01.13 |
