공인인증서비스 개요 - 교육행정정보시스템 - [교육자료] 공인인증서비스 개요 - 교육행정정보시스템 - 2002. 7 강원도교육청
내용 교육행정정보시스템의 공인인증서 적용 전자서명과 공개키기반구조 공인전자서명 인증서 발급절차 FAQ와 Tips
교육행정정보시스템의 인증서 적용
개요 공인인증서 적용 목적 공인인증서 적용 대상 인증서 발급대상 - 약 42만명 인증기관 및 등록기관 구성 교육행정정보시스템의 안전한 운영 및 관리 교육행정정보 유통의 안전 · 신뢰성 확보 공인인증체계에 의한 법적효력 부여 공인인증서 적용 대상 교육행정정보시스템의 사용자 접속시 신원확인 교육행정정보시스템간의 자료유통시 교육행정정보시스템의 주요업무 수행시 인증서 발급대상 - 약 42만명 교육인적자원부 및 교육청 직원, 각급학교 교직원 교육인적자원부 산하기관 업무담당자 인증기관 및 등록기관 구성 인증기관(CA) : 한국전산원 등록기관(RA) : 교육인적자원부 등록지원기관(BRA) : 16개 시 · 도교육청
관리체계 인증서 관리체계 인증관련 업무담당자 (최소 215명) 시•도 교육청 산하기관 지역 교육청 고등학교 특수학교 한국전산원 (CA) 시•도 교육청 (16개) (BRA) 교육인적자원부 (RA) 초등학교 중학교 인증관련 업무담당자 (최소 215명) 교육인적자원부 : 3명 이상 시 · 도 교육청 : 2명 이상 지역 교육청 : 1명 이상
장애처리 인증관련 장애처리 절차 인증서 사용안내 관리체계의 업무담당자를 통해 장애처리 한국전산원 (CA) 신고 처리 교육인적자원부 (RA) 신고 처리 신고 신고 시·도 교육청 (BRA) 처리 처리 신고 처리 고등학교 특수학교 지역 교육청 시·도 교육청 산하기관 신고 처리 초등/중학교 지역 교육청 산하기관 1단계 2단계 3단계 4단계 예) ○ ○ 초등학교의 장애신고에 대해 시·도 교육청에서 처리할 경우의 처리 절차는 ‘초등학교 지역 교육청 시·도 교육청 지역 교육청 초등학교’ 임 ※ [문의/답변] 내용을 정리해서 각 시·도 교육청 웹서버에 공지함으로써, 장애로 인한 신고를 최소화 하고자 함 인증서 사용안내 인증관련 문의에 대한 질문과 답변을 정리하여 FAQ 및 Tips 관리체계의 업무담당자를 통해 장애처리
전자서명과 공개키기반구조(PKI) *PKI : Public Key Infrastructure
정보보호의 요구사항 및 전자서명 전자서명의 정의(전자서명법 제2조) 정보보호 요구사항 무 결 성 : 전송되는 전자문서의 위•변조방지 인 증 : 전송자의 신원확인 부인 방지 : 사후 행위에 대한 부인방지 비 밀 성 : 개인정보보호, 거래정보보호 안전한 전자거래 공개키 암호기술 해쉬 및 전자서명 기술 대칭키 암호기술 부인방지 무 결 성 비 밀 성 인 증 전자서명의 정의(전자서명법 제2조) 서명자를 확인하고 서명자가 당해 전자문서에 서명하였음을 나타내는데 이용하기 위하여 당해 전자문서에 첨부되거나 논리적으로 결합된 전자적 형태의 정보
전자서명 알고리즘 및 조건 전자서명 알고리즘 전자서명의 조건 위조 불가 특 징 : 서명생성키(개인키) 서명검증키(공개키) 사용자 B A의 공개키 메시지 M 암호화 암호문 복호화 메시지 M A의 개인키 서명문 (암호화) 사용자 A 특 징 : 서명생성키(개인키) 서명검증키(공개키) 장 점 : 키분배가 필요 없음, 키관리가 용이 단 점 : 암호화 및 복호화 속도가 느림 RSA, DSA, KCDSA, . . . 전자서명의 조건 위조 불가 개인키를 소유하지 않은 자는 전자서명 생성불가 변경 불가 개인키를 소유하지 않은 자는 전자문서 변경불가 서명자 인증 전자서명자의 신원을 증명 재사용 불가 A문서의 전자서명을 B문서의 전자서명으로 대치불가 부인 방지 개인키 소유자가 전자서명 후에 행위에 대한 부인불가
