Security

[Security] PKI(Public Key Infrastructure)

구루싸 2020. 2. 26. 18:37
반응형
SMALL

서두 없이 바로 학습을 진행하도록 하겠습니다

PKI(Public Key Infrastructure)는 은행, 증권, 카드, 보험에서 사용하는

공인인증서(X.509, ITU-T 표준)를 통해 인증 받는 공인인증의 구조를 말합니다

아래의 표는 PKI의 목적을 정리한 것입니다

목적 주요 내용 기술
인증(Authentication) 사용자에 대한 확인, 검증 Certificate
기밀성(Confidentiality) 송수신 정보에 대한 암호화 암호화, 복호화
무결성(Integrity) 송수신 정보의 위/변조 방지 해시 함수(MD)
부인 방지(Non-Repudiation) 송수신 사실에 대한 부인 방지 전자 서명
접근 제어(Access Control) 허가된 수신자만 정보에 접근 가능 DAC, MAC, RBAC
키 관리(Key Management) 공개키 발급, 등록, 관리, 폐기 등  

PKI 세부 구성 내용을 살펴보면 다음과 같습니다

구성요소 기능

인증기관

(CA:Certification Authority)

· 인증 정책 수립, 인증서 및 인증서 폐기 목록 관리(생성, 공개, 취소, 재발급)

· 정책 승인 기관(Policy Approving Authority), 정책 인증 기관(Policy Certification Authority), 인증 기관(Certification Authority)로 나누어짐

· X.509 인증서 발급

· 공개키 인증서를 자신의 개인키로 서명

· 공개키와 개인키 쌍의 소유자 신분 증명

· 다른 CA와 상호 인증

· 인증서 폐기 목록(CRL:Certificate Revocation List) 등록 및 인증 절차 작성

등록기관

(RA:Registration Authority)

· 사용자 신원 확인, 인증서 요구 승인, CA에 인증서 발급 요청

· 디지털 인증서 신청자의 식별과 인증을 책임

· PKI를 이용하는 Application과 CA간 인터페이스 제공

· 대표적으로 은행, 증권사가 있음

인증서 폐기 목록

(CRL:

Certificate Revocation List)

· 인증서의 지속적인 유효함을 점검하는 도구

· 폐지 사유:디지털 서명의 개인키 노출, 인증서가 필요 없을 경우, 개인키 분실, 인증서 효력 정지 등

· OCSP(Online Certificate Status Protocol)

 - 인증기관 간의 상호인증을 수행하는 실시간 프로토콜

 - 인증서 상태에 관한 정보를 조회 또는 CRL 검색 프로토콜

디렉터리 서비스

(Directory Service)

· 인증서, 암호키에 대한 저장, 관리, 검색 등의 기능, PKI 관련 정보 공개

· 디렉터리 표준 형식

 - ITU(International Telecommunications Union)-T 표준 : X.500(DAP: Directory Access Protocol)

 - IETF(Internet Engineering Task Force) 표준 : LDAP(Lightweight DAP)

인증서 실무 준칙 문서

(CPS:

Certification Practice Statement)

· PKI를 구현하기 위한 절차를 상세히 설명해 놓은 문서

· CA의 운영을. 통제하는 상세한 일련의 규정

· 인증 정책, 인증 절차, 비밀키 관리 절차 등을 포함

· 모든 사용자에게 반드시 공개해야 함

X.509

· X.500 디렉토리 서비스에서 서로 간의 인증을 위해 개발된 것

· CA에서 발행하는 인증서를 기반으로 함

· 공개키 인증서 표준 포맷 : 발행자, 소유자, 소유자의 공개키, 유효기간, 고유번호, 알고리즘

· 사용자의 신원과 키 정보를 서로 결합한다는 것을 의미

마지막으로 X.509 인증서의 ASN.1 구조를 학습하고 마치겠습니다

구성 설명
OID(Object Identifiers)

다양한 정보를 나타내기 위해 사용

(ex) CA가 사용하는 RSA 또는 DSA와 같은 암호 알고리즘, 인증 정책 등

AI(Algorithm Identifiers)

암호 알고리즘과 키에 대한 정보

(ex) X.509 인증서가 사용하는 전자서명 알고리즘, 공개키와 관련된 알고리즘을 알 수 있음

DS(Directory String) 다양한 언어와 문자를 사용할 수 있도록 PrintableString, TeletexString, BMPString, UTF8String 등을 정의
DN(Distinguished Names) 국제적 디렉터리에서 X.509 인증서를 식별해야 하기 때문에 계층적으로 이름을 부여
GN(General Names) X.509 인증서의 이름을 암호화하기 위한 것으로, GN은 7개의 표준 이름 형태를 사용

이것으로 학습을 마치겠습니다

그럼 이만-_-

반응형
LIST