[정보보안기사] PKI(공개키 기반 구조)(1)

PKI (1)

[ 목차 ]

PKI의 개요

(가) 기본개념
    ① 공개키 알고리즘을 위한 키 관리 구조, 공개키 알고리즘을 사용하는 응용은 일반적으로 공개키를 디렉터리를 공개함.
    ② RFC 2822는 공개키 기반구조(PKI)를 비대칭키 암호시스템에 기초하여 디지털 인증서를 생성하고, 관리하고, 저장하
        며, 분배하고 취소하는데 필요한 하드웨어, 소프트웨어, 사람, 정책 및 절차라고 정의함.
    ③ PKI는 인증서의 발급, 사용 및 취소와 관련 서비스를 통하여 기밀성, 무결성, 접근제어, 인증, 부인방지의 보안서비스
        를 제공하며, 인증기관, 등록기관, 사용자, 신뢰 당사자, 저장소 등의 요소로 구성됨.

PKI의 주요 구성요소

(가) 인증기관(CA, Certification Authority)
      ① 인증정책을 수립하고, 인증서 및 인증서 효력정지 및 폐기목록을 관리하며, 다른 CA와의 상호 인증을 제공한다.
      ② 인증기관이 하는 일 가운데는 『공개키의 등록과 본인에 대한 인증』을 등록기관이나 사람(개체)에게 분담시키는 경
          우도 있다.
(나) 정책 승인기관(PAA, Policy Approving Authority)
① 공개키 기반 구조 전반에 사용되는 정책을 수립하고, 공개키 기반 구조의 루트 인증기관으로서의 역할을 하며 다음과 같
    은 기능을 수행한다.
    ⊙ 공개키 기반 구조 전반에 사용되는 정책과 절차를 생성하여 수립한다.
    ⊙ 하위 기관들의 정책 준수 상태 및 적정성을 감사한다.
(다) 정책 인증기관(PCA, Policy Certification Authority)
① PAA 아래 계층으로 자신의 도메인 내의 사용자의 인증기관(CA)이 따라야 할 정책을 수립하고 인증기관의 공개키를 인
    증하고 인증서, 인증서 폐지 목록 등을 관리한다.
(라) 인증기관(CA, Certification Authority)
① PCA 아래 계층으로 다음과 같은 기능을 수행한다.
    ⊙ 사용자의 공개키 인증서를 발행하고 또 필요에 따라 폐지한다.
    ⊙ 사용자에게 자신의 공개키와 상위 기관의 공개키를 전달한다.
    ⊙ 등록기관의 요청에 의해 인증서를 발행한다.
    ⊙ 인증서 소유자를 대신하여 공개키와 개인키 쌍을 생성할 수 있고, 안전한 방법으로 소유자에게 전달한다.
(라) 검증기관(VA, Validation Authority)
① 인증서와 관련된 거래의 유효성을 확인하고, 여기에 사용되는 인증서의 유효성 여부와 인증서가 적절한 개체로 발급되
     었다는 것을 신뢰 당사자에게 확인시켜 준다.
② 검증기관 없이 인증기관만 존재할 수 있으나, 적절한 인증서 검증 기능이 없다면, 인증서 기반 응용은 보안측면에서 불
     완전하다고 간주될 수 있다.
③ 검증기관은 외주로 운영하거나 인증기관이 직접 운영할 수 있다. 검증기관과 인증기관은 통합적으로 운영되거나 독립
     적으로 운영될 수 있다.
(마) 사용자와 최종 개체(subjects and end entities)
① 공개키 기반 구조 내의 사용자는 사람뿐만 아니라 사람이 이용하는 시스템 모두를 의미하고, 다음의 기능을 수행할 수
     있어야 한다.
    ⊙ 자신의 비밀키/공개키 쌍을 생성할 수 있어야 한다.
    ⊙ 공개키 인증서를 요청하고 획득할 수 있어야 한다.
    ⊙ 전자서명을 생성 및 검증할 수 있어야 한다.
    ⊙ 비밀키가 분실 또는 손상되거나 자신의 정보가 변했을 때(예 : 조직의 탈퇴) 인증서 폐지를 요청할 수 있어야 한다.
(바) 등록기관(RA, Registration Authority)
① 사용자와 CA가 서로 원거리에 위치해 있는 경우, 인증기관과 사용자 사이에 등록기관을 두어 사용자의 인증서 신청 시
    인증기관 대신 그들의 신분과 소속을 확인하는 기능을 수행한다.
② 등록기관은 사용자의 신분을 확인하고 인증서 요청에 서명을 한 후 인증기관에게 제출한다. 인증기관은 등록기관의 서
     명을 확인한 후 사용자의 인증서를 발행하여 등록기관에게 되돌리거나 사용자에게 직접 전달한다.
③ RA는 선택적인(optional) 요소이다. RA가 없을 때에 인증기관은 RA의 기능을 수행할 수 있다고 가정한다.
(사) 저장소(Repository, Directory)
① 사용자의 인증서를 저장하는 일종의 데이터베이스라고 할 수 있다. 인증기관은 발급한 인증서를 발급과 동시에 디렉터
     리에 저장하며, 사용자는 자신이 원하는 상대방의 인증서를 이곳에서 검색할 수 있다.
② 또한 사용자의 정보는 이곳에서 포괄적으로 관리되며 디렉터리는 상황에 따라 적절한 접근 제한을 제공한다.
③ 현재 디렉터리 표준형식으로는 ITU-T에서 정의한 X.500 표준형식과 이것을 간략화시킨 LDAP(Lightweight Directory
     Access Protocol) 등이 있다.