공개키 기반구조 (Public Key Infrastructure)

Slides:



Advertisements
Similar presentations
Ⅲ-1Ⅲ-1 추천관리는 포상 추천관리와 정부시상 추천관리로 구분하여 수행하며, 포상은 정기/수시 포상, 퇴직자 포상, 우수공무원 포상, 모범 공무원 포상 전체에 대한 추천관리를 수행하는 것이며 정부시상은 별도로 추천관리 수행한다. 특히 정부시상은 추천기관만 사용할 수 있는.
Advertisements

중부대학교 정보보호학과 이병천 교수. (c) Byoungcheon Lee, Joongbu Univ.2  1. 전자상거래의 정의  2. 전자상거래의 유형  3. 전자상거래 관련 표준  4. 전자상거래 보안.
개인정보보호 방안 제주도교육청 (교육정보화과).
내용 교육행정정보시스템의 공인인증서 적용 전자서명과 공개키기반구조 공인전자서명 인증서 발급절차 FAQ와 Tips.
To communicate among internet devices (ex.PC, Smartphone), each device has its own numerical addresses, called IPv4 and IPv6 To communicate among.
암호체계고도화(2048) 문서유통 테스트베드 사용 메뉴얼
10. 전자상거래 보안 e-commerce security
(SPF: Sender Policy Framework)
3 장 인터넷 서비스.
Web Service XML Security
Cryptography and Network Security
암호화 기술(SSL, IPSec) 손재성 권기읍 안복선 최준혁
암호화 기술(IPsec,SSL) 배문주 송정미 황유진.
Copyright ⓒ2000 by BCQRE Co., Ltd. All rights reserved.
제목 CHAPTER 09. 정보 보안 선택이 아닌 필수_정보 보안 기술과 정보 윤리.
IPsec 석진선.
(c) Byoungcheon Lee, Joongbu Univ.
전자상거래 보안 (암호학과 네트워크보안) Chul Ho Rhee
제 10장 인증서 공개 키를 이용한 디지털 서명.
Chapter 8 목차 8.1 네트워크 보안이란 무엇인가? 8.2 암호학의 원리 8.3 메시지 무결성 8.4 종단점 인증
Internet 및 EC 관련 기술들.
사용자의, 사용자에 의한, 사용자를 위한 APT.상가 분양임대관리 System 제안서
Chapter 09. 암호를 이용한 전자상거래 : 상거래를 사이버 세계로 끌어들인 암호
Chapter 10 네트워크 보안.
암호프로토콜 중부대학교 정보보호학과 이병천 교수 전자상거래보안
(c) Byoungcheon Lee, Joongbu Univ.
Web Security 모든 HTTP 패킷은 엽서와 같음 SSL/TLS
키 관리 및 인증, 전자서명 4조: 최선욱 조성호 Kangwon National University Samcheok Campus Information & Communication Eng.
Chapter 15 키 관리 Copyright © The McGraw-Hill Companies, Inc. Permission required for reproduction or display.
1. SNMP SNMP(Simple Network Management Protocol)은 네트워크의 중앙집중화된 관리를 목적으로 만들어졌으며, 현재까지 버전 3까지 세가지 버전이 만들어졌다. 각 버전의 차이는 대부분 보안상의 문제에 의한 것이다. SNMP 발전 과정 버전.
Chapter 8 목차 8.1 네트워크 보안이란 무엇인가? 8.2 암호학의 원리 8.3 메시지 무결성 8.4 종단점 인증
S N M P (Simple Network Management System).
Key and Certificate Management Using Keystores
Chap 10. 인증응용.
Windows Server 2008 보안 한국마이크로소프트.
CHAPTER 6 CERTIFICATES CAI & SIMULATION LAB. 한기준 (박사3) 강선모 (박사2)
네트워크 관리 개요 및 SNMP Protocol 동작 과정
전자상거래 보안 (암호학과 네트워크보안) Chul Ho Rhee
목 차 PGP S/MIME. 전자우편 보안 Security 목 차 PGP S/MIME.
Authentication Applications
An Example for Use of Public Key -인증서요청과발급
초등교원 전보시스템 사용자 설명서(교감, 원감용) 광주광역시교육청.
TradeSign 공인인증서비스 한국무역정보통신 전자무역인증센터 이 창 훈 phone:82_2_6000_2722
국내 인터넷주소 관리 동향 한국인터넷진흥원 인터넷주소센터(KRNIC)
전자상거래보안 전자우편보안 ( Security) 중부대학교 정보보호학과 이병천 교수
전자서명의 형태 수기서명 디지털서명. 전자서명의 형태 수기서명 디지털서명 전자서명의 필요성.
