반응형
PKI(Public Key Infrastructure)
- X.509 국제 표준 기반
- 기밀성, 무결성, 인증, 부인방지, 접근제어
PAA(정책승인기관) : PKI에 대한 정책을 결정하고 하위기관의 정책을 승인하는 기관
PCA(정책인증기관) : Root CA 인증서를 발급하고 CA가 준수해야 할 기본정책을 수립하는 기관
RA(등록기관) : CA를 대신하여 PKI 인증 요청을 확인하고 CA간 인터페이스를 제공하는 기관
CA(인증기관) : 공개키 인증서 발급, 공개키를 사용자에게 전달, 인증서 취소목록(CRL) 보관
CRL(인증서 폐기 목록) 구조
* 기본영역
| 구분 | 설명 |
| 서명 알고리즘 | CRL에 서명한 서명 알고리즘 ID 및 관련 데이터 |
| CRL 발급자 | 발급자 CA의 X.509 이름 |
| 최근 발급일자 | 최근 수정일자 |
| 다음 발급일자 | 다음 수정일자 |
| 취소 인증서 목록 | 취소된 인증서 목록들 |
| CRL 확장자 | CRL 확장자 유무 및 내용 |
| 발급자 서명 | 발급자의 서명 |
* 확장영역
| 구분 | 설명 |
| CA 키 고유번호 | CRL에 서명한 키 번호 |
| 발급자 대체 이름 | CRL 발급자의 대체 이름(e-mail, IP주소 등) |
| CRL 발급자 번호 | CRL에 대한 일련 번호 |
| 발급 분배점 | CRL 분배점 이름 |
| 델타 CRL 지시자 | 최근에 취소된 목록만을 저장한 델타 CRL 지시자 |
X.509 디지털 인증서 구조
| 구분 | 필수여부 | 설명 |
| Version | 필수 | 인증서의 버전으로 v3의 값이 들어간다. |
| Serial Number | 필수 | 인증서 고유의 일련번호 |
| Signature | 필수 | 발급자의 서명 |
| Issuer | 필수 | 발급자의 정보 |
| Validity | 필수 | 인증서의 유효기간. 시작 날짜/종료날짜 |
| Subject | 필수 | 주체의 정보 |
| Subject PublicKey Info | 필수 | 주체의 공개키 |
| Subject Alt Name | 필수/옵션 | 주체의 다른 이름 주로 주체의 도메인 네임이 들어간다. |
| Policy Mappings | 옵션 | 정책 정보를 다른 정책들과 연결할 수 있는 정보를 제공한다. |
| Name Constraints | 옵션 | |
| Policy Constraints | 옵션 | 인증서 경로의 제약 사항 |
| Issuer Alt Name | 옵션 | 발급자의 다른 이름 주로 발급자의 도메인 네임이 들어간다. |
| Authoriy Key Identifier | 옵션 | 발급자의 키를 나타낼 수 있는 키 이름 |
| Subject Key Identifier | 옵션 | 주체의 키를 나타낼 수 있는 키 이름 |
| Basic Constraints | 필수/옵션 | 제약사항. 주료 이 인증서가 다른 인증서를 발급할 수 있는 권한이 있는지 없는지 나타낸다. |
| CRL Distribution Points | 옵션 | 이 인증서의 CRL을 얻을 수 있는 곳을 정한다. |
| Key Usage | 옵션 | 인증서에 기입된 공개키가 사용되는 보안 서비스의 종류를 결정한다. 보안 서비스의 종류는 서명, 부인방지, 전자서명, 키 교환 등이 있다. |
반응형
'자격증 > 정보보안기사' 카테고리의 다른 글
| 접근통제 보안 모델 (0) | 2024.06.30 |
|---|---|
| 전자서명 (0) | 2024.06.28 |
| WINDOWS 시스템 (2) | 2024.06.03 |
| 해시함수 (0) | 2024.05.29 |
| [암호학] 블록 암호 운용 방식 (0) | 2024.03.18 |