+ = PKI 구성 인증기관 (CA) 저장소 (Directory) 등록기관 (RA) Trusted Third Party 인증서 발행 인증서 게시 인증서폐지목록 게시 가입자의 등록 신원확인 이해당사자 가입자 Signed by NCASign Subject: Alice … … …. …… … … … . 인증서의 주체 전자서명 생성 전자서명을 검증/신뢰하고 이용 Signed by NCASign Subject: Alice …… … … … . … … …. + = 사용자의 인증서 (사용자의 공개키와 신원확인을 보장하는 인증기관의 전자서명 포함) 사용자의 공개키 사용자의 공개키에 대한 인증기관의 전자서명
인증서 발급 절차 및 전자서명 인증서 발급 절차 인증서를 이용한 전자서명(예) 인증기관 (CA) 가입자 등록기관 (RA) 저장소 (Directory) On-line Off-line ① 인증서비스 신청 ③ 인증서비스 등록 ② 신원 확인 ④[참조번호][인가코드] 발급 ⑤ [참조번호][인가코드] 전달 ⑥ 공개키쌍 생성(개인키/공개키) Internet ([참조번호][인가코드], 공개키 제출) ⑦ 인증서 발급신청 ⑩ 인증서 발급 ⑨ 인증서 게시 ⑪ 인증서 저장 ⑧ 인증서 생성 인증서를 이용한 전자서명(예) 전자문서 전자문서 인증기관 (CA) 인증서 발급 Internet 인증서 검증 서명 검증 해쉬함수 해쉬함수 축약문서 축약문서 전자문서 전자서명 전자서명 전자서명 NCASign Subject: … … …. …… … … … . NCASign Subject: …… … … … . … … …. NCASign Subject: …… … … … . … … …. [ 전자서명 생성 ] [ 전 송 ] [ 전자서명 검증 ]
공인전자서명
공인전자서명 공인전자서명의 요건 (전자서명법 제2조) 공인전자서명의 효력 (전자서명법 제3조) 전자서명생성정보가 가입자에게 유일하게 속할 것 서명당시 가입자가 전자서명생성정보를 지배·관리하고 있을 것 전자서명이 있은 후에 당해 전자서명 및 전자문서에 대한 변경여부를 확인할 수 있을 것 공인인증서에 기초할 것 공인전자서명의 효력 (전자서명법 제3조) 요건적 효력 - 법령에서 서명, 서명날인 또는 기명날인토록 한 경우 증거능력 - 서명자의 서명, 서명날인 또는 기명날인으로 간주 공인전자서명된 전자문서의 무결성 추정 공인전자서명이 아닌 전자서명의 효력 당사자간 약정에 따른 서명, 서명날인 또는 기명날인으로서 효력
인증서 발급 절차
인증서 발급 절차 (1) 참조번호와 인가코드 준비 - 시.도교육청별 참조번호/인가코드 일괄 보급 예정(7-8월) 한국전산원 정보인증센터 홈페이지 접속(http://sign.nca.or.kr) [인증서 신청] 메뉴 누름 [보안모듈] 다운받기 보안모듈이 모두 다운될 때까지 잠시 기다리신 후 완료되면 부라우저의 [새로 고침] 기능을 수행하여 보안모듈을 인식하게 해야 함 ※ 새로 고침을 수행하지 않으면 인증서 발급 메뉴창이 제대로 뜨지 않을 수 있음 [ 인증서 발급 ] 버튼 누름 [ 참조번호,인가코드 ] 입력 · 본인이 직접 참조번호와 인가코드를 입력 · 참조번호 및 인가코드는 인증서 발급 후에는 더 이상 유 효하지 않은 데이터 · 만일 참조번호 및 인가코드를 정확히 입력 하였는데도 "참조번호가 맞지않습니다” 라는 메시지가 계속 나오 는 경우엔 반드시 등록기관 에 문의해 주시기 바람
인증서 발급 절차 (2) [ 인증서 저장매체 ] 선택 [ 인증서 비밀번호 ] 입력 · 비밀번호는 8~16자리까지 가능 · 인증서 발급시 입력한 비밀번호는 인증서 사용에 꼭 필요 · 비밀번호는 인증서 소유자가 안전하게 보관하여야 할 의무가 있으며 분실로 인해 발생하는 손해에 대하여도 귀하의 책임 임을 알려드림 · 비밀번호는 본인만이 알고 있는 비밀정보로서 인증기관에서는 보관하지 않으므로 분실하신 경우에는 인증서를 폐지하고 재발급을 받으셔야 함 Signed by NCASign Subject: Alice … … …. …… … … … .