인터넷주소의 한글화와 Name Lookup Service
TimeStamp를 활용한 전자문서 진본성 확보
투융자집계분석.
2. CONCEPTS 컴퓨터 네트워크 실험실 석사 1학기 강 동 호.
초기화면 인터넷의 이해 Ⅳ. 컴퓨터와 생활> 2. 인터넷의 활용> 기술·가정 2학년 2학기
식품 상품군 품질기준서 목 차 Ⅰ. 식품 상품군 품질기준 · · · · · · · · · · · · · · · · · · · · · · · · · · P. 1 Ⅱ. 식품 상품군 QA운영기준 · · · · · · · · · · · · · · · · · · · · · · ·
2011년 농림사업정보시스템(AgriX) 구축사업
웹 기획 강의(8) PowerYouth.
『디지털 기업을 위한 경영정보시스템』 홍일유 著 ⓒ 2005 Ilyoo B. Hong. All Rights Reserved
공개키기반구조 (Public Key Infrastructure)
Internet 유선 랜카드 A 회사 네트워크 장비 (인터넷 공유 기능 활성화)
농림사업통합정보시스템 2단계 구축 사업 사용자 지침서 - 기타가축통계
Chapter 3. Public Key Infrastructure
인증 (Authentication) 중부대학교 정보보호학과 이병천 교수 전자상거래보안
3부 해킹 전 정보 획득 Chapter 9. IP 주소 추적
Chapter 17 BOOTP and DHCP.
전류는 자계에서 힘을 받는다 기계공학교육 박지훈 황인석 한만혁 이덕균.
서울, 1964년 겨울 -김승옥.
서울, 1964년 겨울 -김승옥.
서울, 1964년 겨울 -김승옥.
매물장 로그인 직원을 미리 생성하시면 직원 ID로 로그인 가능.
간식의 세계!!.
식품 상품군 품질기준서 목 차 Ⅰ. 식품 상품군 품질기준 · · · · · · · · · · · · · · · · · · · · · · · · · · P. 1 Ⅱ. 식품 상품군 QA운영기준 · · · · · · · · · · · · · · · · · · · · · · ·
보안 김준원 이호영 고재만.
Presentation transcript:

공개키 기반구조 (Public Key Infrastructure) 중부대학교 정보보호학과 이병천 교수 (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 목 차 1. 공개키 인증의 필요성 2. 공개키 인증서 (Certificate) 3. 공개키 기반구조 (PKI, Public Key Infrastructure) 4. PKI의 구성요소 5. 인증서의 취소 6. PKI 관리 7. 국내 공개키 기반구조 현황 (c) Byoungcheon Lee, Joongbu Univ.

On the Internet, Nobody knows you’re a dog 1. 공개키 인증의 필요성 On the Internet, Nobody knows you’re a dog © The New Yorker Collection 1993 Peter Steiner from cartoonlink.com. All rights reserved. 비대면, 익명성을 가진 인터넷상의 문제점들로는 다음과 같은 것들이 있습니다. 인터넷 사기 인터넷을 통한 제품 및 서비스의 사기는 경매사기나 피라미드식 판매 등 다양한 형태로 나타남 내부자 정보 오남용 내부자에 의한 정보 오남용은 컴퓨터 단말기 조작을 통한 금융사고가 주종을 이루며 내부자로부터 기밀정보를 빼내는 스파이활동 등 해킹 외부자에 의한 해킹사고는 전산망에 침투하여 정보의 불법삽입, 변조, 유출, 파괴 등의 행위를 하여 금전적인 손실이나 정신적인 피해 유발 전자우편 전자우편의 이용이 증가함에 따라 무분별한 광고성 전자우편 송신으로 인한 피해나 전자우편 폭탄이나 장난전자우편을 통한 피해 유발 개인정보 유출 불법적인 개인정보의 유출로 인해 프라이버시의 침해를 유발하며 특히, 개인정보를 영리적으로 이용하여 심각한 피해 유발 (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 1. 공개키 인증의 필요성 송신자 A 수신자 Internet 공개키 등록 공개키 디렉토리 송신자의 개인키로 서명 송신자의 서명 부분을 자신의 서명으로 바꾸어 전송 A의 공개키로 서명 확인 도청자 공개키의 신뢰성? - 공개키인증서 이용 (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 2. 