Certificate, Digital Certificate   인증서, 디지털 인증서, 공개키 인증서

(2023-04-26)

X.509 인증서 형식


1. 디지털 인증서 (Certificate)공개키 및 그 키를 소유한 사용자에 대해 신뢰할만한 제3자(인증기관)가 서명 발행한 것 
     - 이름(ID 등), 유효기간, 발행자 이름 등의 정보에 대해
        . 인증기관(CA)의 서명용 개인키전자서명을 한 것
     - 결국, 전자서명 검증키와 이를 소유하는 자연인 또는 법인과의 귀속관계 등을
        . 인증기관(CA)이 확인,증명하여 전자서명전자적 서면 정보

  ※ 즉, 공개키를, 인증기관이 공인한, 전자증명서 (공개키 인증서)
     - 주로, X.509 v3 표준 형식에 기반하나, 구현에 따라 약간의 차이가 있음
        . 공개키,개인키 간에 수학적인 관계가 존재함으로 인해, 
        . 공개키 만으로는 개인키를 알아낼 수 없음


2. 인증서 사용 용도 (사람,프로세스,클라이언트,서버,장비,거래 등의 인증) 전자메일용 인증서(PGP, S/MIME) : 전자메일 보안전자지불용 인증서              : 법인의 법적 증명 등
  ㅇ 소프트웨어 배포용 인증서       : 믿을만한 소프트웨어 여부를 인증
  ㅇ IPSec용 인증서                 : IP 패킷 보안SSL 인증서                     : 안전한 소켓 계층 보안 (HTTPS 등)
  ㅇ 서버(웹서버 등) 인증           : 믿을만한 서버 인지를 인증
  ㅇ 우리나라 공인인증서            : 개인 인증 (인터넷 신분증)
     - [참고] 우리나라 공인인증서 인증기관 ☞ 인증기관(CA) 참조


3. 인증서 형식 관련 표준

  ㅇ 일반적으로, 인증서는, 표준 X.509 형식을 따름
     * (크게 ITU-TX.509 방식과 비 X.509 방식으로 구분됨)
     - X.509 방식    : 인증 기관에서 발행하는 인증서를 기반으로 상호 인증 제공
     - 비 X.509 방식 : 국가별, 지역별로 실정에 맞게 보완 개발


4. X.509 인증서 형식

  ㅇ 인증서 구성 요소
     - 서명전 인증서 (To be Cetificated) :  디지털 서명의 대상이 되는 정보
        . 버전(Version), 일련번호(Serial Number), 알고리즘 식별자(Algorithm Identifier),
          발행자 정보(Issuer), 유효기간(개시,만료) 등
     - 사용된 디지털 서명 알고리즘 (Signature Algorithm) : 디지털 서명 함수
     - 디지털 서명 (Digital Signature) 본체 :  인증서에 대해 수행한 디지털 서명 그 자체

      

  ㅇ 서명전 인증서 정보 형식
     - 규격의 버젼
        . 디폴트 버전은 1
     - 인증서 일련번호
        . 인증서와 연관된 정수값
     - 디지털 서명 알고리즘 식별자
        . 인증서 서명에 사용된 알고리즘매개변수
           .. 인증서 끝부분에 서명 필드에 반복하여 나타나게되어 그다지 필요없음
     - 인증서의 발행자(발급자,서명기관)
        . 인증서 발행 및 서명한 인증기관(CA) 이름 
           .. X.500 포멧으로 기록되고, X.500 디렉토리에 등록된 기관
     - 유효기간 개시 및 종료
     - 인증 대상 관련 정보
        . 공개키의 소유자 (인증 대상 사용자 즉, 인증 대상의 이름)
           .. 인증서가 인증하게되는 사용자 이름
           .. 즉, 사용자 공개키와 대응되는 개인키 소지자
        . 인증대상 사용자의 공개키에 대한 정보
           .. 공개키 자체,
           .. 공개키 알고리즘
           .. 보안 관련 매개변수 등
        . 발행자 유일 식별자
        . 인증대상 사용자 유일 식별자
     - 확장 필드 등


5. 공개키 인증서의 저장소X.500 디렉토리를 인증서의 저장소로 이용 가능
     - 인증서 위조는 사실상 불가능하므로, 
       특별한 보안 조치 없이도 공개적인 디렉토리서비스에 올려놓을 수 있음

인증 인프라 (PKI)
   1. 공개키 기반구조   2. X.509   3. 공개키 (비대칭키)   4. 인증기관(CA)   5. 인증서   6. 인증서 갱신/폐기   7. 전자서명  
주요 인증도구
   1. 디지털 서명   2. 인증서   3. 해쉬 함수   4. 메세지 인증 코드  


Copyrightⓒ written by 차재복 (Cha Jae Bok)               기술용어해설 후원
"본 웹사이트 내 모든 저작물은 원출처를 밝히는 한 자유롭게 사용(상업화포함) 가능합니다"