공개키기반구조 (Public Key Infrastructure) 전자상거래보안 공개키기반구조 (Public Key Infrastructure) 2010. 11. 중부대학교 정보보호학과 이병천 교수 (c) Byoungcheon Lee, Joongbu Univ.
목 차 1. 공개키 인증의 필요성 2. 공개키인증서 (Certificate) 3. 공개키기반구조 (PKI, Public Key Infrastructure) 4. PKI의 구성요소 5. 인증서의 취소 6. PKI 관리 7. 국내 공개키 기반구조 현황 (c) Byoungcheon Lee, Joongbu Univ.
On the Internet, Nobody knows you’re a dog 1. 공개키 인증의 필요성 On the Internet, Nobody knows you’re a dog © The New Yorker Collection 1993 Peter Steiner from cartoonlink.com. All rights reserved. (c) Byoungcheon Lee, Joongbu Univ.
공개키 디렉토리 모델 공개키의 신뢰성? -> 공개키인증서 이용 Internet 송신자 A 수신자 도청자 송신자의 개인키로 공개키 등록 공개키 디렉토리 송신자의 개인키로 서명 송신자의 서명 부분을 자신의 서명으로 바꾸어 전송 A의 공개키로 서명 확인 도청자 공개키의 신뢰성? -> 공개키인증서 이용 (c) Byoungcheon Lee, Joongbu Univ.
공개키 암호를 이용하는 전자서명 송신자(Client) 수신자(Server) ※ 본인 인증 송신자는 자신만이 가지고 있는 전자서명 생성 수신자(Server) 전자서명 검증 송신자인증서 해쉬값 전자서명값 비교 개인키 공개키 원문 ※ 본인 인증 송신자는 자신만이 가지고 있는 개인키와 인증기관에서 인증 받은 공개키, 즉 인증서를 통해 본인 임을 입증 ※ 무결성 보장 원문의 해쉬값과 전자서명값을 복호화한 해쉬값을 비교함으로서 위.변조 여부를 판단 ※ 부인 봉쇄 개인키를 이용하여 전자서명을 하였으므로 문서를 전송하지 않았다고 부인 불가 (c) Byoungcheon Lee, Joongbu Univ.
+ = 2. 공개키인증서 공개키인증서 (Certificate) 사용자의 공개키와 사용자의 ID정보를 결합하여 인증기관이 서명 한 문서, 공개키의 인증성을 제공 사용자 확인, 특정한 권한, 능력을 허가하는데 이용 정보화 사회에서 개인의 신분증 역할 인증기관(CA)은 자신의 개인키를 사용하여 전자서명을 생성하여 인증서에 첨부, CA의 공개키를 사용하여 인증서 유효성 확인 사용자 A의 공개키 사용자 A의 공개키에 대한 인증기관(CA)의 전자서명 사용자 A의 인증서(사용자 A의 공개키와 이것을 증명코자 하는 신뢰(인증)기관의 전자서명 포함) + = 당 공개키는 사용자 A의 공개키 임을 증명함 (c) Byoungcheon Lee, Joongbu Univ.
공개키인증서 클릭 (c) Byoungcheon Lee, Joongbu Univ.
공개키인증서 일반정보 상세정보 (c) Byoungcheon Lee, Joongbu Univ.
공개키인증서 X.509 인증서 표준 ITU에 의해 제안된 인증서에 대한 기본 형식을 정의한 규격 인증서를 이용한 공개키의 효율적인 분배 방법을 정의 X.509 v1 (1988) X.509 v2 (1992) 인증서 취소 목록(CRL: Certificate Revocation List)을 도입 고유 ID (Unique identifier) 도입 X.509 v3 (1996) 인증서를 정의하는 다양한 환경에 맞는 조건과 서명 알고리즘들의 선택이 가능하도록 확장영역을 추가 (c) Byoungcheon Lee, Joongbu Univ.
공개키인증서 공개키인증서의 구조 (c) Byoungcheon Lee, Joongbu Univ.