공개키인증서 공개키인증서 (Certificate) 사용자의 공개키와 사용자의 ID를 결합하여 인증기관이 서명한 문서, 공개키의 인증성을 제공 사용자 확인, 특정 활동, 권한, 능력을 허가하는데 이용 정보화 사회에서 개인의 신분증 역할 CA는 자신의 개인키를 사용하여 전자서명을 생성하여 인증서에 첨부, CA의 공개키를 사용하여 인증서 유효성 확인 사용자 A의 공개키 사용자 A의 공개키에 대한 인증기관(CA)의 전자서명 사용자 A의 인증서(사용자 A의 공개키와 이것을 증명코자 하는 신뢰(인증)기관의 전자서명 포함) + = 당 공개키는 사용자 A의 공개키 임을 증명함 (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 공개키인증서 (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 공개키인증서 (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 공개키인증서 Certificate:     Data:         Version: v3 (0x2)         Serial Number: 3 (0x3)         Signature Algorithm: PKCS #1 MD5 With RSA Encryption         Issuer: OU=Ace Certificate Authority, O=Ace Industry, C=US         Validity:             Not Before: Fri Oct 17 18:36:25 1997             Not After: Sun Oct 17 18:36:25 1999         Subject: CN=Jane Doe, OU=Finance, O=Ace Industry, C=US         Subject Public Key Info:             Algorithm: PKCS #1 RSA Encryption             Public Key:                 Modulus:                     00:ca:fa:79:98:8f:19:f8:d7:de:e4:49:80:48:e6:2a:2a:86:                     ed:27:40:4d:86:b3:05:c0:01:bb:50:15:c9:de:dc:85:19:22:                     43:7d:45:6d:71:4e:17:3d:f0:36:4b:5b:7f:a8:51:a3:a1:00:                     98:ce:7f:47:50:2c:93:36:7c:01:6e:cb:89:06:41:72:b5:e9:                     73:49:38:76:ef:b6:8f:ac:49:bb:63:0f:9b:ff:16:2a:e3:0e:                     9d:3b:af:ce:9a:3e:48:65:de:96:61:d5:0a:11:2a:a2:80:b0:                     7d:d8:99:cb:0c:99:34:c9:ab:25:06:a8:31:ad:8c:4b:aa:54:                     91:f4:15                 Public Exponent: 65537 (0x10001)      Extensions:             Identifier: Certificate Type                 Critical: no                 Certified Usage:                     SSL Client             Identifier: Authority Key Identifier                 Critical: no                 Key Identifier:                     f2:f2:06:59:90:18:47:51:f5:89:33:5a:31:7a:e6:5c:fb:36:                     26:c9     Signature:         Algorithm: PKCS #1 MD5 With RSA Encryption         Signature:             6d:23:af:f3:d3:b6:7a:df:90:df:cd:7e:18:6c:01:69:8e:54:65:fc:06:             30:43:34:d1:63:1f:06:7d:c3:40:a8:2a:82:c1:a4:83:2a:fb:2e:8f:fb:             f0:6d:ff:75:a3:78:f7:52:47:46:62:97:1d:d9:c6:11:0a:02:a2:e0:cc:             2a:75:6c:8b:b6:9b:87:00:7d:7c:84:76:79:ba:f8:b4:d2:62:58:c3:c5:             b6:c1:43:ac:63:44:42:fd:af:c8:0f:2f:38:85:6d:d6:59:e8:41:42:a5:             4a:e5:26:38:ff:32:78:a1:38:f1:ed:dc:0d:31:d1:b0:6d:67:e9:46:a8:              dd:c4 -----BEGIN CERTIFICATE----- MIICKzCCAZSgAwIBAgIBAzANBgkqhkiG9w0BAQQFADA3MQswCQYD VQQGEwJVUzERMA8GA1UEChMITmV0c2NhcGUxFTATBgNVBAsTDF