[보안] 인증서

• 인증서란
  공개키와 공개키의 소유자를 연결시켜주는 전자문서(복호화 키인 공개키를 파일 형태로 만들어 놓은 것)

 

• 공동인증서란 (구 공인인증서)
  신뢰할 수 있는 인증기관(CA)이 전자서명하여 생성하며 인증기관이 공개키를 공증
  개인키와 공개키 쌍을 만들고, 그 개인키를 공인인증기관에서 적법한 절차를 통해서 만들었다고 인증서를 발행하는 것

 

• 인증서 포함 내용
  개인키를 보증하기 위해 그 쌍이 되는 공개키
  인증서를 공인인증기관이 정식으로 발행했다는 것을 알리기 위한 공인인증기관의 전자서명
  (전자서명: 인증서에 기록된 여러 정보를 하나로 모은 후 해시 함수에 입력하여 지문을 얻어내고, 발급자(발급해주는 곳)의 암호화키(개인키)로 해당 지문에 대한 암호화 한 결과)

 

• 인증서 표준
  X.509 인증서(버전3), SPKI인증서, PGP인증서

 

• 인증서 영역
  기본영역 : 버전, 일련번호, (발급자의)서명알고리즘, 발급자, 유효기간(시작, 끝), 주체(인증서 소유자의 DN), 공개키
  확장영역 : 기관 키 식별자, 주체 키 식별자, 주체 대체 이름, CRL 배포 지점, 기관 정보 액세스, 키 사용 용도, 인증서 정책, 손도장 알고리즘, 손도장

 

• 인증서 특성
  누구나 사용자의 인증서를 획득하고, 공개키를 획득할 수 있다.
  인증기관 이외에는 인증서를 수정/발급할 수 없다.
  같은 인증 구조 내의 사용자는 상호인증서 신뢰가 가능하다.

 

• 인증서 종류
  SignCert(.der): 서명용 인증서
                           상대방(자신)이 전자서명한 데이터의 전자서명 정당성 검증
  SignPri(.key): 서명용 개인키
  KmCert(.der): 암호용 인증서
                 자신의 PC데이터를 암호화해 저장해 PC보안에 이용
                 상대방에게 임의의 데이터를 암호화해 보낼 수 있음
  KmPri(.key): 암호용 개인키

 

• 인증서 폐기
  목적: 시기적절하게 폐기하여 인증서 사용에 따른 피해 줄이기
  인증서 폐기 목록(CRL): 인증기관이 전자서명을 하여 폐기된 인증서 목록을 주기적으로 발급
  
  나쁜 목록 방법: 폐기된 인증서에 관한 정보만 유지
  좋은 목록 방법: CRL에 포함된 인증서만 사용, 나쁜 목록에서는 CRL에 포함되지 않은 인증서만 사용

 

• 인증서 관련 프로토콜
  인증서 요청 메시지 형식(PKCS#10, CRMF)
  인증서가 수납된 응답 메시지의 형식(PKCS#7, CMS- 인증서 발급 요청에 대해 CA는 PKCS#7/CMS의 SignedData 메시지 형식에 인증서를 수납하여 전송)
  인증서 발급 요청 및 응답절차(CMP, CMC)
  
  PKCS#7, CMS: CA가 인증서를 처리할 때, 어떻게 처리되었는지 명시하고, 필요한 경우 암호화 방식이나 키 정보 등을 수납하기 위한 공통의 메시지 형식 필요

 

• signed-data
  PKCS#7, CMS의 Content Type 중 하나
  본문과 이에 대한 서명 값을 수납하는 전자서명 데이터를 담는 포맷
  원본을 Hash 할 알고리즘, 원본데이터(평문), 인증서, 인증서폐기목록, 서명자정보(서명자ID(발급자정보+시리얼), 추가 의견, 전자서명)로 구성