암호체계고도화(2048) 문서유통 테스트베드 사용 메뉴얼 2011.9
메뉴얼 순서 암호체계고도화 개요 암호체계고도화 주요 변경내역 문서유통 테스트베드 개요 문서유통 테스트베드 송신 프로세스 문서유통 테스트베드 수신 프로세스 문서유통 테스트베드 인증서 수신 URL 주소 문서유통 테스트베드 송수신 테스트 신고인S/W 개발업체 송수신모듈 정보 서버인증서 다운로드 예시 인증서 전자서명 데이터 예시 정보인증 모듈 설치시 주의사항 암호체계고도화 진행일정 부록. Q & A
1. 암호체계고도화 개요 암호체계고도화 개요 국외 암호전문기관(NIST 등) 권고 및 국정원 “국가-공공기관 암호 사용 기준”에 따른 행정전자서명 키길이 및 해시 알고리즘 교체. 2012년 전면 시행 예정 추진배경 행정전자서명인증체계에서 사용중인 암호 알고리즘은 ’11년 이후 안전성 담보 어려움 ※ NIST 권고사항(Recommandation form Key Management – Part 1.2007.03) 배경 Ⅰ 국가 공공기관 정보시스템의 전자서명 및 암호화 키 생성등에 사용되는 알고리즘은 ’11년까지 SHA-256 또는 새로운 국가표준 해시 알고리즘으로 교체해야 함 배경 Ⅱ 인증서 자체에 대한 해킹(불법복제, 위조생성 등)을 방지하고 행정전자서명인증서의 신뢰성 확보를 위해 전자서명 “키 길이 상향 조정, “해시 알고리즘 교체” 필요 배경 Ⅲ
2. 암호체계고도화 주요 변경내역 주요 변경내역 해시알고리즘 교체 해시알고리즘 SHA-1 SHA-256 인증서 키길이 강화 암호용 알고리즘 RSA 1024bit RSA 2048bit 전자서명용 알고리즘 RSA-SHA1 1024bit RSA-SHA256 2048bit
3. 문서유통 테스트베드 개요 문서유통 테스트베드는 현재 고도화 진행중인 업체와 진행 예정인 업체를 위해 1024인증서, 2048 인증서 기반 전자서명 및 암·복호화 송수신 지원 문서유통 테스트베드 송수신 EndPoint 주소는 http://portal.customs.go.kr:9114/DocInfraPt /IebMSServerWebMgr 로 기존 문서유통 개발서버 전송 EndPoint와 동일하게 유지
4. 문서유통 테스트베드 송신 프로세스 서버연계업체 관세청 신고인S/W 개발 업체 사용자 공개키 이메일 전달 2048 고도화 테스트 요청 2048 고도화 설정 및 인증서 공개키 등록 관세청 인증서 공개키 다운로드 사용자 정보 1024인증서는 일일 자동갱신 2048인증서는 수작업 갱신 전송문서 분석 및 고도화 여부 신고서 작성 아니오 2048? 예 관세청 1024 인증서 XML변환(DB->XML) 관세청 2048 인증서 1024방식 신원확인 2048방식 신원확인 사용자 PC식별번호 전자서명 및 암호화 1024 복호화 및 전자서명검증 2048 복호화 및 전자서명검증 전송문서 생성 신고서 송신 사용자 1024 인증서 사용자 2048 인증서 전자문서 수신처리
5. 문서유통 테스트베드 수신 프로세스 서버연계업체 관세청 신고인S/W 개발 업체 사용자 문서수신요청 전자서명 및 암호화 사용자 정보 전자서명 및 암호화 요청문서 수신 (송신 데몬) 관세청 1024 인증서 관세청 2048 인증서 전송문서생성 요청문서 전송 사용자 아니오 2048? 예 1024 암호화 및 전자서명 2048 암호화 및 전자서명 통보서 수신 전송문서 분석 복호화 및 전자서명검사 전송문서 생성 사용자 1024 인증서 사용자 2048 인증서 XML변환(XML->DB) 전자문서 송신처리 통보서 확인
