PKI : Public Key Infrastructure

PKI : Public Key Infrastructure

reference :
제 2장 공개키 기반 구조. 한국기술교육대학교
Public key infrastructure. Wikipedia
MAURITIAN PUBLIC KEY INFRASTRUCTURE, ICTA

공개키 기반구조(PKI: public Key Infrastructure) 정의
- 공개키 암호 알고리즘을 안전하게 사용하기위해 필요한 서비스를 제공하는 기반구조.

PKI의 필요성
- 통신 대상에 대한 인증과 무결성, 기밀성 등의 기타 보안 요소를 갖춘 통신을 이루기 위한 범용적 인프라의 요구

PKI의 구성요소
1. 정책승인기관(PAA, Policy Approving Authority): 공인인증 서비스 전반의 정책과 절차를 수립. 보통 최상위 CA가 PAA의 역할을 맞음.
2. 정책인증기관(PCA. Policy Certification Authority): PAA에서 승인된 전반적 정책을 확장 또는 세부 정책 생성
3. 인증기관(CA: Certification Authority): 인증서의 발급, 폐기, 정지, 갱신, 재발급을 담당하는 기관
4. 등록기관(RA: Registration Authority): 가입자의 등록과 초기 인증(신원확인)을 담당
5. 인증서 디렉토리(certificate directory, certificate repository), VA(Validation Authority): CA의 인증서, 가입자의 인증서,CRL(Certification Revocation List; 인증서 폐지 목록)의 검색가능 공개 보관소. X.500 국제 표준보다는 일반적으로 LDAP을 이용하여 구현됨.
6. OCSP(Online Certification Status Protocol) 서버 : 인증서의 폐지 여부 확인 서비스를 제공
7. 키 복구 서버(key recovery server), 타임 서버(time server)

PKI의 구성도

1. 사용자는 RA에 인증서 요청
2. RA는 사용자의 신원을 확인
3. RA는 CA에 사용자의 인증서 요청
4. CA는 인증서 생성
5. CA는 인증서 디렉토리(Repository) 또는 VA에 인증서와 CRL을 발행
6. 사용자와 통신할 타 기관은 인증서 디렉토리 또는 VA를 통해 사용자의 신원 확인(제공된 인증서를 통해)

온라인 질의 메커니즘
- 온라인으로 특정 인증서의 폐지 여부를 문의하는 메커니즘.

OCSP(Online Certificate Status Protocol)
- 특정 인증서의 폐지 여부를 질의하기 위한 프로토콜. IETF PKIX Working Group에서 주로 연구하며, 1999년에 RFC 2560으로 표준화됨. OCSP 요청에 대해 OCSP 서버는 'good; 유효', 'revoked: 유효하지 않음', 'unknown: 모름'의 세 가지 방법으로 응답.

SCVP(Simple Certificate Validation Protocol)
- OCSP와 달리 인증서 폐지 정보만 알려주는 것이 아니라 인증서 검증 자체를 대신하여 주는 프로토콜. 이 역시 IETF Working Group이 제안.

신뢰모델
- 인증서 검증 단계에서 다수의 CA가 엮이므로, CA간 신뢰 모델이 전체 PKI 동작에 중요한 역할을 함.

1. 계층구조 모델 : 모든 인증기관이 단일 계층구조를 형성. 부모 인증 기관이 자식 인증 기관의 인증서를 발급하고 단말 인증기관이 일반 가입자의 인증서를 발급. 루트 인증 기관른 자신을 인증할 기관이 없으므로 자체 서명 인증서를 사용.
2. 네트워크 모델 : 모든 CA가 단말 인증 기관 역할을 맡고 서로가 상호 인증으로 연결되어있는 모델
3. 혼합 모델 : 계층구조 모델과 네트워크 모델의 혼합형. 루트 인증기관 간에 상호 인증으로 연결됨. 국내에서 사용되는 모델인 동시에 가장 많이 사용되는 모델.
4. 기타 모델 : 푸시(push), 풀(pull), 독점, 소수 독점 모델 등.

국내의 PKI 모델 구조도