공개키인증서 공개키인증서에 포함된 정보 버전(Version) : 인증서 형식의 연속된 버전의 구분 일련번호(Serial Number) : 발행 CA내부에서는 유일한 정수값 알고리즘 식별자(Algorithm Identifier) : 인증서를 생성하는데 이 용되는 서명 알고리즘을 확인하기 위한 서명 알고리즘 OID 발행자(Issuer) : 인증서를 발행하고 표시하는 CA 유효기간(Period of validity) : 인증서가 유효한 첫번째와 마지막 날짜 두 개로 구성 주체(Subject) : 인증서가 가리키는 사람 공개키 정보(Public-key information) : 주체의 공개키와 이 키가 사용될 알고리즘의 식별자 서명(Signature) : CA의 개인 서명키로 서명한 서명문 (c) Byoungcheon Lee, Joongbu Univ.
공개키인증서 인증서의 유효기간이 지난 경우 인증서의 폐기 CA는 해당 인증서를 디렉토리에서 제거 추후 부인 봉쇄 서비스를 위해 일정기간 보관 인증서의 폐기 개인키가 유출되었다고 판단되는 경우 사용자가 조직을 변경하거나 하여 해당 인증서를 더 이상 사용하지 않는 경우 해당 사용자가 CA에 신고함으로서 수행 (c) Byoungcheon Lee, Joongbu Univ.
X.509 v3 확장자 X.509 v3에서 확장자의 개념이 도입됨 용도: X.509 실현자가 그들의 용도에 적합하게 인증서 내용을 추가적 으로 정의할 수 있게 하기 위함 확장 영역은 다음과 같은 부분으로 구분 키 및 정책 확장자 주체와 발급자에 대한 속성 정보 인증서 경로 규제 정보 CRL을 위한 확장자 (c) Byoungcheon Lee, Joongbu Univ.
X.509 v3 확장자 확장영역
3. 공개키 기반구조 공개키 기반구조(PKI, Public Key Infrastructure) 표준안 공개키 인증서의 인증성을 제공하는 신뢰구조 다수의 인증기관들을 포함하는 복잡한 구조에서의 상호 인증을 위한 계층적 인증 체계 - 인증서 발행, 배달, 관리, 인증네트워크 표준안 X.509, The Directory: Authentication Framework, 1993. PKIX: Internet X.509 Public Key Certificate Infrastructure. (c) Byoungcheon Lee, Joongbu Univ.
http://datatracker.ietf.org/wg/pkix/
공개키 기반구조 PKI 인증 방식의 확장 단일 인증 기관을 이용한 인증 방식 상호인증 기법을 이용한 인증 방식 계층적 구조를 이용한 인증 방식 (c) Byoungcheon Lee, Joongbu Univ.
공개키 기반구조 단일 인증 기관을 이용한 인증 인증 기관이 각 사용자의 공개키에 대한 인증서 발급 인증 서비스 지원 영역이 단일 인증 기관으로 제한됨. CA (c) Byoungcheon Lee, Joongbu Univ.
공개키 기반구조 상호인증을 이용한 인증 인증 기관이 각 사용자의 공개키에 대한 인증서 발급 인증기관 상호간에 인증기관의 공개키에 대한 인증서 발급 인증 서비스 영역 확장됨. 네트워크형 구조 구성 추가적인 확장이 용이하지 않다. 상호인증 CA (c) Byoungcheon Lee, Joongbu Univ.
공개키 기반구조 계층적 구조를 이용한 인증 인증서비스 영역이 확장됨. 추가적인 인증 서비스 영역 확장이 용이 인증 기관들은 역할에 따라 계층적으로 구성됨. 상위 인증 기관이 하위 인증 기관의 공개키에 대해 인증 인증서비스 영역이 확장됨. 추가적인 인증 서비스 영역 확장이 용이 (c) Byoungcheon Lee, Joongbu Univ.
계층적 신뢰구조 CAY CAZ CAX Bob의 인증서 Alice의 인증서 Bob Alice (c) Byoungcheon Lee, Joongbu Univ.
인증경로 (c) Byoungcheon Lee, Joongbu Univ.
PKI 구성 방식 순수 계층 방식 네트워크 구조 방식 최상위 인증 기관인 root CA에 대한 신뢰에 바탕을 둠 모든 구조가 평면적으로 구성 모든 CA간에 상호인증을 허용 상호인증의 수가 대폭 증가하는 단점이 있다. (c) Byoungcheon Lee, Joongbu Univ.