인증서 유지 관리 인증서 검증 - 발급 받은 인증서가 현재 유효한 상태인지 검증 인증서 비밀키 암호 변경 - 기존 비밀번호를 변경할 수 있음 저장매체 변경 - 인증서를 하드디스크, 플로피디스크, USB Key, 스마트카드 중 원하는 매체로 옮겨 저장할 수 있음 인증서 백업 및 복구 - 인증서를 플로피디스켓으로 백업 받아 보관, - 인증서가 훼손되었을 시 플로피디스켓에서 원하는 매체로 재저장 하여 인증서를 복구 함 ※ 위의 4가지 인증서 관리는 한국전산원 정보인증센터 홈페이지(sign.nca.or.kr)에서 이루어 집니다. 인증서 재발급 - 인증서의 분실, 안정성 등의 문제가 있을 경우 - 등록기관으로부터 다시 참조번호/인가코드를 받아야 함 인증서 갱신 - 인증서의 유효기간을 연장하고자 할 경우 - 유효기간 만료 30일전부터 갱신가능 인증서 효력정지 및 효력회복 - 인증서의 효력을 일시적으로 정지, 다시 회복 시킬 경우 인증서 폐지 - 전자서명키의 손상, 분실등의 사유로 인증서의 효력을 영구적으로 종료 시킬 경우 (복구불가) ※ 위의 4가지 인증서 관리는 시·도 교육청(BRA)에서 이루어 지므로, 시·도교육청으로 문의하시기 바랍니다.
FAQ와 Tips
인증서 개요(1) 공인인증서란 무엇이며 어디에서 발급하나요 ? 인증서에는 어떤 정보들이 포함됩니까 ? 인증기관(CA)이란 ? 국가가 지정한 공인인증기관에서 발급받아 법적 효력을 부여받은 인증서입니다. 인증서란 전자서명공개키가 자연인 또는 법인이 소유하는 전자서명 개인키에 합치한다는 사실을 확인·증명하는 전자적 정보를 말합니다. 공인인증기관(CA)에 본인여부확인과 함께 전자서명공개키를 등록하면 인증서 발급이 됩니다. 인증서에는 어떤 정보들이 포함됩니까 ? 인증서에는 사용자의 전자서명공개키와 전자서명개인키의 소유자 이름, 유효기간, 일련번호 등의 사용자정보와 전자서명공개키가 누구의 소유라는 것을 증명하는 인증기관의 전자서명이 포함되어 있습니다. 인증기관(CA)이란 ? Off-line상에서 신분을 증명하는 것으로는 주민등록증, 운전면허증 등이 있습니다. 이것을 발급하는 기관의 한 예로 대한민국 정부가 됩니다. 마찬가지로 On-line 상에서도 자신임을 입증하는 인증서와 인증서를 발급하는 기관이 필요하며, 이런 기관을 인증기관이라 합니다. 인증기관은 인증서 발급 신청자로부터 신상정보를 제출 받아 본인 여부를 확인하고 인증서를 발급하게 됩니다.
인증서 개요(2) 등록기관(RA)이란 ? 등록대행기관(BRA)이란 ? 인증서 폐지 목록(CRL)이란 ? 등록기관이란 인증서 발급, 효력정지, 효력회복, 폐지 등의 인증서 이용신청 접수 및 신원 확인 등의 업무를 수행하는 기관을 말합니다. 등록대행기관(BRA)이란 ? 공인인증서를 발급하기 위해서 전자서명법과 공인인증기관의 인증업무준칙에 따라 가입자의 신원을 확인하고 이에 수반되는 각종 인증 서비스를 대행하는 기관들을 총칭하여 등록대행기관이라고 합니다. 인증서 폐지 목록(CRL)이란 ? CRL(Certificate Revocation List)은 폐지된 인증서 목록으로서 인증기관의 디렉토리서버가 주기적으로 정보를 입력받아 업데이트하여 사용자에게 전달해주어 인증서의 유효성을 검증하는데 사용되어집니다. 개인키는 어떻게 생성되나요? 한국전산원의 인증서 발급 홈페이지에 접속하면, 보안모듈이 사용자의 PC로 내려받게 됩니다. 그 보안모듈을 통하여 개인키/공개키 쌍이 생성됩니다.
