PKI(Public Key Infrastructure) 공개키

PKI(public Key Infrastructure)는 인증 생성, 관리, 배포, 사용, 파기를 통하여 은행, 증권, 카드, 보험 등에서 사용하는 공인 인증으로써 전자 상거래, 인터넷 뱅킹 같은 디지털 인증으로 안전한 전송이 목적으로 사용되는 키입니다. 

 

 

공인인증서를 발급받기 위해서는 인증기관(CA)에 사용자의 정보를 입력하고 공인인증서를 발급받게 됩니다. 여기서 인증기관(CA)은 사용자의 신원을 확인하고 인증서를 발급해주게 되는데, 사용자가 너무 많은 경우 사용자의 신원을 확인하는 것이 어려울 수 있어 사용자 신원을 대신 확인해주는 대행기관이 등록기관(RA)라고 합니다. 즉 등록기관(RA)이 사용자의 신원을 확인하고 공인인증서를 발급해주는 구조입니다. PKI 알고리즘은  사용자를 인증하기 위해 암호화 및 전자서명을 하는데 이때 보안 시스템으로 디지털 인증서를 사용해서 인증을 하게 됩니다.

 

PKI 세부 구성 내용

인증기관(CA) - Certification Authority

• 인증 정책 수립, 인증서 및 인증서 폐기 목록 관리(생성, 공개, 취소, 재발급)
• 다른 CA와 상호 인증

등록기관(RA) - Registration Authority

• 사용자 신원 확인, 인증서 요구 승인, CA에 인증서 발급 요청
• 디지털 인증서 신청자의 식별과 인증을 보증
• 대표적 등록기관 : 은행, 증권사

CRL - Certificate Revocation List

• 인증서 폐기 목록
• 인증서의 지속적인 유효함을 점검하는 도구

Directory

• 인증서, 암호키에 대한 저장, 관리, 검색 등의 기능, PKI 관련 정보 공개
• API(Application Program Interface)를 활용하여 데이터를 입력, 수정, 삭제, 조회할 수 있는 서비스
• DAP(Directory Access Protocol)이라는 프로토콜을 활용하여 작업을 수행

CPS - Certification Practice Statement

• PKI를 구현하기 위한 절차를 상세히 설명해 놓은 문서로써 CA의 운영을 통제하는 상세한 일련의 규정

X.509

• CA에서 발행하는 인증서를 기반으로 함, 공개키 인증서의 표준 포맷
• X.500 디렉터리 서비스에서 쌍방 간의 인증을 위해 개발
• 인증서 버전, 인증서 고유번호, 발급자 서명, 발급자 정보, 인증서 유효기간, 주체 정보, 공개키, 주체키 등을 포함
• 1988년 ITU(Internaltional Telecommunications Union)에 의해 표준으로 개발되었으며, 1993년 두 번째 버전이 출시되면서 2개의 인식자가 첨가되었으며, 1997년 세 번째 버전에 확장 영역이 추가되면서 표준으로 자리매김됨

OCSP (Online Certificate Status Protocol)

• 은행에서 발급받은 인증서를 증권회사에서 받기 위해서 인증기관 간의 상호인증을 수행하는 실시간 프로토콜을 의미합니다.