6. 문서유통 테스트베드 인증서 수신 URL 주소 인증서 종류 URL(GET 방식) 1024 NPKI 2048 GPKI http://portal.customs.go.kr:9114/DocInfraPt/IebMSServerWebMgr http://portal.customs.go.kr:9114/DocInfraPt/IebMSServerWebMgr?CONFIG=X509 http://portal.customs.go.kr:9114/DocInfraPt/IebMSServerWebMgr?CONFIG=X509&CERT=1024 2048 http://portal.customs.go.kr:9114/DocInfraPt/IebMSServerWebMgr?CONFIG=X509&CERT=2048 GPKI http://portal.customs.go.kr:9114/DocInfraPt/IebMSServerWebMgr?CONFIG=GPKI http://portal.customs.go.kr:9114/DocInfraPt/IebMSServerWebMgr?CONFIG=GPKI&CERT=1024 http://portal.customs.go.kr:9114/DocInfraPt/IebMSServerWebMgr?CONFIG=GPKI&CERT=2048
7. 문서유통 테스트베드 송수신 테스트 1. 인터넷통관포탈(http://portal.customs.go.kr:9114) 업체 대표자 로그인 2. “사용자관리 > 인터넷서비스 이용변경”로 메뉴 이동 3. 암호체계고도화(2048) 인증서 기반 XML문서 송수신 테스트 체크박스를 선택. 이 때 인증서 고유명을 공인인증기관으로 부터 발급받은 2048 인증서로 등록해야 함
7. 문서유통 테스트베드 송수신 테스트 4. 문서유통 테스트베드 인증서 수신 URL을 이용해서 관세청 2048 인증서 공개키를 수신하고, XML 송수신 테스트 한다. 관세청 인터넷통관 사이트에 접속이 원활하지 않은 경우 관세청 위탁운영팀 문서유통 담당자에게 테스트 요청을 하고, 사용자 공개키 전달 할 것 담당자 : 이창형 과장(042-471-9644) linux1975@kcnet.co.kr 채정무 과장(042-471-9644) cjm019@unipass.or.kr 조영일 책임(042-471-9651) escalation@naver.com 2048 고도화 테스트 할 경우에는 관세청 인증서 공개키(신원확인 R값 암호화 및 XML 문서 세션 키 암호화시 사용)를 2048 인증서를 다운로드 후 XML 전송해야 신원확인 오류(C401)가 나지 않음을 꼭 유의할 것
8. 신고인S/W 개발업체 송수신모듈 정보(1/2) 구분 종류 DLL 버전 SecuXML 버전 특징 KCSIPTModule.dll Delphi 버전 비고도화 2.0.1.4 SecuXML Toolkit v3.0 1024인증서만 지원 고도화 2.1.0.0 SecuXML Client v7.0 1024, 2048 인증서 모두 지원 VC++ 버전 1.1.0.0 1.2.0.0
8. 신고인S/W 개발업체 송수신모듈 정보(2/2) 송수신모듈 버전과 SecuXML 버전이 맞지 않을 경우 문서 송수신이 되지 않으므로 꼭 버전에 맞도록 설치할 것 인터넷통관포탈(http://portal.customs.go.kr)이 암호체계고도화 적용하면 SecuXML Client v7.0 자동설치가 되며 신고인S/W는 비고도화 송수신 모듈이 설치된 경우에는 송수신시 정상동작 하지 않으므로, 고도화 송수신 모듈로 교체가 반드시 필요 2048 고도화 모듈 등록정보 에는 ‘SecuXML Client v7.0, 2048 Support’ 제품설명이 있으니 확인할 것
9. 관세청 서버인증서 다운로드 예시(1/2) KCSIPTModule.dll을 이용해서 문서 송수신시 해당일의 최초 전송인 경우 C:\KCSIPTModule\config\ x509_Server.der 파일 생성일자를 확인 후 이전 일자인 경우에는 자동 갱신. 1024 인증서 기반 송수신 테스트 인 경우에는 문제가 없음. 단 2048 인증서 기반 송수신 테스트 하고자 하는 경우에 아래와 같이 수동 갱신 할 것. 다음 페이지 참고할 것
9. 관세청 서버인증서 다운로드 예시(2/2) 1. 인터넷 익스플로러 주소창에 다운로드 URL 입력 http://portal.customs.go.kr:9114/DocInfraPt/IebMSServerWebMgr?CONFIG=X509&CERT=2048 2. C:\KCSIPTModule\config\x509_server.der 파일을 노트패드나 에디트플로스와 같은 편집기로 오픈 후 위의 인증서 값을 복사해서 붙여 넣는다. 그 후 파일을 닫는다
