4과목] 정보보안 일반 - 3) 전자서명, X.509, PKI, OSCP, 문제풀이

1.전자서명

 -특징

1)서명은 메시지에 의존한 비트 형태.

2)서명문을 인식 및 확인하기 쉬워야 한다.

3)계산적으로 서명문 위조가 불가능해야 한다.

4)위조 방지를 위해 송신자의 정보비트를 활용.

 -기능

1)사용자 인증.

2)메시지 인증.

 -분류

>중재자 여부

1)직접 서명(Direct Digital Signature)

->본인이 서명 알고리즘 수행 및 서명.

->도난, 분실시 사후처리가 힘듬.

->위장 공격(공격자가 원서명자의 키를 훔쳐서 서명한 것인지) 판단이 힘들다.

2)중재 서명(Arbitrated Digital Signature)

->직접 서명에 중재자의 서명이 더해진 방식.

>메시지 복구 여부

1)메시지 복구 가능 전자서명 알고리즘

->서명값으로부터 메시지 추출 가능.

->크기가 큰 메시지일 경우 메시지 추출 불가능.

2)원메시지 필요 ~~

->서명값으로부터 메시지를 추출할 수 없기때문에 원메시지 필요.

//그럼 이건 복구가 아닌데?

>공개키/개인키(전자서명)

1)공개키

->수신자 공개키로 암호화 후 수신자 개인키로 복호화.

2)개인키

->송신자 개인키로 암호화 후 송신자 공개키로 복호화.

*그림을 보면 알겠지만, 아마 공개키/개인키 암호화라는건 

서명부분의 암호화를 말하는 것 같다.

 -전자서명 방법

1)메시지에 직접 서명.

2)메시지를 해쉬한 해쉬값에 서명.

 -전자인증서

>특징

->사용자의 공개키와 ID를 결합한 것을, 인증기관이 서명한 문서.

->

->인증기관(CA)는 자신의 개인키를 사용하여 전자서명을 생성 및 인증서에 첨부하고

이후 자신(CA)의 공개키를 사용하여 인증서를 확인.

>X.509 인증서 표준

->ITU에 의해 정의된 인증서의 기본 규격.

->버전 분류

1)v1(1988)

2)v2(1992)

->인증서 취소목록(CRL: Certificate Revocation List)을 도입.

->인증기관 식별자. 

:한 주체에 대한 인증기관이 두 개 이상일 경우, 인증기관 구분을 위함.

->주체 식별자.

3)v3(1996)

->인증서의 다양한 조건, 서명 알고리즘 등을 추가하기 위한 확장영역 도입.

->키 식별자

:여러 개의 비밀키로 인증서를 발급한 경우, 이를 구분하기 위함.

->주체키 식별자

:인증서의 공개키를 구분.

->키 용도 표시.

:해당 공개키가 암호용인지 서명용인지 구분(비트로 표시).

>공개키 인증서 구조

->다음의 내용이 포함된다.

1)버전

2)일련 번호(Serial)

3)알고리즘 식별자

:인증서를 생성하는 서명 알고리즘을 구분.

4)발행자(Issuer)

:CA

5)유효기간(Period of Validity)

:시작날짜 ~ 만료날짜.

6)주체(Subject)

7)공개키 정보

:공개키, 공개키 생성 알고리즘 식별자

8)서명(Signature)

:CA의 개인키로 서명한 서명문.

->인증서 유효기간이 지난 경우

:CA는 해당 인증서를 일정기관 보관 후 제거.

->인증서 폐기

:개인키가 유출된 경우, 사용자가 조직을 변경한 경우, 더이상 사용되지 않는 경우.

 

2.PKI(Public Key Infrastructure)

 -특징

1)다수의 인증기관이 포함된 범위에서, 상호인증을 위한 계층적 인증체계.

     2)공개키 인증서의 인증성 제공.

 -구성요소(컴포넌트)

1)*공개키 인증서

2)*인증기관(CA)

:공개키 인증서를 발급, 철회.

3)저장소(디렉토리)

:공개키 인증서 저장.

4)사용자

:공개키 사용자.

5)등록기관(RA: Registration Authority)

*공개키 인증서의 구성

①공개키 인증서(Certification)

->공개키의 주인 정보, 공개키 정보.

②인증서 정책(Policy)

->인증서를 어떻게 사용할 것인가?

③인증서 경로(Path)

->인증서들을 연결시키는 방법.

④인증서 취소 리스트(CRL: Certification Revocation List)

->철회된 인증서의 일련번호가 담김.

->공개키 인증서의 유효한지 확인하는 용도.

*인증기관의 역할

1)인증서 발급, 철회.

2)CRL 발급.

3)인증서 상태 관리.

4)유효한 인증서(&CRL) 및 현재까지 발급한 총 인증서(&CRL) 리스트 저장.

 -인증방식

1)단일 구조.

2)네트워크형 구조.

->CA가 서로 대등.

->추가적인 확장이 어려움.

3)계층적 구조.

->CA 하위에 CA가 존재.

->하부 CA간의 상호인증은 배제.

->추가 확장 용이.

->계층에 따라 인증기관의 역할이 나뉨.

*인증기관 분류

1)정책승인 기관(PAA: Policy Approval Authorities)

->PCA에 대한 정책 수립 및 승인.

->PCA의 인증서 발행.

2)정책인증 기관(PCA: Policy Certification Autorities)

->CA에 대한 정책 수립. //*정책 승인을 하지는 않음.

->수립된 정책에 대한 운용을 감사.

->CA의 인증서 발행.

3)인증기관(CA)

->하위 CA, 사용자, RA의 인증서 발행.

4)등록기관(RA)

->사용자 등록.

->사용자 신원 확인.

3.WPKI

 -WAP 기반 CS 인증 제공.(인증서 기반)

 -응용계층에서 구현.

 -구성요소

1)WPKI CA

2)CP 서버

3)OSCP 서버

4.OSCP(Online Certificate Status Protocol)

 -인증서 유효성을 검증하는 프로토콜.

(≒ CRL)

 -구조

->별도의 서버를 두어, *인증서의 검증을 요구하면 응답하는 방식.

*요구 메시지 종류

1)온라인 취소상태 확인 서비스(ORS)

2)대리인증 경로 발견 서비스(DPD)

3)대리인증 경로 검증 서비스(DPV)

4)기타 등등..

//이건 별로 안중요해 보이는데 그냥 적었음.

 -CRL과의 비교

 

4.문제 풀이

 -시스템에 대한 모든 명령을 사용자가 이용할 수 는 없음. 제한된 기능 수행 가능.

->사용자 인터페이스 제한. (접근통제 기술)