PKI(Public Key Infrastructure; 공개키 기반 구조)

• PKI의 출현 배경
  • 공개키 암호 시스템 활용의 한계로 인해 공개키 소유자의 신원 확인의 어려움
  • 공개키 자체의 무결성 보장이 어려움(즉, 공개키 저장소(디렉토리 서버)의 신뢰성 문제)
     
• PKI의 개요
  • 공개키 암호 기술의 신뢰성 있는 사용 기반 환경을 제공하기 위해 사용자들의 공개키를 안전하게 관리할 수 있는 공개키 관리 기반 체계
  • 사용자의 공개키를 인증, 관리해주는 인증 기관들의 네트워크
       
• PKI 서비스
  • 프라이버시 : 정보의 기밀성을 유지
  • 접근 제어 : 선택된 수신자만이 정보에 접근하도록 허락
  • 무결성 : 정보가 전송 중에 변경되지 않았음을 보장
  • 인증 : 정보의 원천지를 보장
  • 부인 봉쇄 : 정보가 송신자에 의해 전송되었음을 보장
       
• PKI 구성 요소
  • 정책 승인 기관(PAA; Policy Approval Authority)
    • PKI 시스템 내에서 수행되는 정책을 설정하는 당국인 PAA는 모든 사용자와 사용자의 연합 및 인증 기관들이 지켜야 할 전반적인 정책을 생성
    • PCA의 정책에 대해 승인하고 감독하는 책임을 가짐
    • 자신의 공개키를 공포하고, 하부 PCA에 대한 인증서(Certificate)를 발급
  • 정책 인증 기관(PCA; Policy Certification Authority)
    • PCA는 PAA에서 승인된 총괄적 정책을 확장하거나 세부적 정책을 생성
    • PCA의 주요 기능은 정책의 생성.공표에 있지만, 환경에 따라 PAA의 기능과 병합되어 사용
      • PCA 정책
      • 인증서의 서명에 사용될 키 길이는 얼마로 할것인지, 키 생성은 누가 행할 것인지, 인증서의 유효 기간을 얼마로 할 것인지, CRL(Certificate Revocation List; 인증서 폐기 목록) 관리 정책 및 필수 사항 정립 등의 세부 사항을 명세화
      • 하부 인증 기관을 인증해 주고 하부 인증 기관에 대한 인증서를 생성하고 관리
  • 인증 기관(CA; Certification Authority)
    • 사용자 신분 확인 후 사용자 공개키에 대한 소유 증명을 해주는 제 3의 신뢰기관
    • 소유 증명은 인증 기관의 전자 서명으로 이루어지며, 이는 최종적으로 인증서라는 형식으로 나타남
      • 사용자의 인증서에는 인증 기관의 전자 서명이 포함되어 있고, 사용자의 인증서 검증 과정은 인증 기관의 전자 서명 검증 과정을 포함
      • 인증 업무 준칙(Certification Practice Statement)
      • 사용자들을 위한 인증 기관 운영 약관
      • 인증 기관의 운영 방식, 정책, 책임 및 의무 등을 포함
      • 필요성 : 신뢰성 확보, 분쟁 해결, 정책 고지 등
    • 인증서 정책(Certificate Policy)
      • 인증서 발급에 대한 적용 정책 및 기준
      • 인증서별 신원 확인 방법, 유효 기간, 사용 범위 등을 포함
      • 필요성 : 상호 인증, 사용 제한 등
  • 등록 기관(RA; Registration Authority)
    • 사용자 신원 확인 및 등록만을 전담하는 신뢰기관으로, 직접 대면 방식의 신원 확인이나 도메인별 신원 확인이 있어야 할 경우에 사용
    • 사용자 신원 확인 후 사용자 정보를 인증기관에 전달하고,이후 인증서 발급에 필요한 비밀 정보를 전달받으며, 이것을 다시 사용자에게 전달(사용자는 전달받은 비밀정보를 이용해 인증서를 발급받음)
    • 등록 기관의 유형
      • LRA(Local RA) : 인증 기관에서 운용하는 자체 등록 기관
      • RRA(Remote RA) : 인증 기관과는 다른 별도의 법인으로 운영하는 외부 등록 기관
    • 등록 서버
      • 용도 : 사용자 신원 정보의 입력을 위한 서버
      • 기능 : 사용자 신원 정보를 입력 받아 CA 서버에게 전달함으로써 사용자 인증서 발급을 위한 사용자의 인가를 수행
  • 저장소(Repository)
    • 사용자의 인증서 및 CRL을 저장/공고하는 저장 기관으로, 주로 인증 기관이 자체적으로 운영하고 있음
    • 복잡한 트랜잭션 보다는 읽기나 검색 기능이 중요시되므로, 일반적인 DBMS보다는 디렉토리 서버가 많이 사용
    • LDAP(Lightweight Directory Access Protocol) 디렉토리 서버
      • 용도 : 사용자 인증서와 CRL의 저장 및 공고
      • 기능 : LDAP 서버 관리자나 CA 서버가 인증서 또는 CRL 발생 시에 직접 디렉토리 서버에 등록
  • 인증서 소유자(Certification Holder)
    • 인증서를 발급받는 주체(Subject)로서 인증서와 인증서에 해당하는 개인키를 발급/보유
    • 인증서는 사용용도에 따라 종류별로 구별이 가능
  • 인증서 사용자(Certification Party) - 신뢰 당사자
    • 인증서를 사용하는 당사자
      • 송신자의 전자 서명을 검증하는 수신자(전자 서명 검증 시 인증서에 대한 검증을 우선 수행한 후 전자 서명 검증을 수행)
      • 특정 수신자에게 암호문을 보내고자 하는 송신자(수신자의 인증서 검증 후 검증된 인증서를 이용하여 메시지 암호화를 수행)
    • 인증서 사용자는 해당 인증서의 유효성 여부를 판단하기 위한 기술적 검증뿐만 아니라 정책적 검증도 수행
      • 인증 업무 준칙에 따른 신뢰 당사자의 책임과 의무를 파악함으로써 향후 불이익을 방지
      • 인증서 정책을 정확하게 이해함으로써 해당 인증서의 검증 후 사용여부를 결정