개인키, 공개키 그리고 인증서

PKI 시스템을 접하다 보면 항상 듣게 된는 단어가 있다.
PKI 시스템에서 전자 서명을 하기 위해서 주로 나오는 단어가 인증서, 공개키 그리고 개인키 이다.
물론 이 용어를 PKI 를 접하게 되면 기본적으로 이해를 하고 있다고 본다.
하지만 좀더 쉽게 이야기를을 해 보자.

사실 개인키 공개키와 그리고 인증서는 전자 서명을 위해서 사용하는 용어이다.
전자 서명값 만든는 키는 개인키
전자 서명값을 검증하는 키는 공개키
공개키에 대한 소유자에 대한 증명서가 인증서 이다.

전자 서명에 대한 개념은 [전자서명과 인증서 이야기] 부분을 참고하자.

개인키란?

개인키는 전자 서명값을 만들기 위한 키 이다.
그 말은 개인키가 절대 소유자가 아닌 다른 사람에게 전달 되어서는 안된다.
PKI 시스템의 주요 핵심 보안 요소인 개인키의 안전한 보관이 되는것이다.
그러다 보니 개인키를 노출을 너무나 중요시 하고 개인키는 암호화 저장도 하고 아니면 더 안전한 HSM 장치를 사용하기도 하는 것이다.

공개키란?

공개키는 전자 서명이 맞는지 검증을 하기 위한 키이다.
전자 서명을 만들기는 개인키를 가진 사람이 하지만 이 만들어진 전자 서명을 검증 해야하는 것은 누구인가?
그것은 서명 내용에 대한 검증을 하는 대상인것이다.
즉 전자서명은 개인키 소유자만 하지만 전자 서명 검증은 전자 서명을 만든 사람이 아닌 내용 검증을 위해 필요한 키이다.

전자 서명 검증은 기본적으로 원문이 함께 제공 되어야 하여서 기밀성 하고는 무관하고
단지 개인키를 가진 사람이 만들었다는 것을 증명하기 위한것이다.
그래서 검증을 위한 키는 공개 되어야 하고 서명을 검증을 하기 위해서 제공이 되어야 하는 키이다.

이름에서 알 수 있듯이 목적이 공개 되어야 하는 키의 값인 것이다. 그래서 공개키 이다.
공개키는 개인키와는 달리 별로도 암호화 저장을 하지 않는 이유이다.

인증서란?

사실 개인키와 공개키는 누구나 만들 수 있다.
그말은 누구나 전자 서명을 만들 수 있고 공개키를 가지고 검증을 할 수있다.
하지만 여기서 중요한게 해당 개인키와 공개키에 대한 소유자의 증명 문제가 필요하다.
그래서 이 개인키와 공개키의 소유자에 대한 증명을 하기 위해 만들어진게 인증서 이다.

이때 증명서를 발급 해주는 기관이 CA ( Certificate Authority ) 에서 인증서를 발급 하는 것이다.
즉 인증서는 공개키 값을 가지고 CA 의 개인키로 전자 서명을 해서 CA 에서 공개키에 대한 증명을 해준다는 증명서 이다.
즉 인증서에는 CA 의 전자서명이 있어서 CA 의 공개키로 인증서 검증을 통해 해당 인증서가 유효 한지를 판단 하는 것이다.

CA 의 주요 기능은 인증서를 만들기와 해당 인증서를 누구나 받을 수 있는 공개된 장소에 해당 인증서를 공개한다.
인증서는 공개키 값을 포함하여 누구나 가져 갈 수있기 때문에 인증서를 통해 공개키 값은 누구나 구할 수 있게 해준다.

마무리

PKI 시스템에서 전자 서명에 대한 검증에 대한 개념은 간단하지만 인증서에 대한 검증이 복잡한 기술이다.
인증서와 CA 그리고 최상위 인증기관 까지 검증 및 인증서가 유효한지 판단하는 경로 검증( Path Validation ) 같은 부분이 복잡하다.

복잡한 PKI 시스템의 이해를 위해서 일단은 기본 용어의 개념부터 이해가 필요해서
전자 서명에 사용되는 용어에 대해서 간단히 정리를 해보았다.