N1cHJpeWEncyBDQTAeFw05NzEwMTgwMTM2MjVaFw05OTEwMTgw MTM2MjVaMEgxCzAJBgNVBAYTAlVTMREwDwYDVQQKEwhOZXRzY 2FwZTENMAsGA1UECxMEUHViczEXMBUGA1UEAxMOU3Vwcml5YSB TaGV0dHkwgZ8wDQYJKoZIhvcNAQEFBQADgY0AMIGJAoGBAMr6eZiP GfjX3uRJgEjmKiqG7SdATYazBcABu1AVyd7chRkiQ31FbXFOGD3wNktb f6hRo6EAmM5/R1AskzZ8AW7LiQZBcrXpc0k4du+2Q6xJu2MPm/8WKuM OnTuvzpo+SGXelmHVChEqooCwfdiZywyZNMmrJgaoMa2MS6pUkfQVAg MBAAGjNjA0MBEGCWCGSAGG+EIBAQQEAwIAgDAfBgNVHSMEGDAW gBTy8gZZkBhHUfWJM1oxeuZc+zYmyTANBgkqhkiG9w0BAQQFAAOBgQ BtI6/z07Z635DfzX4XbAFpjlRl/AYwQzTSYx8GfcNAqCqCwaSDKvsuj/vwbf 91o3j3UkdGYpcd2cYRCgKi4MwqdWyLtpuHAH18hHZ5uvi00mJYw8W2w UOsY0RC/a/IDy84hW3WWehBUqVK5SY4/zJ4oTjx7dwNMdGwbWfpRqjd 1A== -----END CERTIFICATE----- (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 공개키인증서 X.509 인증서 표준 ITU에 의해 제안된 인증서에 대한 기본 형식을 정의한 규격 인증서를 이용한 공개키의 효율적인 분배 방법을 정의 X.509 v1 (1988) X.509 v2 (1992) 인증서 취소 목록(CRL: Certificate Revocation List)을 도입 고유 ID (Unique identifier) 도입 X.509 v3 (1996) 인증서를 정의하는 다양한 환경에 맞는 조건과 서명 알고리즘들의 선택이 가능하도록 확장영역을 추가 (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 공개키인증서 공개키인증서의 구조 (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 공개키인증서 공개키인증서에 포함된 정보 버전(Version) : 인증서 형식의 연속된 버전의 구분 일련번호(Serial Number) : 발행 CA내부에서는 유일한 정수값 알고리즘 식별자(Algorithm Identifier) : 인증서를 생성하는데 이용되는 서명 알고리즘을 확인하기 위한 서명 알고리즘 OID 발행자(Issuer) : 인증서를 발행하고 표시하는 CA 유효기간(Period of validity) : 인증서가 유효한 첫번째와 마지막 날짜 두 개로 구성 주체(Subject) : 인증서가 가리키는 사람 공개키 정보(Public-key information) : 주체의 공개키와 이 키가 사용될 알고리즘의 식별자 서명(Signature) : CA의 개인 서명키로 서명한 서명문 (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 공개키인증서 인증서의 유효기간이 지난 경우 CA는 해당 인증서를 디렉토리에서 제거 추후 부인 봉쇄 서비스를 위해 일정기간 보관 인증서의 폐기 개인키가 유출되었다고 판단되는 경우 사용자가 조직을 변경하거나 하여 해당 인증서를 더 이상 사용하지 않는 경우 해당 사용자가 CA에 신고함으로서 수행 (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. X.509 v3 확장자 X.509 v3에서 확장자의 개념이 도입됨 용도: X.509 실현자가 그들의 용도에 적합하게 인증서 내용을 추가적으로 정의할 수 있게 하기 위함 확장 영역은 다음과 같은 부분으로 구분 키 및 정책 확장자 주체와 발급자에 대한 속성 정보 인증서 경로 규제 정보 CRL을 위한 확장자 (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 확장 영역 키 및 정책 확장자 주체 및 발급자 키에 대한 부가적인 정보를 포함 CA 키 고유번호(Authority Key Identifier) 하나의 CA는 여러 개의 키를 보유할 수 있는데 이를 확인하기 위한 기능을 수행 키 속성(Key Attribute) 인증서에 포함된 공개키에 대한 속성을 표시 인증서 정책(Certificate Policy) 대규모 PKI 등에 있어서 필수적인 요소 사용하고 있는 정책에 관한 정보 키 사용 규제(Key Usage Restriction) 인증서에 포함된 키의 용도에 따른 정책과 관련된 규제를 정의 정책매핑(Policy Mapping) 타 CA에서 사용되는 정책과의 정책 매핑을 규정 (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 