Warehouse of PKI

우리나라에서 사용하는 공동 인증서에서 사용하는 본인 확인 식별 번호인 VID 인증서 규격이 있다. 이 규격은 현재 공동 인증서에서 사용된다. 대한민국 국민이라면 누구나 가지고 있는 주민번호가 있는데 이 정보와의 연결 값이 VID 이다 이 값은 인증서에 있는 시리얼 번호랑 다른 것이다. 실제로 VID 값은 주민번호를 바로 사용하는 것이 아니라 해당 주민번호를 변형하여 변형 된 값으로 들어가 있다. 이 값은 실제 주민번호를 알면 VID 정보와 맞는지 확인만 가능한 정보이다. 인증서는 누구에게나 공개된 정보라 VID 때문에 주민 번호가 노출 될 염려는 없다. 이 값은 인증서 프로파일 중 주체 대체 이름( Subject Alternative Name ) 에서 other Name 형식을 사용하여 기록 된다. 아래..

X.509 인증서의 기본 개념은 공개키를 CA가 보증 하는 증명서 역활이다. 인증서는 이 공개키 값과 이를 증명하기 위한 전자 서명 값이 들어간다. 즉 인증서의 핵심 기능이 이것이다. 주체자 공개키 정보 공개키 정보는 해당 인증서에서 사용하는 공개키 정보인데 두가지 값이 들어 있다 algorithm : 해당 공개키가 사용하는 RSA ECC DSA 같은 알고리즘이다. subjectPublicKey : 실제 공개키 값이 들어 있다. 보통 subjectPublicKey 값의 SHA1 해쉬가 KeyIdentifier 값으로 사용 된다. RSA 공개키 값에 대한 예제 화면이다 위 예제에서는 RSA 공개키 알고리즘을 사용하는 공개키 값이다. 공개키 정보 ASN.1 SubjectPublicKeyInfo ::= SEQ..

인증서를 사용 하다 보면 인증서가 만료 되지 전에 폐기를 해야 하는 경우가 있다. 인증서 사용자는 사용 인증서를 CA에게 요청을 하고 CA는 인증서를 폐기 후 CRL에 게시를 한다. CRL 파일에는 폐기된 인증서 정보(Revoked Certificates ) 가 들어 있는데 이 정보가 인증서의 폐기 되었다는 것을 표시 하는 정보이다. 폐기 정보에는 기본적으로 인증서의 일련 번호와 폐지 날짜가 있다. 그리고 CRL 엔트리 확장 필드를 사용해 추가적인 정보가 제공된다. 일련 번호는 해당 인증서의 일련번호 값이다. 폐지 날짜는 인증서를 폐기한 시간 값이다. 그리고 CRL 엔트리 확장 필드를 사용하는데 일반적으로 CRL 엔트리 확장 필드의 Reason Code 값을 사용한다. 아래 그림이 예제 화면이다. 폐기 ..

CRL 발급 분배 점은 ( Issuing Distribution Point ) 는 CRL Version2 에서 정의 한 확장 필드이다. 이 발급 분배 점 정보는 CRL 파일을 얻을 수 있는 위치 정보를 나타낸다. 즉 해당 CRL 이 얻어 올 수 있는 위치 정보를 나타낸다. 아래 그림은 CRL 발급 분배점의 예시 화면이다. 예시 화면은 CRL 파일을 상세 보기한 화면이구 해당 CRL 파일은 URI=ldap://ldap.signgate.com:389/ou=dp7p27928,ou=crldp,ou=AccreditedCA,o=KICA,c=KR 위치에서 얻을 수 있다는 것이다. CRL 발급 분배 점 ASN.1 id-ce-issuingDistributionPoint OBJECT IDENTIFIER ::= { id-c..

인증서 폐기 목록에서 확장 필드인 CRL Number 가 있다. 이것은 CRL을 식별할 수 있는 일련 번호를 말한다. 일련 번호는 인증기관이 발급하는 순차적으로 증가하는 양의 정수 번호이다. CRL Number 는 20바이트를 넘을 수 없다. 아래 그림이 CRL Number 예시 화면이다. CRL Number ASN.1 id-ce-cRLNumber OBJECT IDENTIFIER ::= { id-ce 20 } CRLNumber ::= INTEGER (0..MAX) 마무리 CRL Number 는 한마디로 CA가 CRL 발급시 마다 순차적으로 증가하는 구별값이다. 즉 CRL 구별 값으로 사용하면 된다.

