PKI

• PKI(Public-Key Infrastructure)

  • 공개키 알고리즘을 위한 키 관리 구조
  • 제공 서비스
    • 기밀성, 접근제어, 무결성, 인증, 부인방지

  • 구성요소

    • 인증기관(CA, Certification Authority)
      • 인증정책을 수립하고, 인증서 및 인증서 효력정지 및 폐기목록을 관리하며, 다른 CA와의 상호 인증 제공
    • 정책 승인기관(PPA, Policy Approving Authority)
      • 공개키 기반 구조 전반에 사용되는 정책과 절차 생성 수립
      • 하위 기과들의 정책 준수 상태 및 적정성 감사

    • 정책 인증기관(PCA, Policy Certification Authority)

      • PAA 아래 계층으로 자신의 도메인 내의 사용자와 인증기관이 따라야 할 정책 수립
      • 인증기관의 공개키를 인증하고 인증서, 인증서 폐지 목록 등 관리

    • 등록기관

      • 인증기관과 멀리 떨어져 있는 사용자들을 위해 인증기관과 사용자 사이에 등록기관을 두어 인증기관 대신 사용자들의 인증서 신청 시 그들의 신분과 소속을 확인하는 기능 수행

    • 저장소

      • 사용자의 인증서를 저장하는 저장소의 역할을 하는 일종의 데이터베이스

    • 사용자

      • PKI 내의 사용자는 사람뿐만 아니라 사람이 이용하는 시스템 모두 의미

• PKI의 형태

  • 계층구조
  • 네트워크 구조
  • 혼합형 구조

• PKI의 주요 관리 대상

  • 인증서(PKC, Public-Key Certiticate)
    • 한 쌍의 공개키/개인키와 특정 사람/기관을 연결시켜 주는 것을 보증해줌
    • 공개키 인증서에는 이름, 소속, 메일 주소 등의 개인정보 및 그 사람의 공개키가 기재되고, 인증기관의 개인키로 전자서명 되어있음
  • 인증서 표준 규격 X.509
    • 인증서의 작성, 교환을 수행할 때의 표준 규격
  • X.509 인증서 폐지 목록 프로파일
    • CRL(Certification Revocation List)
      • 폐지된 인증서들에 대한 목록
    • 인증서 폐지 사유
      • 사용자 개인키가 노출되었거나 훼손된 것으로 여겨진다
      • CA가 사용자를 더 이상 인증해줄 수 없다
      • CA의 인증서가 노출되었거나 훼손된 것으로 여겨진다
    • 인증서 운영 프로토콜
      • 온라인 인증서 상태 검증 프로토콜(OCSP, Online Certiticate Status Protocol)
        • 실시간으로 인증서의 상태 정보를 확인할 수 있는 효율적인 방법
        • 구성 요소
          • OCSP 클라이언트, OCSP 서버, 인증 서버로 구성
      • 서버 기반 인증서 검증 프로토콜(SCVP, Simple Certitication Validation Protocol)
        • SCVP 서버를 이용하여 클라이언트의 인증서 처리에 대한 부담을 줄여 줌
        • SCVP 서버는 인증서의 유효성 혹은 신뢰할 수 있는 인증서의 체인 등 인증서에 관한 가치 있는 다양한 정보 제공