PKI 구성 방식 순수 계층 방식 네트워크 구조 방식 CA4 CA User2 CA2 CA6 CA1 CA2 CA3 CA1 CA7 (c) Byoungcheon Lee, Joongbu Univ.
4. PKI 구성 요소 PKI 기본 기능 PKI 기능 인증서 관리 기능 보조 기능 인증서 생성 인증서 보관 인증서 취소, 폐기 인증 정책 수립 데이터 보관 디렉토리 명명 및 등록 PKI 클라이언트 키 쌍 생성 키 교환 디지털 서명 생성 디지털 서명 검증 PKI 서버 인증서 전송 디지털 공증 티켓 승인 신뢰 기관 응용 서비스 접근제어 메시지 기밀성 세션 기밀성 메시지 무결성 인증 부인봉쇄 사용자 (c) Byoungcheon Lee, Joongbu Univ.
PKI 구성 요소 PKI 구성 요소 역할과 기능에 따라 계층적으로 구성 인증 기관 인증 정책 수립 및 인증서 발행 및 관리 등록 기관 인증 기관과 사용자 사이에 등록 기관을 두어 인증 기관 대신 사용자들의 신분확인 등을 대행 디렉토리 인증서와 사용자 관련 정보들을 저장, 검색을 위한 장소 사용자 일반적인 사람뿐 아니라 이용하는 시스템 포함 (c) Byoungcheon Lee, Joongbu Univ.
계층별 인증기관의 역할 PAA PCA PCA CA CA RA USER USER USER USER (c) Byoungcheon Lee, Joongbu Univ.
PKI 서비스 흐름도 (c) Byoungcheon Lee, Joongbu Univ.
5. 인증서의 취소 인증서 취소 사유 인증서 취소 메커니즘 인증서취소목록(CRL)의 기본 영역 인증서 발행 조직에서의 탈퇴 비밀키의 손상 비밀키 유출의 의심 인증서 취소 메커니즘 X.509에 정의된 인증서취소목록(CRL)을 이용 인증서취소목록(CRL)의 기본 영역 서명 알고리즘 : CRL에 서명한 서명 알고리즘 ID 및 관련 데이터 발급자 : 발급자 CA의 X.509 이름 최근 수정 일자 : 최근 수정 일자(UTC Time) 차후 수정 일자 : 다음 수정 일자(UTC Time) 취소 인증서 목록 : 취소된 인증서 목록들 CRL확장자 : CRL 확장자 유무 및 내용 발급자 서명문 : 발급자의 서명문 (c) Byoungcheon Lee, Joongbu Univ.
인증서취소목록 CRL의 확장자 영역 : 기본 확장자 + 개체 확장자 기본 확장자 개체 확장자 CA 키 고유 번호 : CRL에 서명한 키 번호 발급자 대체 이름 : CRL 발급자의 대체 이름(e-mail, IP 주소 등) CRL 발급번호 : CRL에 대한 일련 번호 발급 분배점 : CRL 분배점 이름 델타 CRL지시자 : 최근에 취소된 목록만을 저장한 델타 CRL 지시자 개체 확장자 취소 이유 부호 : 인증서가 취소된 이유 명령 부호 : 해당 인증서를 만났을 경우 취해져야 할 명령 무효화 날짜 : 해당 인증서가 무효화된 날짜 인증서 발급자 : 간접 CRL에서의 해당 인증서 발급자 (c) Byoungcheon Lee, Joongbu Univ.
인증서 취소 목록 (c) Byoungcheon Lee, Joongbu Univ.
인증서 취소 목록 인증서 취소 요구 CRL 공개 CRL 생성 방법 인증서 소유자 또는 인증서 소유자의 대리인의 요구에 의해 취소된 인증서에 대한 목록을 공개 디렉토리에 보관 네트워크를 통해 접속할 수 있도록 함 CRL 생성 방법 주기적인 CRL 생성 방식 즉각적인 CRL 생성 방식 신속성, 안전성 면에서 우수 해당 CA에 상당한 부하가 예상 두 방식의 절충 방식이 바람직 (c) Byoungcheon Lee, Joongbu Univ.
