PKI (공개 키 기반 구조)

PKI란?

디지털 인증의 생성, 관리, 배포, 사용, 저장, 파기와 공개 키 암호화의 관리에 쓰이는 일련의 역할, 정책, 하드웨어, 소프트웨어, 절차의 총칭이다.

전자상거래, 인터넷 뱅킹, 민감한 정보를 담은 이메일처럼 다양한 네트워크 활동에 있어 정보의 안전한 전송을 위해 사용된다.

통신 주체를 식별하거나 오가는 정보를 검증하여 단순한 암호 뿐만 아니라 엄격한 확증이 필요한 경우 중요하다.

전자상거래의 안전성과 신뢰성을 확보하기 위한 인증, 무결성, 부인봉쇄 등의 요건을 충족하기 위한 인증 기술이다.

 

전자서명 기술을 활용하는데, 전자서명 기술을 효과적으로 이용하기 위해 공개키 암호 방식을 이용한다. 이를 구현하기 위해 요구되는 기술적, 제도적 기반이 공개키 기반구조 = PKI 이다.

 

공개된 키를 개인이나 집단을 대표하는 적절한 주체와 엮는 것이다. 인증기관에의 등록과 해당 기관에 의한 인증의 발행을 통해 성립된다.

보증의 정도에 따라 완전 자동으로 성립되기도 하고, 수동적인 작업이 무조건 필요하기도 하다.

 

PKI의 기능

• 공개 키 인증서 저장소 및 해지
• 키 백업 및 복구
• 디지털 서명 부인 방지
• 키 쌍 인증서 자동 업데이트
• 주요 기록 관리
• 교차 인증 지원

• 기밀성 : 암호화를 통한 정보보호와 기밀유지
• 접근제어 : 선택된 수신자만 정보에 접근할 수 있다.
• 무결성 : 위조, 변조를 방지하기 위해 암호화, 전자서명
• 인증 : 전자서명으로 행위자의 신원확인
• 부인방지 : 전자서명을 통한 신뢰도 향상 (행위자 확인)

기밀성을 보장하기 위해서 상대방에게 데이터 전송 시 수신자의 공개키를 이용해 데이터를 암호화하여 전송한다. 그러면 수신자는 자신의 개인키를 이용해 복호화하여 데이터를 확인할 수 있다. 

따라서 송신자는 수신자의 공개키가 필요하다.

 

무결성을 보장하기 위해서 Hash 함수를 이용한다. '단방향 함수'로서 원본이 1비트만 변경되도록 하여 2개의 문서는 서로 다른 결과 값을 가진다. 원본 데이터에서 Hash 함수를 이용해 계산된 값이 Digest이다. 전자서명을 하면 데이터는 '원본데이터 + Digest(Hash화 된 데이터)'로 구성된다. 

 

부인방지 : 메시지의 송수신이나 교화 후 그 사실을 사후에 증명함으로써 사실 부인을 방지하는 것이다. 이를 보장하기 위해 전자서명을 이용하는데, 전자서명은 수신자의 개인키를 암호화하여 전송함으로써 구현할 수 있다. 개인키를 이용한 암호화는 자신의 사칭이 아닌 진짜 자신이 보낸 데이터라는 것을 알려주기 위한 방법일 뿐 제 3자가 데이터를 열지 못하게 하는 방법은 아니다.

 

PKI의 구성요소

시스템

• 인증기관 (CA) : 암호화, 복호화 및 인증을 위한 서명 키 제공 및 할당을 담당한다. 인증서(공개 키와 특성 집합 포함)를 사용해 키를 배포한다. 인증서 발급, 취소 등 관리를 한다.
• 등록기관 (RA) : 인증기관의 위임을 받아 사용자의 등록 및 인증서 분배처럼 인증기관의 역할 중 사용자와의 접촉이 필요한 부분을 담당한다. 인증기관에 인증을 요청하고 인증서 취소를 처리한다.
• 디렉토리 (Drectory) : 인증서 및 취소목록 등 PKI관련 정보들을 저장 및 검색하는 장소이다. 인증서 등의 보관 및 정보를 제공하고, 효율적인 검색을 위한 서비스들을 지원한다.
• 사용자 (End Entitry) : PKI의 최종 사용자 및 시스템을 포함하며 인증서와 비공개키를 가지고 있다. 서명 및 검증을 위해 인증서를 생성하거나 취소, 갱신을 요구한다. 

인증서

• 공인인증서, 사설인증서 : 인증 정책 수립 및 운영, 인증서 발급자 신원확인, 개인정보 관리 등을 구현한다. 
• 인증서 저장매체 : 전자문서의 형태로 구현되는 인증서를 저장하는 매체이며 대부분 PC내의 하드디스크이다. 보안성 강화를 위해 USB토큰이나 스마트카드를 이용하기도 한다.