Header

  1. View current page

    tadoli님의 노트

Profile_img_60x60_01
3

All Pages

Updates

Add to Watch List

Part 5. 공개키의 배포

Edit

Chapter 16. 전자 인증서(Digital Certificates)

  •  공개키를 안전하게 전송하기 위한 적절한 방법

    • Main-in-the-middle attack

      • 해커가 중간에 Dawn의 공개키를 가로채 본인 것을 대체 후 Dawn의 공개키로 위장할 수 있음
    • Bob은 전송받은 Dawn의 공개키가 Dawn것임을 확인할 수 있어야 함

  • 전자 인증서가 필요

    • 믿을 수 있는 TTP(Trust Third Party) - Alice에 의해 서명되어진 형태로 사용

 

전자 인증서의 구성

 dcorg.gif

  • 전자인증서 상단

    • 발행인(서명자) - Alice
    • 대상인과 대상인의 공개키 - Dawn
    • 인증의 유효기간

  • 전자인증서 하단

    • 발행인(Alice)이 상단 평문을 해쉬 후 서명

 

전자인증서의 확인

  • 전자 인증의 소비자(Bob)는 발행인(Alice)의 공개키 복사본으로 발행인을 인증

    • Dawn의 공개키가 맞음을 Alice가 보장
    • Chaining - Bob이 갖고 있는 Alice의 공개키 복사본을 통하여 Dawn의 공개키 복사본까지 믿을 수 있도록 연결되는 것

    • verifyDC.gif

       

전자인증서 공격

  • 전자인증서의 생성자 공격

  • 악의적인 인증서 생성자

  • 전자인증서 사용자 공격

  • 개인키의 유출

  • 그럼에도 불구하고, 전자인증이 가장 효율적인 방법

    • 주요 전자 결제 시스템, SSL(Secure Socket Layer), 보안전자우편, 가상사설망, IPSec 등에서 사용

 

전자인증서에 대한 제한

  • 전자인증서의 시간 제한

  • 전자인증서의 발행 취소

    • Dawn이 Alice의 가이드라인을 어겼을 경우,
  • Dawn은 자신의 공개키에 대한 인증을 많은 사람이 해주길 바란다.
  • 전자인증서 발급에 대한 보수

 

Chapter 17. X.509 공개키 시스템

X.509

  • 공개키 시스템(PKI, Public Key Infrastructure) 전자인증서 구조
  • IETF(Internet Engineering Task Force) 산하 PKIX 분과위원회에서 관리방법에 대한 발전방법 연구

  • 사용이유

    • 공정하고 투명한 전자인증 시스템을 사용자에게 주기 위해 공인된 인증서버가 요구됨(X. 509 CA)

 

인증기관(CA, Certificate Authority)

  • 전자인증서 대상자의 신청 받음

  • 대상자 인증

    • 대상자의 신분 확인을 위해 대상자의 개인키와 공개키가 맞는지 확인
  • 대상자의 전자인증서를 요구하는 사용자에게 해당 인증을 발행
  • 전자인증 만료와 폐기, 취소 관리
  • 전자 인증서의 사용자들은 CA가 발행한 공개키의 정확성을 믿음

  • 배포

    • CA는 인증 저장소에 인증서들을 저장해 놓고, 요청한 사람에게 전자우편으로 보냄

    • LDAP(Lightweight Directory Access Protocol)

      • 인증을 저장하고, 찾아내는데 사용하는 PKIX(X.509)의 프로토콜
      • 인증서 저장 문제를 특정 서버에게 처리하도록 넘김

  • 인증서 폐기

    • 여러가지 이유로 유효기간 끝나기 전에 폐기

      • 인증서 폐기 리스트(CRL, Certificate Revocation List)
      • 전자인증서를 받은 사용자들은 인증을 사용하기 전에 CRL을 참고하여 유효여부 확인R
  • ROOT CA

 

X. 509의 신뢰성 있는 네트워크 만들기

  • Root CA는 자신 스스로 인증을 승인
  • Root CA는 인터넷 브라우저로 스스로의 인증을 포함시켜 공개키 배포
  • Root CA는 전자 인증을 발행하고, 믿을만한 네트워크로 Root CA의 인증 복사본 보냄
  • 전자 인증을 Root CA로 부터 얻을 수 있고, Root CA의 공개키 본사본을 받을 수도 있다.

 

다단계 CA

  • 하위 CA를 두어 역할 분담

    • CRL의 배포에 관한것도 하위CA에 분담

 

PKI 구조에 의한 운영의 예

 PKI운영.gif

X.509 v3 구조

  • 버전
  • 시리얼 #
  • 서명함수
  • 발행인 이름(예, Alice)
  • 유효기간
  • 대상인 이름(예, Dawn)
  • 대상자의 공개키
  • 발행인의 식별ID
  • 대상인의 식별ID
  • 확장(Extensions)
  • 서명 - 발행인의 서명

 

Chapter 18. PGP(Pretty Good Privacy)와 믿음성 있는 웹(Web)

  • PGP

    • Philip Zimmermann에 의해 개발
    • 강력한 암호화 시스템으로 디자인 -  X.509보다 강력
    • 공인된 CA가 필요치 않음
    • 여러 기관이나 여러 사람이 하나에 전자인증에 본인의 서명을 넣어 이 전자인증이 확실함을 보장

  • X.509와 PGP 인증의 비교

    • PGP

      • 하나이상의 서명을 포함
      • 분산 신용(신용있는 웹) 모델을 사용

    • X.509

      • 발행인과 대상인을 구별 Root CA만 자신이 승인한 인증을 발행
      • 중앙집중식 제어(CA)

 

 X.509와 PGP 전자 인증의 비교

 

X509PGP.gif 

 

 

History

Last edited on 06/07/2008 23:53 by tadoli

Comments (0)

You must log in to leave a comment. Please sign in.