6. PKI 관리 PKI 관리 프로토콜을 위한 요구사항 -IETF 정기적으로 키 갱신 가능 기밀성의 사용은 최소화 다양한 상용 보안 알고리즘의 사용 가능 최종 개체, RA, CA에 의한 키 쌍의 생성을 배제해서는 안됨 최종 개체, RA, CA를 위한 인증서의 공표를 지원해야 됨 E-mail, HTTP, TCP/IP, FTP와 같은 다양한 전송 메커니즘을 이용할 수 있어야 함 인증서 생성에 대한 최종 책임은 CA에게 있음 CA 키 쌍의 갱신은 자연스럽고 계획적으로 이루어져야 함 CA는 RA의 기능들을 수행할 수 있어야 함 최종 개체가 인증서를 요구할 경우, 최종 개체는 공개키에 대응하는 개인 키를 증명할 수 있어야 한다. (c) Byoungcheon Lee, Joongbu Univ.
인증실무준칙 (CPS) 정의 인증실무준칙 (CPS :Certification Practice Statements) 인증기관이 인증서를 발급하기 위해 사용하는 실무 절차에 관한 세 부 규정 인증서 신뢰, 인증 업무에 대한 이해를 위해 CA에 의해 발행되는 인 증업무에 대한 세부적인 기술 문서 인증 정책에 비해 좀 더 구체적 인증 정책, 사용자 인증 절차, 비밀 키 관리 절차 등이 포함 CA는 이 규정에 의해 모든 업무 수행 반드시 CPS를 작성하여 공개 사용자들은 이를 이용 CA의 신뢰도를 측정 (c) Byoungcheon Lee, Joongbu Univ.
인증실무준칙 (CPS) (c) Byoungcheon Lee, Joongbu Univ.
7. 국내 공개키 기반구조 현황 (c) Byoungcheon Lee, Joongbu Univ.
국내 공개키 기반구조 현황 한국정보인증(주) http://www.signgate.com 전자서명인증관리센터(Root CA) http://www.rootca.or.kr/kor/main.jsp 전자서명법 제4조의 규정에 의하여 지정된 공인인증기관 한국정보인증(주) http://www.signgate.com (주)코스콤 http://www.signkorea.com 금융결제원 http://www.yessign.or.kr 한국전자인증(주) http://gca.crosscert.com 한국무역정보통신 http://www.tradesign.net (c) Byoungcheon Lee, Joongbu Univ.
국내 전자인증체계 전자인증 체계는 크게 세가지로 구분할 수 있으며, 정부 주도로 구축된 정부인증체계, 민간 전자상거래의 인증을 위해 설립 되었으나 정부 주도로 법적인 지위를 확보한 공인인증체계 그리고, 민간의 자율적 특수목적에 부합하도록 설립 운영중인 민간 전자인증체계로 나뉘어진다. 현재 추진되어 운영되고 있는 전자인증체계에 대한 간략한 현황은 아래와 같다. 구 분 국 내 해 외 구축용도 정부인증체계 정부전자인증체계(GPKI) 미국 FPKI 캐나다 GOC-PKI 호주 PKI 유럽 PKI 아시아 국가별 PKI 정부 행정업무 인증 인프라 공인인증체계 한국정보인증 한국증권전산 금융결제원 한국전산원 한국전자인증 한국무역정보통신 추진사례 없음 민간 전자거래 등에서 법적인 효력을 인정하기 위해 국가기관에서 지정 민간전자인증체계 기업체 사설인증체계 금융기관 사설인증체계 VeriSign Baltimore Certicom British Telecom 전자상거래 전자우편 웹서버인증서 (c) Byoungcheon Lee, Joongbu Univ.
