- 출처 : 네이버 지식인 -
* PKI(Public Key Infrastructure)
공개키(Public Key) 구조는 두개의 키값을 가지는 구조입니다.
어떤 암호화 알고리즘 A(:실제로는 RSA알고리즘이란것입니다.)는 데이터 B와 키값 C를 입력받아서 암호화된 데이터 B_C를 만들어내는 알고리즘이 있습니다.
A(B,C) = B_C
이때, 키값 C에 대해서 두개의 키가 존재합니다. 공개키 C_pub과 개인키 C_pri 두 값을 서로 유일하게 존재하는 값으로 인증기관에서 두값이 누구에게 배정되었는지, 두값이 서로 정확히 맞는 한쌍인지를 관리하게 됩니다. 이 유일한 쌍의 두 키값에 대해서 위의 알고리즘 A를 적용하면 다음과 같은 성질을 갖습니다.
A(B, C_pub) = B_C_pub 이고, A(B, C_pri) = B_C_pri라고 할때,
A(B_C_pub, C_pri) = A(B_C_pri, C_pub) = B 인 성질을 갖습니다.
즉, 개인키로 암호화한 것은 공개키로 풀리고, 공개키로 암호화한 것은 개인키로 풀린다는 겁니다.
이런 성격을 이용해서, 일단 나의 공개키는 C_pub이다라는 것을 알린 후에 내가 보내는 모든 데이터를 C_pri로 암호화하여 보내면, 받는 사람들은 공개키 C_pub으로 풀어보고 풀리면, 내가 보낸것이구나를 알게 되고 거꾸로 사람들이 나에게 보내는 모든 데이터를 C_pub으로 암호화하여 보내면, 나는 C_pri로 풀어보아서 풀리면, 나에게 보낸 것이 맞구나라는 것을 알게 됩니다. 그리고 발신자의 전자서명을 그 사람의 개인키로 암호화하여 함께 보내게 되면, 착신자는 발신자의 공개키로 풀어봐서 발신자의 신원도 확인할 수 있게 됩니다.
이러한 상호 인증 시스템을 공개키 구조라고 합니다.
- PKI에 관한 또 다른 글.
출처 : http://www.kanistyle.com/101 -
PKI(Public Key Infrastructure) : 공개키 암호화.
공개 키 암호화는 전자 상거래, 인트라넷, 엑스트라넷,웹사용응용프로그램 등에서 중요한 기술이다. 공개 키 암호화와 관련된 두 가지 기본 작업은 암호화와 인증이다. Windows 2000은 스마트 카드 로그온, EFS(Encrypting File System), IPSec(Internet Protocol Security)등의영역에서공개키암호화를 사용한다.
* 엑스트라 넷 : 인트라넷의 확장개념.
암호화
1. 대칭키 암호화 (Symetric key Encryption)
Private key - Private key
개인키 - 개인키
- 암호를 걸때와 풀때 사용하는 암호가 같다
* 로컬 시스템에서는 괜찮지만, 통신상에서 사용하기 부적합하다.
2. 비대칭키 암호화(Asymetric key Encryption)
Public key - Private key
공개키 - 개인키
- 암호를 걸때 사용하는 암호와 풀때 사용하는 암호가 다르다
* 해싱함수 사용.
비대칭 암호화를 사용하기위해서는 인증기관이 필요하다.
통신 순서.
1) Host : ────인증서 신청────▷인증기관
2) 인증기관 : 인증서 생성 공개키 - 생성 보관
개인키 - 생성 전송후 삭제
3) 인증기관 : ────인증서 전송(공개키, 개인키)────▷ Host
4) Host : ─────거래요청(공개키)────▷ 서버
5) 서버 : ─────인증확인 요청(공개키)─────▷인증기관
6) 인증기관 : ─────인증확인─────▷서버
7) 서버 : ─────거래 승인─────▷Host
Host ◁─────암호화─────▷ 서버
여기서 사용되는 포로토 콜을 Keberos라고 한다.(3자 통신)
디지털서명 : 공개 키 인증은 공개 키 암호화를 사용하여 전자 메일, 전자 상거래 및 기타 전자 트랜잭션으로 전자 데이터를 보낸 사람을 인증 및 확인한다. 공개키 암호화와 마찬가지로 공개 키 인증은키 쌍을 사용한다. 그러나 보낸 사람의 개인 키를 사용하여 메시지를 암호 해독하는 대신 보낸 사람의 공개키를사용하여메시지를 보낸 사람을 인증 및 확인한다.디지털서명은개인키와 공개키의역할을바꾼다.
* 사용자가 누구인지 확인하는 기능.
CA(Certification Authority) : 인증서를 발급하는 기관
공인인증기관 외부 CA
사설, 내부 CA
루트 CA
루트 CA는 루트 기관이라고도 하며 조직의 PKI에서 가장 신뢰할 수 있는 CA 종류이다. 일반적으로 실제 보안과 루트 CA의인증서발급 정책은모두하위 CA의보안및정책보다더엄격하다. 루트 CA가 손상되거나 인증되지 않은 엔티티에 인증서를 발급하면 조직 내의 모든 인증서 기반 보안이공격받기쉬워진다. 루트 CA는보안전자메일을보내기위해 최종 사용자에게 인증서를 발급하는 등의 작업에도 사용될 수 있지만 대부분의조직에서는하위 CA라는 다른CA에 인증서를 발급하는 데만 사용된다.
하위 CA
하위 CA는 조직 내의 다른 CA에 의해 인증된 CA이다. 일반적으로 하위 CA는보안 전자 메일, 웹 기반 인증, 스마트 카드 인증 등 특별한 사용을목적으로인증서를발급한다. 하위 CA도 다른하위 CA에 인증서를 발급할수있다.