확장 영역 주체와 발급자에 대한 속성 정보 인증서 사용자에게 신뢰성을 주기 위한 영역 주체와 발급자에 대한 부가적인 정보를 가짐 주체 대체 이름(Subject Alternative Name) 인증서의 사용자 주체의 이름 혹은 또 다른 별개의 이름에 대한 부가정보를 표시 사용자 ID, e-mail / IP 주소, DNS 이름 등 발행자 대체 이름(Issuer Alternative Name) 인증서 발급자의 이름 혹은 별개의 이름에 대한 부가정보 표시 인증서 발급자 이름, 발급자 ID, E-mail / IP 주소, DNS 이름 등 주체 디렉토리 속성(Subject Directory Attribute) 인증서 사용자 주체에 대한 X.500 속성 값을 의미 (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 확장 영역 인증서 경로 규제 정보 키 사용 규제, 기본 규제, 이름 규제, 정책 규제 영역은 상당히 중요한 의미를 지님 기본 규제(Basic Constraints) 주체가 CA인지, CA인 경우 인증 경로에 대한 정보가 포함되어야 함 이름 규제(Name Constraints) 인증 경로 하부에 형성되는 CA들에 대한 이름 명명에 관한 일련의 규제를 의미 인증서 체인에 대한 정보를 쉽게 알 수 있다. 정책 규제(Policy Constraints) PKI내의 다른 정책과의 호환성을 유지하기 위하여 정책 결정에 대한 제한 범위를 규정 (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 확장 영역 CRL을 위한 확장자 인증서가 취소되었을 경우 CRL에 접근할 수 있는 위치를 지정 델타 CRL(delta-CRL)의 유지 여부, 다른 인증기관에 의하여 유지되는 간접 CRL 위치를 나타냄 CRL 분배점(Distribution Points) CA :다양한 방법으로 분할, 관리 각각의 CRL부분은 다른 분배점을 통해 접근 델타 CRL(Delta-CRLs) CRL의 크기를 줄이는 또 다른 방법을 제공 마지막으로 전체 CRL을 발표한 후 새로 취소된 인증서 목록만을 발행 간접 CRL(Indirect CRLs) 해당 인증서 발행 CA가 아닌 다른 개체로부터 CRL이 발행될 수 있게 한다. 여러 인증 기관에 의해 발행된 CRL을 하나로 모음 (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 3. 공개키 기반구조 공개키 기반구조(PKI, Public Key Infrastructure) 공개키 인증서의 인증성을 제공하는 신뢰구조 다수의 인증기관들을 포함하는 복잡한 구조에서의 상호 인증을 위한 계층적 인증 체계 - 인증서 발행, 배달, 관리, 인증네트워크 표준안 X.509, The Directory: Authentication Framework, 1993. PKIX: Internet X.509 Public Key Certificate Infrastructure. (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 공개키 기반구조 PKI 인증 방식의 확장 단일 인증 기관을 이용한 인증 방식 상호인증 기법을 이용한 인증 방식 계층적 구조를 이용한 인증 방식 (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 공개키 기반구조 단일 인증 기관을 이용한 인증 인증 기관이 각 사용자의 공개키에 대한 인증서 발급 인증 서비스 지원 영역이 단일 인증 기관으로 제한됨. CA (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 공개키 기반구조 상호인증을 이용한 인증 인증 기관이 각 사용자의 공개키에 대한 인증서 발급 인증 기관 상호간에 인증 기관의 공개키에 대한 인증서 발급 인증 서비스 영역 확장됨. 네트워크형 구조 구성 추가적인 확장이 용이하지 않다. 상호인증 CA CA (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 공개키 기반구조 계층적 구조를 이용한 인증 인증 기관들은 역할에 따라 계층적으로 구성됨. 상위 인증 기관이 하위 인증 기관의 공개키에 대해 인증 인증서비스 영역이 확장됨. 