[Security] PKI (Public Key Infrastructure)

📌 본 게시물은 자기 학습 목적으로 작성되어 일부 내용이 부정확하거나 최신 정보와는 다를 수 있습니다.
💬 잘못된 부분이나 보완할 점이 있다면 댓글로 공유하여 주시면 감사하겠습니다!

1️⃣ PKI (Public Key Infrastructure)

• 은행, 증권, 카드, 보험 등의 금융 및 보안이 중요한 시스템에서 사용하는 공인인증의 구조
• 공인인증서를 발급하고 관리하는 체계로, X.509 표준 및 ITU-T 표준을 기반으로 구축됨

📌 PKI의 주요 목적
1. 인증(Authentication) : 사용자에 대한 확인 및 검증
2. 기밀성(Confidentiality) : 송수신 정보에 대한 암호화
3. 무결성(Integrity) : 송시신 정보의 위변조 방지
4. 부인봉쇄(Non-Repudiation) : 송수신 사실에 대한 부인 방지
5. 접근 제어(Access Control) : 허가된 수신자만 정보에 접근 가능
6. 키 관리(Key Management) : 공개키 발급, 관리, 폐기

📌 PKI의 특징
✅ 공개키 암호화를 기반으로 사요앚 인증 및 정보보호 수행
✅ 신뢰할 수 있는 공인 인증기관(CA)에 의해 인증서 발급 및 관리
✅ 전자 서명을 통해 문서 및 데이터의 무결성과 신뢰성 보장
✅ CRL 및 OCSP(Online Certificate Status Protocol)을 이용하여 인증서의 유효성 확인
✅ 금융, 전자상거래, 전자정부, 기업 보안 시스템 등 다양한 분야에서 사용

---

2️⃣ PKI의 주요 구성 요소

1. 인증기관(CA, Certification Authority)

• 인증 정책 수립, 인증서 및 인증서 폐기 목록 관리 (생성, 공개, 취소, 재발급)
• 공개키 인증서를 자신의 개인키로 서명
• 공개키와 개인키 상의 소유자 신분 증명
• 다른 CA와 상호 인증
• CRL (Certificate Revocation List) 등록 및 인증 절차 작성

2. 등록기관((RA, Registration Authority)

• 사용자 신원 확인, 인증서 요구 승인, CA에 인증서 발급요청
• 디지털 인증서 신청자의 신원과 인증을 책임짐
• PKI를 이용하는 애플리케이션과 CA 간 인터페이스 제공
• 대표적 RA : 은행, 증권사

3. 디렉터리 (Directory)

• 인증서, 암호키에 대한 저장, 관리, 검색 등의 기능
• PKI 관련 정보 공개
• 디렉터리 표준 형식: X.500 (DAP, Directory Access Protocol)
• 간략화된 LDAP (Lightweight Directory Access Protocol) 사용 가능

4. CRL (Certificate Revocation List)

• 인증서 폐기 목록
• 인증서의 지속적인 유효성을 점검하는 도구
• 폐기 사유 : 디지털 서명의 개인키 노출, 인증서가 필요없는 경우, 개인키 분실, 인증서 효력 정지 등
• OCSP (Online Certificate Status Protocol) : 인증서 상태를 실시간으로 조회하거나 CRL 검색 프로토콜

5. CPS (Certification Practice Statement)

• 인증서 실무 운영 문서
• PKI를 구현하기 위한 절차를 상세히 설명한 문서
• CA의 운영을 통제하는 상세한 관리 규정 포함
• 인증 정책, 인증 절차, 비밀키 관리 절차 포함
• 모든 사용자에게 반드시 공개 (웹사이트 등에 게시)

6. X.509

• X.500 디렉터리 서비스에서 서로 간의 인증을 위해 개발된 표준
• CA에서 발행하는 인증서를 기반으로 한, 공개키 인증서 표준
• 공개키 인증서의 포맷 표준 (발행자, 소유자, 공개키, 유효기간, 교유번호, 알고리즘 포함)
• 사용자의 신원과 키 정보를 서로 결합하는 역할 수행

7. 사용자 : 인증서를 신청하고 인증서를 사용하는 주체

---

3️⃣ PKI 세부 내용 정리

📌 PKI 인증기관 구조

구성 요소	영문 명칭	설명
Root CA (최상위 인증기관)	Root Certification Authority	- 최상위 인증기관으로 전체 인증 체계를 관리 - 최상위 기관으로 다른 모든 하위 인증기관을 신뢰
PAA (정책 승인기관)	Policy Approving Authority	- 인증 정책을 승인하고 감독하는 기관 - 전반적인 인증 정책 관리
PCA (정책 인증기관)	Policy Certification Authority	- 정책을 기반으로 인증서를 발급하는 기관 - CA를 감독하며 인증서 발급 기준을 설정
CA (인증기관)	Certification Authority	- 사용자 및 시스템에 대한 인증서 발급 - X.509 인증서를 실제로 관리하는 역할

📌 인증기관 간의 상호인증을 위한 OCSP

• 인증기관 간의 상호 인증을 수행하는 실시간 프로토콜
• 은행에서 발급한 인증서를 증권회사에서 인증받기 위해 사용

📌 디렉터리 서비스

• 데이터를 입력, 조회, 삭제, 조회할 수 있는 서비스
• ITU-T 표준 X.500 및 IEIT 표준 LDAP을 기반으로 운영
• DAP(Directory Access Protocol)을 활용하여 작업 수행

📌 공개키 인증서 (X.509 인증서)

• 1988년 ITU(국제전기통신연합)에서 표준으로 개발
• 1993년 두 번째 버전에서 2개의 인식자(Identifiers) 추가
• 1997년 세 번째 버전에서 확장 영역 추가, 인터넷 사용 확장

✅ X.509 인증서에 포함된 정보
: 인증서 버전, 인증서 고유버전, 발급자의 서명, 발급자 정보, 인증서 유효기간, 주체 정보, 공개키, 주체키

---

📝 참고

https://m.blog.naver.com/bi1189/221517211801
https://solution.crosscert.com/glca/ccocps/