[정보보안기사] PKI(Public Key Infrastructure) 구조

1. 개요

PKI는 공인인증의 구조를 말한다. 공인인증서(X.509, ITU-T표준)을 통해서 인증을 받는 구조이다.

공인인증서 발급 시 인증기관(CA)에 사용자 정보를 입력하고 공인인증서를 발급받는다.

인증기관(CA)은 사용자 신원을 확인하고 인증서를 발급해 주는 구조이다. 하지만 사용자가 너무 많기 때문에 사용자 신원확인을 대행해 주는 기관이 필요했고 그 기관이 등록기관(RA)이다.

즉, 등록기관(RA)이 신원확인을 하고 인증기관(CA)이 공인인증서를 발급해 준다.

공인인증서가 발급되면 인증기관은 인증서 폐기 목록(CRL)을 관리해서 인증서의 유효성을 확인한다.

 

PKI 목적

목적	주요 내용	요소 기술
인증	사용자에 대한 확인, 검증(공개키 인증)	Certificate
기밀성	송수신 정보에 대한 암호화	암호화, 복호화
무결성	송수신 정보의 위/변조 방지	해시함수(MD)
부인봉쇄	송수신 사실에 대한 부인방지	전자서명
접근 제어	허가된 수신자만 정보에 접근 가능	DAC, MAC. RBAC
키 관리	공개키 발급, 등록, 관리, 폐기	-

 

 

 

---

2. 구성

구성 요소	주요 기능
인증기관(CA) Certification Authority	· 인증 정책 수립, 인증서 및 인증서 폐기 목록 관리(생성, 공개, 취소, 재발급) · 공개키 인증서를 자신의 개인키로 서명 · 공개키와 개인키 쌍의소유자 신분 증명 · 다른 CA와 상호 인증 · 인증서 폐기 목록(CRL) 등록 및 인증 절차 작성
등록기관(RA) Registration Authority	· 사용자 신원 확인, 인증서 요구 승인, CA에 인증서 발급 요청
인증서 폐기 목록(CRL) (Certificate Revocation List)	· 인증서의 지속적인 유효함을 점검하는 도구 · 폐지 사유: 디지털 서명의 개인키 노출, 인증서가 필요 없을 경우, 개인키 분실, 인증서 효력 정지 등 · OCSP: 인증서 상태에 관한 정보 초회 또는 CRL 검색 프로토콜
Directory	· 인증서, 암호키에 대한 저장, 관리, 검색 등의 기능, PKI 관련 정보 공개 · 디렉터리 표준형식으로는 X.500(DAP, Directory Access Protocol)과 이것을 경량화시킨 LDAP(Lightweight Directory Access Protocol)이 있음.
CPS (Certification Practice Statement)	· 인증서 실무 준칙 문서 · PKI를 구현하기 위한 절차를 상세히 설명해 놓은 문서로 CA의 운영을 통제하는 상세한 일련의 규정. · 인증 정책, 인증 절차, 비밀키 관리 절차 등을 포함 · 모든 사용자에게 반드시 공개해야 함(홈페이지 게시)
X.509	· X.500 디렉터리 서비스에서 서로 간의 인증을 위해 개발된 것. · CA에서 발행하는 인증서를 기반으로 하는 공개키 인증서 표준 포맷. · 공개키 인증서의 표준 포맷: 발행자, 소유자, 소유자의 공개키, 유효기간, 고유번호, 알고리즘 · 사용자의 신원과 키 정보를 서로 결합한다는 것을 의미.

 

* 인증기관 간의 상호인증을 위한 OCSP(Online Certificate Status Protocol)