추가적인 인증 서비스 영역 확장이 용이 CA CA CA (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 계층적 신뢰구조 CA Y CA X CA Z Alice의 인증서 Alice Bob의 인증서 Bob (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 인증경로 (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. PKI 구성 방식 순수 계층 방식 최상위 인증 기관인 root CA에 대한 신뢰에 바탕을 둠 하부의 CA간의 상호 인증은 원칙적으로 배제 루트 CA간의 상호인증을 통한 국제간 상호 동작을 원활히 함 네트워크 구조 방식 모든 구조가 평면적으로 구성 모든 CA간에 상호인증을 허용 상호인증의 수가 대폭 증가하는 단점이 있다. (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. PKI 구성 방식 CA4 CA User2 CA2 CA6 CA1 CA2 CA3 CA1 CA7 CA11 CA12 CA21 CA22 CA5 User1 User1 User2 순수 계층 방식 네트워크 구조 방식 (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 4. PKI 구성 요소 PKI 기본 기능 PKI 기능 인증서 관리 기능 보조 기능 인증서 생성 인증서 보관 인증서 취소, 폐기 인증 정책 수립 데이터 보관 디렉토리 명명 및 등록 PKI 클라이언트 키 쌍 생성 키 교환 디지털 서명 생성 디지털 서명 검증 PKI 서버 인증서 전송 디지털 공증 티켓 승인 신뢰 기관 응용 서비스 접근제어 메시지 기밀성 세션 기밀성 메시지 무결성 인증 부인봉쇄 사용자 (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. PKI 구성 요소 PKI 구성 요소 인증 기관 역할과 기능에 따라 계층적으로 구성 인증 정책 수립 및 인증서 발행 및 관리 등록 기관 인증 기관과 사용자 사이에 등록 기관을 두어 인증 기관 대신 사용자들의 신분확인 등을 대행 디렉토리 인증서와 사용자 관련 정보들을 저장, 검색을 위한 장소 사용자 일반적인 사람뿐 아니라 이용하는 시스템 포함 (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 계층별 인증기관의 역할 PAA PCA PCA CA CA RA USER USER USER USER (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. PKI 서비스 흐름도 (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 5. 인증서의 취소 인증서 취소 사유 인증서 발행 조직에서의 탈퇴 비밀키의 손상 비밀키 유출의 의심 인증서 취소 메커니즘 X.509에 정의된 인증서취소목록(CRL)을 이용 인증서취소목록(CRL)의 기본 영역 서명 알고리즘 : CRL에 서명한 서명 알고리즘 ID 및 관련 데이터 발급자 : 발급자 CA의 X.509 이름 최근 수정 일자 : 최근 수정 일자(UTC Time) 차후 수정 일자 : 다음 수정 일자(UTC Time) 취소 인증서 목록 : 취소된 인증서 목록들 CRL확장자 : CRL 확장자 유무 및 내용 발급자 서명문 : 발급자의 서명문 (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 인증서취소목록 CRL의 확장자 영역 : 기본 확장자 + 개체 확장자 기본 확장자 CA 키 고유 번호 : CRL에 서명한 키 번호 발급자 대체 이름 : CRL 발급자의 대체 이름(e-mail, IP 주소 등) CRL 발급번호 : CRL에 대한 일련 번호 발급 분배점 : CRL 분배점 이름 델타 CRL지시자 : 최근에 취소된 목록만을 저장한 델타 CRL 지시자 개체 확장자 취소 이유 부호 : 인증서가 취소된 이유 명령 부호 : 해당 인증서를 만났을 경우 취해져야 할 명령 무효화 날짜 : 해당 인증서가 무효화된 날짜 인증서 발급자 : 간접 CRL에서의 해당 인증서 발급자 (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 인증서 취소 목록 (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 인증서 취소 목록 인증서 취소 요구 인증서 소유자 또는 인증서 소유자의 대리인의 요구에 의해 CRL 공개 취소된 인증서에 대한 목록을 공개 디렉토리에 보관 네트워크를 통해 접속할 수 있도록 함 CRL 생성 방법 주기적인 CRL 생성 방식 즉각적인 CRL 생성 방식 신속성, 안전성 면에서 우수 해당 CA에 상당한 부하가 예상 두 방식의 절충 방식이 바람직 (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 6. PKI 관리 PKI 관리 프로토콜을 위한 요구사항 -IETF 정기적으로 키 갱신 가능 기밀성의 사용은 최소화 다양한 상용 보안 알고리즘의 사용 가능 최종 개체, RA, CA에 의한 키 쌍의 생성을 배제해서는 안됨 최종 개체, RA, CA를 위한 인증서의 공표를 지원해야 됨 E-mail, HTTP, TCP/IP, FTP와 같은 다양한 전송 메커니즘을 이용할 수 있어야 함 인증서 생성에 대한 최종 책임은 CA에게 있음 CA 키 쌍의 갱신은 자연스럽고 계획적으로 이루어져야 함 CA는 RA의 기능들을 수행할 수 있어야 함 최종 개체가 인증서를 요구할 