[X.509] 인증서 키 용도(KeyUsage) 설명

X.509 인증서 필드 중에 KeyUsage 라는 필드가 있다.
이 필드는 해당 인증서에 있는 비대칭키의 사용 목적을 정의한 필드이다.

아래 그림은 RootCA 인증서의 KeyUsage 필드를 볼 수 있다.

이 인증서의 keyUsage 내용은 keyCertSign, cRLSign 으로 나오는데 인증서 서명 및 CRL 서명용이라는 뜻이다.

인증서 보기

해당 필드의 ASN.1 형식은 다음과 같다.

id-ce-keyUsage OBJECT IDENTIFIER ::=  { id-ce 15 }

KeyUsage ::= BIT STRING {
           digitalSignature        (0),
           nonRepudiation          (1),
           keyEncipherment         (2),
           dataEncipherment        (3),
           keyAgreement            (4),
           keyCertSign             (5),
           cRLSign                 (6),
           encipherOnly            (7),
           decipherOnly            (8) }

ASN.1 형식에서 알 수 있듯이 KeyUsage의 용도는 9가지가 존재한다.
그럼 각각의 용도에 대해서 알아보자.

digitalSignature

• 보안 서비스를 위한 전자 서명용 용도를 나타내다. (인증서 서명 또는 CRL 서명과는 다른것이다)
• 일반 EndEntity 가 다양하게 사용하는 전자 서명용임을 나타내다.

nonRepudiation

• 전자서명을 할 때 서명자가 그 서명 거래 내역을 부인하지 못한다는것을 의미한다.
• 사실 부인 방지 경우 분쟁의 요지가 있을 경우 신뢰된 3자의 진위 여부가 필요한 용도이다.

keyEncipherment

• 키를 암호화 하여 전송 할 수 있는 기능을 말한다.
• 보통 RSA 공개키 암호화를 할 때 사용한다.

dataEncipherment

• 암호화 키가 아닌 사용자의 데이타를 암호화하는데 사용됨을 의미한다.

keyAgreement

• 이 용도는 양쪽에서 키 동의를 얻기 위해 사용되는 용도이다.
• 보통 DH 알고리즘이나 ECDH 알고리즘을 사용 할 때 사용된다.

keyCertSign

• 인증서에 대한 서명용도임을 나타내다.
• 이 용도는 CA인증서에서 사용되는 용도이다.

cRLSign

• CRL에 대한 서명 용도임을 나타낸다.
• 이 용도는 CA 인증서에서 사용되는 용도이다.

encipherOnly

• RSA알고리즘에서 사용되며 공개키가 암호화용으로만 사용됨을 의미한다.
• keyAgreement 와 같이 주로 사용 된다.
• 키 동의를 수행 시 데이타를 암호화 하는 용도이다.

decipherOnly

• RSA알고리즘에서 사용되며 개인키가 복호화용으로만 사용됨을 의미한다.
• keyAgreement 와 같이 주로 사용 된다.
• 키 동의를 수행 시 데이타를 복호화 하는 용도이다.

이상 키 용도에 대해서 알아 보았다.
보통 keyUage 필드는 크리티컬 필드이어서 항상 용도에 맞게 설정이 되어야한다.