인증서 발급 신청(1) 인증서 발급시, '참조번호나 인가코드가 맞지 않는다'는 창이 뜨는데 왜 그런가요 ? 참조번호를 실제로 틀리게 입력했거나 이미 인증서를 발급 받은 경우 입니다. 참조번호와 인가코드를 사용하여 인증서를 발급 받고 나면 더 이상 유효하지 않은 정보가 되므로 같은 참조번호, 인가코드를 이용해서 다시 인증서를 발급 받을 수는 없습니다. 만일 바르게 입력하였는데 계속해서 메시지가 나오면 인증기관으로 문의바랍니다. 인증서가 정상적으로 발급되었는지 알고 싶은데요 ? 인증기관 인증서비스 시스템의 "인증서검증" 메뉴에서 인증서를 저장한 해당 저장매체를 선택후 검색되어지는 인증서가 있으면 인증서 발급이 정상적으로 이루어진것입니다. 내년 3월에 교사 신규 임용시, BRA에서는 어떤 작업이 이루어져야 하는가? RA(교육인적자원부)의 인사DB와 교육행정정보시스템이 연동이 되어 있습니다. BRA 로그인시 신규로 임용된 사람의 목록이 화면에 출력하게 되어 있어, BRA 담당자는 편리하게 인증서 등록 신청을 할 수 있습니다.
인증서 발급 신청(2) 궁금한 사항이나 인증서 발급 및 사용시 발생하는 문의는 어디로 해야 되나요? 한국전산원으로 직접 문의하는 것이 아니라, 이 문서의 5페이지에 있는 ‘인증관련 장애처리 절차’에 의거, 장애 신고 절차를 밟아 주시기 바랍니다. 인증서 발급 버튼을 눌렀을 때, 아무런 반응이 없습니다. 한국전산원 정보인증센터 홈페이지(sign.nca.or.kr)에 최초 접속시, 보안 모듈을 DownLoad 받지 않았습니다. 다시 홈페이지에 접속하여 보안 모듈을 DownLoad 받으셔야 되며, 완전히 DownLoad 받을 때까지 기다리셔야 됩니다.
인증서 사용 및 관리(1) 인증서만 있으면 다른 PC에서 사용할 수 있나요 ? 인증서를 유동 저장매체에 저장하면 다른 어떤 PC에서도 사용하실 수 있습니다. 만약 하드디스크로 인증서를 발급 받으셨다면 기타 다른 휴대할 수 있는 저장매체로 복사하여 사용하고자 하시는 PC에 이식하시면 됩니다. 발급받은 인증서가 PC의 하드디스크 내 어디에 저장되는지요 ? c:\Program Files\NPKI\NCASign\USER 디렉토리 밑에 확장자 der 로 안전하게 저장 되어있습니다. 인증서 관리는 어떻게 하나요 ? 인증서 발급, 인증서 비밀키 암호 변경, 저장매체 변경, 인증서 백업 및 복구는 한국전산원 정보인증센터 홈페이지에서 이루어 집니다. 인증서 재발급, 인증서 갱신, 인증서 효력정지 및 효력회복, 인증서 폐지는 BRA(시·도교육청)로 연락하시기 바랍니다. 인증서의 유효기간 경과, 분실, 훼손, 도난 및 유출되었을 경우에 어떻게 하나요 ? 인증서의 분실 등 사실을 BRA로 신고하시고, BRA 관리자는 해당 인증서를 폐기 처분하여 인증서를 더 이상 유효하지 않게 조치합니다. 그 후 사용자는 절차에 따라 새로운 인증서를 재발급 받으시면 됩니다.
