[X.509] 인증서 주체키 식별자(Subject Key Identifier) 와 기관키 식별자(Authority Key Identifier)

X.509 인증서 기본 프로파일에서 주체키 식별자와 기관키 식별자 값이 존재한다.
이 식별자는 인증서의 경로 구성을 하기 위하여 공개키에 대한 구별 값으로 사용되는 값이다.
이 필드는 X.509 v3 에서 확장 필드의 값이다.

주체키 식별자 (Subject Key Identifier)

주체키 식별자는 해당 인증서의 공개키를 구별하기 위한 값이다.

• 주체키 식별자 ASN.1

id-ce-subjectKeyIdentifier OBJECT IDENTIFIER ::=  { id-ce 14 }

SubjectKeyIdentifier ::= KeyIdentifier

이렇게 KeyIdentifier 값 하나를 사용한다.

아래 인증서 그림에서 파란색 부분이 주체키 식별자(Subject Key Identifier) 값이다

이 값은 해당 인증서에서 사용하는 공개키 값의 SHA-1 해쉬 값이다.
이때 공개키의 값은 공개키 정보를 제외한 순수한 공개키 값의 해쉬이다.
즉 20바이트(160비트)의 고정 길이 값이다.

즉 해당 인증서에서 사용하는 공개키를 구별하기 위한 값이다.
사실 DN 값으로는 같은 값을 중복으로 사용하지만 하나의 공개키 값은 하나의 해쉬값이므로 고유한 구별 값으로 보면 된다.

기관키 식별자( Authority Key Identifier )

기관키 식별자는 해당 인증서의 발급자 공개키에 대한 식별자 값이다.
즉 발급한 CA 인증서 공개키의 SHA1 해쉬 값이 된다.
그리고 기관키 식별자는 주체키 식별자와는 달리 2가지 정보가 더 들어가 있다.
물론 이 두가지 추가 정보는 옵션적인 값이라 없을 수도 있다.
기관키 식별자 확장자는 CRL 에서도 사용 된다.

• 기관키 식별자 ASN.1

id-ce-authorityKeyIdentifier OBJECT IDENTIFIER ::=  { id-ce 35 }

AuthorityKeyIdentifier ::= SEQUENCE {
      keyIdentifier             [0] KeyIdentifier           OPTIONAL,
      authorityCertIssuer       [1] GeneralNames            OPTIONAL,
      authorityCertSerialNumber [2] CertificateSerialNumber OPTIONAL  }

KeyIdentifier ::= OCTET STRING

이렇게 keyIdentifier, authorityCertIssuer, authorityCertSerialNumber 값이 더 있다.
그럼 기관키 식별자의 아래 그림을 참조 해보자

기관키 식별자 그림

이렇게 3가지 정보가 들어가 있다.

• keyIdentifier : 발급자 인증서 공개키의 SHA1 해쉬 값
• authorityCertIssuer : 발급자 인증서를 발급한 CA 인증서의 DN 값
• authorityCertSerialNumber : 발급자 인증서를 발급한 CA 인증서의 시리얼 번호

이 3가지 정보는 발급자인 기관키 구별 값이랑 이 발급자에 대한 상위 CA에 추가 정보를 제공한다.
이 정보들은 사실 인증서 경로 검증을 위해 필요 하다.

참고로 기관키 식별자도 keyIdentifier 값만 사용하는 경우가 많다.
하지만 공동인증서 경우는 3가지 정보를 모두 사용 한다.