X.509 에서는 기본 필드인 이번 업데이트 (This Update) 와 다음 업데이트 (Next Update) 정보가 있다. 해당 필드는 현재 CRL 이 발급된 시간을 나타내는 것이 이번 업데이트(ThisUpdate) 이구 다음에 발급 제한 시간이 다음 업데이트(NextUpdate) 정보이다. 현재 CertMan에서는 버전에 따라 ThisUpdate 를 LastUpdate로 표현 되기도 했다. 추후 이 표현은 ThisUpdate로 고정 변경 예정이다. 즉 다음 CRL 발급은 다음 업데이트 시간 전에 이루어 져야 한다. 아래 그림은 이번 업데이트와 다음 업데이트 정보 예시 화면이다. 참고로 다음 업데이트는 옵션 정보라 없을 수 있다. 마지막 업데이트와 다음 업데이트 ASN.1 thisUpdate Time..

X.509 인증서에는 Version 1 에서 정의 한 기본 필드인 인증서에 발급하는 유일한 양의 정수 값이다. 모든 인증서의 일련 번호는 20바이트를 넘을 수 없다. 이 값은 CRL 발급시 인증서의 폐기 때 사용하는 참조 정보로 사용 된다. 아래 그림은 일련 번호 예제이다. 일련 번호 ASN.1 CertificateSerialNumber ::= INTEGER마무리 X509 인증서의 일련 번호는 CA 발급자가 고유한 번호로 발급하게 된다. 그러므로 CA의 Issuer 의 DN 과 일련번호의 값은 그 인증서의 고유한 식별자가 된다. 즉 CA가 발급하는 인증서는 고유한 일련 번호를 사용하기 때문이다.

명칭 제한 ( Name Constraints ) 확장 필드는 소유자 또는 소유자의 대체 명칭 확장 필드에서 사용 되는 명칭에 대해 제한 하기 위해 사용 되는 확장 필드이다. 이 필드는 CA 인증서에서만 사용되는 필드이다 만약 인증서에서 해당 타입의 이름이 없다면 그 인증서는 허용되는 것이다. 제한은 허용되는 하위 이름( permittedSubtrees)과 제한 되는 하위 이름( excludedSubtrees )의 두가지 이다. 그리고 excludedSubtrees 에 맞는 값이 존재 한다면 permittedSubtrees 의 값에 상관 없이 유효 하지 않게 된다. x400Address, ediPartName 또는 registeredID 형식에는 적용 되지 않는다. 이 명칭 제한을 사용하는 CA는 이름 제..

인증서 정책 매핑 ( Policy Mappings ) 확장 필드는 인증서비스 영역간의 상호 인증 시 상대방 인증서비스의 인증서 정책을 받아들일 때 사용 한다. 이 필드는 상호 인증을 위해 인증기관(CA) 인증서에서 선택적으로 사용 가능하다. 정책 매핑 ASN.1 id-ce-policyMappings OBJECT IDENTIFIER ::= { id-ce 33 } PolicyMappings ::= SEQUENCE SIZE (1..MAX) OF SEQUENCE { issuerDomainPolicy CertPolicyId, subjectDomainPolicy CertPolicyId } 정책 매핑 특성 이 확장 필드는 하나 이상의 OID 값의 쌍으로 이루어진 목록이다. 즉 항상 issuerDomainPolicy ..

정책 제한은 CA 인증서에서 사용 되어지는 확장 필드이다. 정책 제한은 인증서 경로 검증을 위해 두가지 제한을 위해 사용 된다. 첫째는 정책 매핑 금지를 요구 하기 둘째는 각각의 인증서 경로가 허용 가능한 정책 식별자를 포함하기 이렇게 두가지 제한을 한다. 아래 그림은 정책 제한의 예제 그림이다 정책 제한 ASN.1 id-ce-policyConstraints OBJECT IDENTIFIER ::= { id-ce 36 } PolicyConstraints ::= SEQUENCE { requireExplicitPolicy [0] SkipCerts OPTIONAL, inhibitPolicyMapping [1] SkipCerts OPTIONAL } SkipCerts ::= INTEGER (0..MAX) 정책 제한..