10. 인증서 전자서명 데이터 예시(1024) Signature Algorithm 식별자 : "http://www.w3.org/2000/09/xmldsig#rsa-sha1" DigestMethod Algorithm 식별자 : “http://www.w3.org/2000/09/xmldsig#sha1” DigestValue 의 길이 : 28 byte Base64 Decoding 한 DigestValue 의 길이 : 20 byte SignatureValue 의 길이 : 172 byte Base64 Decoding 한 SignatrueValue 의 길이 : 128 byte
10. 인증서 전자서명 데이터 예시(2048) Signature Algorithm 식별자 : "http://www.w3.org/2000/09/xmldsig-more#rsa-sha256" DigestMethod Algorithm 식별자 : “http://www.w3.org/2000/09/xmlenc#sha256” DigestValue 의 길이 : 43 byte Base64 Decoding 한 DigestValue 의 길이 : 32 byte SignatureValue 의 길이 : 344 byte Base64 Decoding 한 SignatrueValue 의 길이 : 256 byte
☞ KICAFullUninstaller를 이용해서 설치 프로그램을 삭제해야 SecuXML 3.0 설치가 됨 11. 정보인증 모듈 설치시 주의사항 SecuXML Client v7.0 설치 이 후 SecuXML v3.0으로 다운 그레이드 할 경우 제어판 > 프로그램 추가/제거에서 삭제만으로는 되지 않음 ☞ KICAFullUninstaller를 이용해서 설치 프로그램을 삭제해야 SecuXML 3.0 설치가 됨 [오류 메시지]
12. 암호체계고도화 진행일정 문서유통 테스트베드 오픈 : ’11.09.14 문서유통 테스트베드 오픈 : ’11.09.14 송수신 테스트 : ’11.09.14 ~ ‘11.12.31 문서유통 운영 고도화 적용 : ’11.10 중순(미정) 2048 인증서 발급 시작 : ’12.01
부록. Q & A 질문 : 인터넷통관포탈(http://portal.customs.go.kr)이 고도화 적용하면 1024 인증서는 사용하지 못하나요? 답변 : 인터넷통관포탈 고도화와 상관없이 1024 인증서는 사용 가능합니다. 2012년도 2048인증서 전면시행에 앞서 2048 인증서 기반 전자서명 및 암·복호화 처리를 위한 보안 모듈을 업그레이드 하는 것입니다. 사용자가 인증서 갱신시 2048로 발급받으면 사용자관리 > 인터넷서비스이용변경 > 인증서 고유명을 변경하는 작업은 현재와 동일합니다
부록. Q & A 질문 : 인터넷통관포탈(http://portal.customs.go.kr)이 고도화 적용하면 현재 신고인S/W에 사용하고 있는 KCSIPTModule.dll은 그대로 사용가능 한가요? 답변 : 인터넷통관포탈 고도화되면 PKI보안모듈인 한국정보 인증 KICA SecuXML Toolkit v3.0 Signgate SecuXML Client v7.0으로 업그레이드 됩니다. 구 보안모듈 v3.0 은 하위버전이고 신 보안모듈 v7.0과 지원하는 라이브러리가 다르기 때문에 더 이상 사용할 수 없습니다. 따라서 신고인S/W 도 KCSIPTModule.dll 고도화 모듈로 반드시 업그레이드 해야 합니다. 통관포탈에서 신고시 사용하는 송수신모듈인 KCSIPT.dll도 1.2.2.5 1.3.0.0으로 업그레이드 됨을 알려 드립니다.
부록. Q & A 질문 : 관세청 PKI보안모듈인 KICA SecuXML Toolkit v3.0 은 국세청 전자세금계산서 보안모듈인 SGSecuTax Client v1.x 버전과 충돌이 발생해서 사용이 불편했는데 이제 충돌현상이 해결된 건가요? 답변 : 인터넷통관포탈 에서 새로 도입되는 Signgate Secu XML Client v7.0은 SGSecuTax Client v1.x과 더 이상 충돌이 발생하지 않습니다. 따라서 두 프로그램 다 설치하고 사용하셔도 문제없습니다.