서두 없이 바로 학습을 진행하도록 하겠습니다
PKI(Public Key Infrastructure)는 은행, 증권, 카드, 보험에서 사용하는
공인인증서(X.509, ITU-T 표준)를 통해 인증 받는 공인인증의 구조를 말합니다
아래의 표는 PKI의 목적을 정리한 것입니다
목적 | 주요 내용 | 기술 |
인증(Authentication) | 사용자에 대한 확인, 검증 | Certificate |
기밀성(Confidentiality) | 송수신 정보에 대한 암호화 | 암호화, 복호화 |
무결성(Integrity) | 송수신 정보의 위/변조 방지 | 해시 함수(MD) |
부인 방지(Non-Repudiation) | 송수신 사실에 대한 부인 방지 | 전자 서명 |
접근 제어(Access Control) | 허가된 수신자만 정보에 접근 가능 | DAC, MAC, RBAC |
키 관리(Key Management) | 공개키 발급, 등록, 관리, 폐기 등 |
PKI 세부 구성 내용을 살펴보면 다음과 같습니다
구성요소 | 기능 |
인증기관 (CA:Certification Authority) |
· 인증 정책 수립, 인증서 및 인증서 폐기 목록 관리(생성, 공개, 취소, 재발급) · 정책 승인 기관(Policy Approving Authority), 정책 인증 기관(Policy Certification Authority), 인증 기관(Certification Authority)로 나누어짐 · X.509 인증서 발급 · 공개키 인증서를 자신의 개인키로 서명 · 공개키와 개인키 쌍의 소유자 신분 증명 · 다른 CA와 상호 인증 · 인증서 폐기 목록(CRL:Certificate Revocation List) 등록 및 인증 절차 작성 |
등록기관 (RA:Registration Authority) |
· 사용자 신원 확인, 인증서 요구 승인, CA에 인증서 발급 요청 · 디지털 인증서 신청자의 식별과 인증을 책임 · PKI를 이용하는 Application과 CA간 인터페이스 제공 · 대표적으로 은행, 증권사가 있음 |
인증서 폐기 목록 (CRL: Certificate Revocation List) |
· 인증서의 지속적인 유효함을 점검하는 도구 · 폐지 사유:디지털 서명의 개인키 노출, 인증서가 필요 없을 경우, 개인키 분실, 인증서 효력 정지 등 · OCSP(Online Certificate Status Protocol) - 인증기관 간의 상호인증을 수행하는 실시간 프로토콜 - 인증서 상태에 관한 정보를 조회 또는 CRL 검색 프로토콜 |
디렉터리 서비스 (Directory Service) |
· 인증서, 암호키에 대한 저장, 관리, 검색 등의 기능, PKI 관련 정보 공개 · 디렉터리 표준 형식 - ITU(International Telecommunications Union)-T 표준 : X.500(DAP: Directory Access Protocol) - IETF(Internet Engineering Task Force) 표준 : LDAP(Lightweight DAP) |
인증서 실무 준칙 문서 (CPS: Certification Practice Statement) |
· PKI를 구현하기 위한 절차를 상세히 설명해 놓은 문서 · CA의 운영을. 통제하는 상세한 일련의 규정 · 인증 정책, 인증 절차, 비밀키 관리 절차 등을 포함 · 모든 사용자에게 반드시 공개해야 함 |
X.509 |
· X.500 디렉토리 서비스에서 서로 간의 인증을 위해 개발된 것 · CA에서 발행하는 인증서를 기반으로 함 · 공개키 인증서 표준 포맷 : 발행자, 소유자, 소유자의 공개키, 유효기간, 고유번호, 알고리즘 · 사용자의 신원과 키 정보를 서로 결합한다는 것을 의미 |
마지막으로 X.509 인증서의 ASN.1 구조를 학습하고 마치겠습니다
구성 | 설명 |
OID(Object Identifiers) |
다양한 정보를 나타내기 위해 사용 (ex) CA가 사용하는 RSA 또는 DSA와 같은 암호 알고리즘, 인증 정책 등 |
AI(Algorithm Identifiers) |
암호 알고리즘과 키에 대한 정보 (ex) X.509 인증서가 사용하는 전자서명 알고리즘, 공개키와 관련된 알고리즘을 알 수 있음 |
DS(Directory String) | 다양한 언어와 문자를 사용할 수 있도록 PrintableString, TeletexString, BMPString, UTF8String 등을 정의 |
DN(Distinguished Names) | 국제적 디렉터리에서 X.509 인증서를 식별해야 하기 때문에 계층적으로 이름을 부여 |
GN(General Names) | X.509 인증서의 이름을 암호화하기 위한 것으로, GN은 7개의 표준 이름 형태를 사용 |
이것으로 학습을 마치겠습니다
그럼 이만-_-
'Security' 카테고리의 다른 글
[Security] 암호화 개요 (0) | 2020.03.02 |
---|---|
[Security] PMI(Privilege Management Infrastructure) (0) | 2020.02.26 |
[Security] 전자 서명(Digital Signature) (0) | 2020.02.25 |
[Security] 키 분배 프로토콜 (0) | 2020.02.25 |
[Security] 보안 운영체제(Secure OS) (0) | 2020.02.25 |