인증서 사용 및 관리(2) 학교의 운전기사 등 컴퓨터를 잘 모르시는 분들이 인증서를 사용할 때, 주의할 점은 ? On-line 상에서의 전자인증서는 Off-line 상에서의 인감과 같습니다. 인감을 남에게 빌려주지 않듯이, 전자인증서를 남에게 대여해서는 안 됩니다. 컴퓨터에 저장되어 있는 전자인증서를 사용하려면 인증서 비밀번호를 입력해야 하는데, 인증서 비밀번호가 노출되지 않도록 주의해야 합니다. 인증서의 비밀번호를 입력하는 것은 본인이 직접 해야 하며, 비밀번호를 남에게 노출시켜서는 절대로 안 됩니다. 하나의 인증서를 여러 대의 컴퓨터에 복사해 놓아도 되는가? 하나의 인증서가 복사될 수 있는 복사 개수에 대한 규정은 없습니다. 인증서를 발급 받자마자 플로피디스켓에 백업해 놓아서, 차후 인증서 분실시에 복구할 수 있도록 하는 것을 권장합니다. 전산원 홈페이지의 인증서 신청 화면에서 저장매체 변경은 인증서가 이동되는 것인가 아니면 복사되는 것인가? 인증서의 원본은 남아 있고, 다른 매체로 복사되는 것입니다. 교직원의 인사 이동시 인증서의 사용이 가능한가? 인증서를 플로피디스켓에 백업한 후, 인사 이동후 근무지에서 복구하여 사용하면 됩니다. 인사 이동전 근무지의 기존 인증서는 탐색기를 통해서 삭제하시면 됩니다. 만일 삭제를 안하고 새로운 근무지로 가셔도, 타인이 비밀번호를 모르기 때문에 인증서를 사용할 염려는 없습니다.
인증서 사용 및 관리(3) 신규 발급된 인증서는 1년 사용한 후, 갱신을 한 번 더 할 수 있어 총 2년만 사용 가능하다고 하였습니다. 갱신을 두 번 이상 하여 2년 이상 사용할 수는 없나요? 한국전산원과 같은 공인인증기관의 인증서의 유효기간은 최상위인증기관(한국정보보호진흥원:KISA)의 유효기간(10년)의 반을 넘지 못합니다. 또한 공인인증기관에서 발급한 인증서의 유효기간은 공인인증기관 인증서의 유효기간(5년)의 반을 넘지 못합니다. 그러므로 사용자 인증서의 유효기간은 2년을 넘지 못합니다. 한 PC에 여러 개의 인증서를 적재하고 사용해도 되나요? 한 PC에 여러 개의 인증서를 적재해도 됩니다. 인증서 마다 비밀번호가 있어, 비밀번호를 아는 사람만이 사용할 수 있습니다. 인증서 검증 시에, ‘인증서의 유효기간이 만료되었거나 시작 전입니다.’라는 메시지가 뜹니다. 인증서의 유효기간 검증시 로컬 PC의 시간이 현재시간으로 정확하지 않으면, 위와 같은 메시지 등 에러 메시지가 뜹니다. PC의 시간을 정확히 맞추어 주시기 바랍니다.
인증서 저장 매체 인증서를 저장하는 매체에는 어떤 종류가 있습니까 ? 인증서를 저장한 매체를 다른 매체로 변경할 수 있나요 ? 하드디스크, 플로피 디스켓, 스마트카드, USBKey 이 있습니다. USBKey는 휴대하기 편리한 정보보호장치로 보안이 필요한 정보를 안전하게 저장할 수 있는 인증서 저장매체 중의 하나이며 인증서를 이동하여 사용하실 경우 편의를 위해 USB Key를 사용하는 것입니다. 인증서를 저장한 매체를 다른 매체로 변경할 수 있나요 ? 인증기관 인증서비스시스템에서"저장매체변경" 메뉴를 통해 현재 인증서를 저장하신 매체에서 다른 매체로 변경하실 수 있습니다. 하드디스크에 저장되어 있는 인증서의 저장 경로를 임의로 바꿀 수 있나요? 공인인증기관간 상호연동을 위한 사용자 인터페이스 기술규격에서 인증서의 저장위치를 정의하여 사용하고 있으며, 하드디스크의 경우는 c:/Programs Files/NPKI 디렉토리에 각 인증기관별 디렉토리를 생성하여 인증서를 저장하고 있습니다. 상호연동 및 어플리케이션에서 인증서를 쉽게 참조하여 사용할 수 있도록 인증서를 정해진 위치에 저장하여 사용할 것을 권고합니다.
한국전산원 정보인증센터 http://sign.nca.or.kr e-mail: sign@nca.or.kr Tel: (031) 260-2119 Fax: (031) 260-2118 이 자료는 한국전산원에서 교육행정정보시스템 사용자들에게 공인 인증서비스에 대한 이해를 돕고자 교육용으로 작성하여 제공하는 자료입니다. 따라서 이 자료는 교육행정정보시스템과 관련한 내부 교육자료로만 활용되어야 하며, 한국전산원의 동의 없이 외부유출 및 강의에 이용되거나 복사 또는 무단 전제되지 않도록 주의 바랍니다.