RA의 소속기관 지방청, 16개 시·도 내 시·군·구 국내 GPKI와 NPKI 구조 및 현황 GPKI 최상위 인증기관 NPKI 정부인증관리센터 (정부전산정보관리소) 전자서명인증관리센터 (한국정보보호진흥원) Root-CA Root-CA Root CA 디렉 토리 국가정보원, 국방부, 대검찰청, 대통령비서실, 병무청, 교육부. 행정자치부 인증기관 (CA) 인증기관 (CA) 인증기관 (CA) 한국정보인증, 한국증권전산, 금융결제원, 한국전산원, 한국전자인증, 무역정보통신 CA CA 디렉토리 디렉토리 RA 정보통신부 외 10개 중앙행정기관, 16개 시도 RA 은행, 증권 기타 기업 및 공공기관 등록기관 (RA) 등록기관 (RA) 등록기관 (RA) 등록기관 (RA) RA의 소속기관 지방청, 16개 시·도 내 시·군·구 LRA LRA 은행, 증권 기타 기업 및 공공기관 원격등록기관 (LRA) 가입자 가입자 기관, 개인, 특별용도 가입자 가입자 가입자 가입자 기업, 서버, 개인, 특별용도 (c) Byoungcheon Lee, Joongbu Univ.
정부기관 전자인증 도입사례 행정자치부 교육부 조달청 특허청 전자민원 (G4C) 교육행정정보서비스 (NEIS) 전자조달시스템 (G2B) 특허넷시스템 인증 시스템 인증센터 구축 RA X CA 인증서 사용 행정 전자관인 공인인증(교육부용) 전자관인 , 공인인증 사설인증, 전자관인 대민 공인인증 공인인증 공인인증서 사설인증서, 공인인증서 인증·보안 적용 전자결재 민원신청서 적용 행정업무 중요 정보의 암호화, 전자서명 입찰업무 전자입찰서 (XML 기반) 행정업무 전자출원 적용 운영 센터 운영 RA 이중화 X 사설 CA시스템 인원 운용관리(10~20명) 지역교육청 전산실 담당자 RA 운영인원(X) 운영인원 필요 (c) Byoungcheon Lee, Joongbu Univ.
전자인증 관련 법.제도 현황 국내 전자인증 법률 현황 전자인증 도입 주요 기관 적용 법률 일 반 법 전자정부법 (행정자치부, 2001.7.1) 전자서명법 (정보통신부, 1999.7.1) 전자거래기본법 (산업자원부, 1999.7.1) 전자정부 구현의 방향과 원칙 전자문서 및 전자적 업무처리 의 법적효력 - 공문서 전자관인의 사용 - 전자적 업무처리 기본사항 전자적 민원업무의 법적효력 - 전자서명 신원확인 정부인증인프라구축 공인인증전자서명의 법적 효력 공인인증서의 관리 및 책임 공인인증기관 설립 전자문서의 법적 효력 전자서명의 법적 효력 전자문서업무처리 절차 전자거래의 촉진 전자인증 도입 주요 기관 적용 법률 국세청 조달청 특허청 국세기본법 국가계약법 특허법 국세기본법 시행령 국가계약법시행령 특허법시행령 국세기본법 시행규칙 조달사업에 관한 법률 특허법시행규칙 홈텍스 서비스 이용규정 조달사업에 관한 법률 시행령 전자세금계산서 고지 조달사업에 관한 법률 시행규칙 전자조달이용약관 (c) Byoungcheon Lee, Joongbu Univ.
공인인증서의 이용분야별 효력 개인인증서 주요용도 이 용 분 야 용 도 법 적 효 력 인터넷 뱅킹 계좌이체 등, 은행업무 이 용 분 야 용 도 법 적 효 력 인터넷 뱅킹 계좌이체 등, 은행업무 거래사실 및 신원확인 사이버트레이딩 온라인 주식 거래시 로그인 신원확인 전자정부 민원신청 주민등록 등초본 등 각종 민원 서류 신청 세금 납부 지방세 납부 등 거래사실 보험 업무 보험 대출, 보험 가입 등 신용카드결제 온라인 결제시 30만원 이상의 금액(10월부터 10만원) 성인인증 신원확인, 성인 사이트, 미성년자 대상 유료사이트 (게임, 교육 등) 대학행정 업무 온라인 수강신청, 각종 증명서 발급 신청 대학입시 원서 접수 온라인 대학입시 원서 접수 행위사실 사이버대학 사이버대학 출결 체크 및 본인확인 의료EDI 전자 의료 처방전 작성 문서확인 기타 경마, 경륜, 인터넷주주총회, 온라인 복권 (c) Byoungcheon Lee, Joongbu Univ.