공개키 기반 구조 (PKI) 개념

요즘 많은 분야에서 PKI 라는 용어가 사용 된다. 오랫동안 이 분야에 관한 업무를 하다 보니 PKI 는 사실 많은 시스템에 약방의 감초 같은 역활을 하는거 같다. 사실 PKI는 독립적으로만 쓸 수는 없어도 어디서든 쓰이는 정말 감초가 아닐까 한다.

그래서 이번에 PKI 개념 정리를 해 보자.

1. PKI 정의

PKI ( Public Key Infrastructure) 는 사용자 또는 장치들을 인증하기 위해 공개 키 암호화를 사용을 지원하는 기능, 정책 및 서비스 시스템을 말한다.

사실 이 시스템의 구성 요소에 대한 정의 표준은 없지만 일반적으로 인증기관인 CA, 등록기관인 RA을 구성하고 이 CA에서 발행하는인증서를 이용해 사용자 또는 장치를 인증하는 기반 시스템을 말한다.

일반적 비대칭키과 암호화 시스템과는 다르게 CA를 이용한 인증서가 주요 구성 요소이다.

2. PKI 구성요소

다음 그림이 PKI 구성 요소 그림이다.

2.1 CA (Certificate Authority )

• CA, End Entity 등 다양한 구성 요소에 대한 인증서를 발급 및 배포
• RA 요청 또는 사용자의 요청에 대해 인증서 폐기
• CRL ( Certificate Revocation List ) 발급 및 CRL을 공개된 장소(DS) 에 게시

2.2 RA (Register Authority )

• 사용자 식별 및 사용자에 대한 등록을 CA에게 요청한다.
• 인증서에대한 해지 요청 및 인증서 상테 검색 기능

2.3 DS ( Directory Server )

• 인증서 및 CRL 저장소 역활 및 공개적 게시 한다( 즉 누구나 접근 가능하다 )
• 일반적으로 LDAP( Lightweight Directory Access Protocol ) 을 이용한다.
• WEB 또는 FTP 를 통해서 게시 되기도 한다.

2.4 EE ( End Entity )

• 일반적인 인증서를 사용하는 사용자 또는 장치이다. 즉 CA가 발급한 인증서를 사용자이다.
• 전자서명을 생성 하거나 전자 서명 검증을 하는 대상자이다.

3. PKI 부가 서비스

PKI 시스템의 주요 구성 요소 만으로도 서비스를 하기도 하지만
좀더 안전한 서비스를 위해 부가적인 서비스가 존재한다.

3.1 OCSP ( Online Certificate Status Protocol )

• CRL 의 경우 실시간 서비스가 아닌 문제가 있어서 그에 대한 실시간 상태 체크 서비스 이다.
• CRL은 사이즈나 네트워크 트래픽 문제가 있다. 하지만 OCSP는 해당 인증서에 대한 상태만 전달 한다.
• 즉 CRL에 대한 문제점을 보완하기 위한 프로토콜이다. 실시간 인증서 상태 체크를 위함이다.

3.2 TSA ( TimeStamp Authority )

• 시간에 대한 신뢰 정보를 추가한 시점확인  기관이다.
• 시점 확인을 위한 신뢰 된 기관을 두어서 해당 시점에 이벤트가 있었다는 서비스를 제공한다.
• 이 서비스는 순서에 대한 시퀀스도 제공한다. (많은 요청이 동시에 있을 시퀀스를 제공 및 전자서명을 한다 )

4. PKI 사용 사례

사실 PKI는 앞서 말하듯이 감초 처럼 사용되는 곳이 많지만 일반적으로 사용되는 예는 다음 과 같다.

4.1 웹 페이지 보안

• 우리가 가장 많이 보는 https 에서 사용하는 TLS 통신에서 사용된다.

4.2 파일 암호화

• 인증서를 이용해 대칭키 암호화 및 파일 암호화 기술을 위해 사용한다.

4.3 이메일 인증 및 암호화

• S/MIME 이라는 이메일 암/복호화 에 사용된다.
• 참고로 PGP는 인증서 기반이 아니라 공개키 기반이다.

4.4 사용자 인증

• VPN 연결 인증 등 사용자 인증에 인증서 기반 기술이 다양하게 쓰인다.

4.5 인터넷 뱅킹

• 사실 우리나라는 다양한 인터넷 뱅킹을 사용하는데 이 때 사용자에 대한 인증에 PKI 시스템이 사용된다.

사실 PKI 시스템은 하나의 구성 요소 및 인증서등 각각에 대한 다양한 기술이 들어 있다.
그 구성 요소 하나 하나도 기술 요소가 많이 있다.
하지만 여기서는 간단히 요약 개념 파악을 해보았다.