경우, 최종 개체는 공개키에 대응하는 개인키를 증명할 수 있어야 한다. (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. PKI의 주요 관리 기능 루트 CA 초기화 자가인증서(self-certificate)의 생성 자신의 공개키에 대한 지문(fingerprint) 생성 최종 개체에 전달 최종 개체는 CA의 자가 인증서의 유효성을 지문을 이용하여 검증 루트 CA 키 갱신 CA 키들은 유한의 수명을 가짐 주기적으로 갱신되어야 함 (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. PKI의 주요 관리 기능 하부 CA 초기화 하부 CA의 초기화는 최종 개체의 초기화와 같다. 차이: 하부 CA는 초기의 인증서 취소 목록을 생성해야 한다. CRL 생성 새롭게 설립된 CA는 어떤 인증서들을 발행하기 전에 “내용이 없는” CRL을 생성해야 한다. PKI 정보 요청 개체들이 CA의 현재 상태에 대한 정보를 얻고 싶을 경우, 이 정보를 요청할 수 있다. CA는 모든 정보를 제공하여야 한다. 제공 불가능 시 : 요청자에게 에러 메시지 전송 (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. PKI의 주요 관리 기능 상호 인증 CA는 상호 인증서의 주체 기법 : 일방향 동작 하나의 새로운 인증서 발급 필요 최종 개체의 초기화 CA들과 마찬가지로 최종 개체들도 초기화 PKI 정보 획득 단계 루트 CA의 공개키 인증 경로 CA가 지원하는 각종 보안 알고리즘과 알고리즘 파라메터 루트 CA 공개키의 검증 단계 (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. PKI의 주요 관리 기능 인증서 요청 초기화된 최종 개체는 언제라도 인증서 발행을 요청할 수 있다. 인증서 요청 메시지 이용하여 생성 개체의 전자서명에 의해 보호 키 갱신 CA에 대해 새로운 키 쌍에 대해 새로운 인증서를 발행하도록 요청 키 갱신 요청 메시지를 이용하여 생성 개체의 전자서명으로 보호 CA는 키 갱신 응답 메시지에 새로운 인증서를 보낸다. (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 인증실무준칙 (CPS) 정의 인증실무준칙 (CPS :Certification Practice Statements) 인증기관이 인증서를 발급하기 위해 사용하는 실무 절차에 관한 세부 규정 인증서 신뢰, 인증 업무에 대한 이해를 위해 CA에 의해 발행되는 인증업무에 대한 세부적인 기술 문서 인증 정책에 비해 좀 더 구체적 인증 정책, 사용자 인증 절차, 비밀 키 관리 절차 등이 포함 CA는 이 규정에 의해 모든 업무 수행 반드시 CPS를 작성하여 공개 사용자들은 이를 이용 CA의 신뢰도를 측정 (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 인증실무준칙 (CPS) (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 7. 국내 공개키 기반구조 현황 (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 국내 공개키 기반구조 현황 전자서명법 제4조의 규정에 의하여 지정된 공인인증기관 한국정보인증(주) http://www.signgate.com (주)코스콤 http://www.signkorea.com 금융결제원 http://www.yessign.or.kr 한국정보사회진흥원 http://sign.nca.or.kr 한국전자인증(주) http://gca.crosscert.com 한국무역정보통신 http://www.tradesign.net (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 국내 전자인증체계 전자인증 체계는 크게 세가지로 구분할 수 있으며, 정부 주도로 구축된 정부인증체계, 민간 전자상거래의 인증을 위해 설립 되었으나 정부 주도로 법적인 지위를 확보한 공인인증체계 그리고, 민간의 자율적 특수목적에 부합하도록 설립 운영중인 민간 전자인증체계로 나뉘어진다. 현재 추진되어 운영되고 있는 전자인증체계에 대한 간략한 현황은 아래와 같다. 구 분 국 내 해 외 구축용도 정부인증체계 정부전자인증체계(GPKI) 미국 FPKI 캐나다 GOC-PKI 호주 PKI 유럽 PKI 아시아 국가별 PKI 정부 행정업무 인증 인프라 공인인증체계 한국정보인증 한국증권전산 금융결제원 한국전산원 한국전자인증 한국무역정보통신 추진사례 없음 민간 전자거래 등에서 법적인 효력을 인정하기 위해 국가기관에서 지정 민간전자인증체계 기업체 사설인증체계 금융기관 사설인증체계 VeriSign Baltimore Certicom British Telecom 전자상거래 전자우편 웹서버인증서 (c) Byoungcheon Lee, Joongbu Univ.

