공개키 기반 구조 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
1번째 줄: | 1번째 줄: | ||
==개요== | ==개요== | ||
* | * 공개키 기반의 암호화 구조로, 신뢰되는 제3의 공인인증기관을 요구하는 인증체계를 가리키는 말 | ||
* | * 대표적으로 공인인증서와 SSL이 있다. | ||
*;-둘다 Server-Client, 또는 Peer-To-Peer끼리 자체적으로 암호화 키를 교환하지 않는다.<br> 공인인증기관을 두고, 인증서를 기반으로 소통한다. | |||
RFC 2822에선 다음과 같이 정의한다. | RFC 2822에선 다음과 같이 정의한다. | ||
11번째 줄: | 9번째 줄: | ||
</pre> | </pre> | ||
== | ==구성요소== | ||
인증기관(CA, Certification Authority) | |||
;*인증서 발행기관. 아래 3계층으로 구분할 수 있다. | |||
;#정책 승인기관(PAA, Policy Approving Authority) | |||
;#정책 인증기관(PCA, Policy Certification Authority) | |||
;#인증기관(CA, Certification Authority) | |||
검증기관(VA) | |||
* | ;* 권장되지만 선택적이다. 인증기관에서 이 일을 할 수도 있다. | ||
* | |||
등록기관(RA) | |||
;* 선택적이다. 인증기관에서 이 일을 할 수도 있다. | |||
* | |||
* | 저장소(Repository) | ||
* | ;* 대표적으로 X.500, LDAP 등을 이용한다. | ||
사용자 | |||
;* 사람이 아닌 시스템도 포함이다. | |||
;* 인증서를 요청하고, 생성하고, 검증하는 능동적인 역할을 하는 주체 | |||
==구조== | ==구조== | ||
===계층 구조=== | ===계층 구조=== | ||
* 위에서 설명한 대로 인증기관이 계층적으로 존재하는 트리형태의 구조 | * 위에서 설명한 대로 인증기관이 계층적으로 존재하는 트리형태의 구조 | ||
44번째 줄: | 36번째 줄: | ||
* 최상위 인증기관 간의 인증은 허용(국제 상호동작 지향)하나, 하위 인증기관끼리는 인증 할 수 없다. | * 최상위 인증기관 간의 인증은 허용(국제 상호동작 지향)하나, 하위 인증기관끼리는 인증 할 수 없다. | ||
* 최상위 인증기관의 비밀키 노출시 전 인증기관에 위협이 된다. | * 최상위 인증기관의 비밀키 노출시 전 인증기관에 위협이 된다. | ||
===네트워크 구조=== | ===네트워크 구조=== | ||
50번째 줄: | 43번째 줄: | ||
* 인증경로 탐색이 복잡하다. | * 인증경로 탐색이 복잡하다. | ||
* 한 인증기관의 비밀키가 노출될 경우 국소적인 피해가 발생한다. | * 한 인증기관의 비밀키가 노출될 경우 국소적인 피해가 발생한다. | ||
===혼합형 구조=== | ===혼합형 구조=== | ||
61번째 줄: | 55번째 줄: | ||
* 인증기관이 ''"저 이름, 소속 등을 가진 사람은 이 공개키를 가진다."'' 라고 인증하는 파일 | * 인증기관이 ''"저 이름, 소속 등을 가진 사람은 이 공개키를 가진다."'' 라고 인증하는 파일 | ||
=== | |||
===X.509=== | |||
* 인증서 표준 규격 | * 인증서 표준 규격 | ||
* 버전, 일련번호, 서명 알고리즘ID, 발행자 이름, 유효기간, 주체 이름, 주체의 공개키, 발행자 유일 식별자, 주체 유일 식별자, 확장, 서명으로 구성 | * 버전, 일련번호, 서명 알고리즘ID, 발행자 이름, 유효기간, 주체 이름, 주체의 공개키, 발행자 유일 식별자, 주체 유일 식별자, 확장, 서명으로 구성 | ||
===폐지 목록(CRL)와 검증 프로톨콜(OCSP)=== | |||
* 폐지된 인증서들은 CRL(Certificate Revocation List)에 등재되며 사용자가 언제든지 확인 가능 | |||
* OCSP(Online Certificate Status Protocol)은 ORL을 읽어, 인증서의 상태의 정상여부를 판별 |