RA의 소속기관 지방청, 16개 시·도 내 시·군·구 국내 GPKI와 NPKI 구조 및 현황 GPKI 최상위 인증기관 NPKI 정부인증관리센터 (정부전산정보관리소) 전자서명인증관리센터 (한국정보보호진흥원) Root-CA Root-CA Root CA 디렉 토리 국가정보원, 국방부, 대검찰청, 대통령비서실, 병무청, 교육부. 행정자치부 인증기관 (CA) 인증기관 (CA) 인증기관 (CA) 한국정보인증, 한국증권전산, 금융결제원, 한국전산원, 한국전자인증, 무역정보통신 CA CA 디렉토리 디렉토리 RA 정보통신부 외 10개 중앙행정기관, 16개 시도 RA 은행, 증권 기타 기업 및 공공기관 등록기관 (RA) 등록기관 (RA) 등록기관 (RA) 등록기관 (RA) RA의 소속기관 지방청, 16개 시·도 내 시·군·구 LRA LRA 은행, 증권 기타 기업 및 공공기관 원격등록기관 (LRA) 가입자 가입자 기관, 개인, 특별용도 가입자 가입자 가입자 가입자 기업, 서버, 개인, 특별용도 (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 정부기관 전자인증 도입사례 행정자치부 교육부 조달청 특허청 전자민원 (G4C) 교육행정정보서비스 (NEIS) 전자조달시스템 (G2B) 특허넷시스템 인증 시스템 인증센터 구축 RA X CA 인증서 사용 행정 전자관인 공인인증(교육부용) 전자관인 , 공인인증 사설인증, 전자관인 대민 공인인증 공인인증 공인인증서 사설인증서, 공인인증서 인증·보안 적용 전자결재 민원신청서 적용 행정업무 중요 정보의 암호화, 전자서명 입찰업무 전자입찰서 (XML 기반) 행정업무 전자출원 적용 운영 센터 운영 RA 이중화 X 사설 CA시스템 인원 운용관리(10~20명) 지역교육청 전산실 담당자 RA 운영인원(X) 운영인원 필요 (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 전자인증 관련 법.제도 현황 국내 전자인증 법률 현황 일 반 법 전자정부법 (행정자치부, 2001.7.1) 전자서명법 (정보통신부, 1999.7.1) 전자거래기본법 (산업자원부, 1999.7.1) 전자정부 구현의 방향과 원칙 전자문서 및 전자적 업무처리 의 법적효력 - 공문서 전자관인의 사용 - 전자적 업무처리 기본사항 전자적 민원업무의 법적효력 - 전자서명 신원확인 정부인증인프라구축 공인인증전자서명의 법적 효력 공인인증서의 관리 및 책임 공인인증기관 설립 전자문서의 법적 효력 전자서명의 법적 효력 전자문서업무처리 절차 전자거래의 촉진 전자인증 도입 주요 기관 적용 법률 국세청 조달청 특허청 국세기본법 국가계약법 특허법 국세기본법 시행령 국가계약법시행령 특허법시행령 국세기본법 시행규칙 조달사업에 관한 법률 특허법시행규칙 홈텍스 서비스 이용규정 조달사업에 관한 법률 시행령 전자세금계산서 고지 조달사업에 관한 법률 시행규칙 전자조달이용약관 (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 공인인증서의 이용분야와 효력 법인인증서 주요용도 이용분야 법적효력 부가서비스 비고 전자입찰 전자입찰 서류에 법적 효력 부여 시점확인 서비스 전자세금계산서 전자세금계산서에 법적효력 부여 시점확인서비스 전자계약서 전자계약서에 법적효력 부여 개인인증서 이용가능 전자구매 전자구매 문서에 법적효력 부여 기타 ※시점확인서비스(Time Stamping) : GPS시스템을 이용해 거래행위가 이루어진 정확한 시각을 전자문서에 기록하는 것으로 공인인증기관의 기본 서비스 (c) Byoungcheon Lee, Joongbu Univ.

(c) Byoungcheon Lee, Joongbu Univ. 공인인증서의 이용분야별 효력 개인인증서 주요용도 이 용 분 야 용 도 법 적 효 력 인터넷 뱅킹 계좌이체 등, 은행업무 거래사실 및 신원확인 사이버트레이딩 온라인 주식 거래시 로그인 신원확인 전자정부 민원신청 주민등록 등초본 등 각종 민원 서류 신청 세금 납부 지방세 납부 등 거래사실 보험 업무 보험 대출, 보험 가입 등 신용카드결제 온라인 결제시 30만원 이상의 금액(10월부터 10만원) 성인인증 신원확인, 성인 사이트, 미성년자 대상 유료사이트 (게임, 교육 등) 대학행정 업무 온라인 수강신청, 각종 증명서 발급 신청 대학입시 원서 접수 온라인 대학입시 원서 접수 행위사실 사이버대학 사이버대학 출결 체크 및 본인확인 의료EDI 전자 의료 처방전 작성 문서확인 기타 경마, 경륜, 인터넷주주총회, 온라인 복권 (c) Byoungcheon Lee, Joongbu Univ.