전자서명과 PKI

전자서명과 PKI

 

꼭 알아야 할 것

1. 전자서명의 개념 : 무결성, 인증, 부인방지

2. 전자서명의 제공기능 : 변경불가, 서명자 인증, 부인방지, 위조불가, 재사용불가

서명자 인증(송/개->송/공)

3. 전자서명 알고리즘 : RSA, ElGamal, ECDSA, DSS, Schnorr, KCDSA

4. 특수 전자서명 : 부인방지, 은닉서명, 다중서명

5. PKI 개념 : 중간자 공격 막는다. 기밀성 제공

6. PKI 구성요소 : CA, RA, VA, 디렉토리, X.509

 

1. 전자서명

* 개념 : 서명 알고리즘을 통해 송신자는 메시지에 송신자 개인키를 이용해 서명한다. 수신자는 그 메시지와 서명을 받고 송신자의 공개키를 이용해 검증한다.

* 특징 : 무결성(O), 인증(O), 부인방지(O), 기밀성(X)

* 주요 기능

- 위조불가 : 합법적인 서명자만이 전자서명을 생성할 수 있음.

- 서명자 인증 : 전자서명의 서명자를 누구든지 검증할 수 있음.

- 부인방지 : 서명행위 이후 서명한 사실을 부인할 수 없음.

- 변경 불가 : 서명한 문서의 내용을 변경할 수 없음.

- 재사용 불가 : 전자문서의 서명을 다른 전자문서의 서명으로 사용할 수 없음.

* 알고리즘

- RSA : RSA 암호방식 이용

- ElGamal : 이산대수 문제를 이용한 최초의 서명방식. 실제로 거의 사용X

- Schnorr : ElGamal에 기반을 두고 있지만, 서명의 크기는 작음.

- DSS : 서명과 검증에 소요되는 계산량을 획기적으로 줄인 방식. 이산대수 문제

- ECDSA : 짧은 처리 시간에 짧은 서명 생성이 가능함.

- KCDSA : 국내. ElGamal 전자서명을 개선한 방식. 이산대수문제

알고리즘	암호/복호	전자서명	키 교환
RSA	Yes	Yes	Yes
Diffie-Hellman	No	No	Yes
DSS	No	Yes	No
타원곡선	Yes	Yes	Yes

 

* 특수 전자서명

- 부인방지 : 서명을 검증할 때 반드시 서명자의 도움이 있어야 검증이 가능한 전자서명방식 

- 은닉서명 : 익명성 보장. 서명자가 서명문 내용을 알지 못하는 상태에서 서명하는 방식

- 다중서명 : 단순 서명을 반복. 동일한 전자문서에 여러사람이 서명하는 방식

* 전자투표 방식

구분	투표장치	선거관리정도	기술적쟁점정도	특징
PSEV 방식	전자투표기	상	하	투표소와 개표소를 공공망으로 연결. 네트워크에 대한 외부침입 가능성이 있지만 공공망 특성상 통제가 수월
키오스크 방식(Kiosk)	전자투표기	중	중	많은 사람이 모이는 공공장소에 투표가 설치, 투표소에 선거 관리자가 없고 기기에 전자 인증장치를 설치해 관리부분을 해결
REV 방식	모바일, 디지털TV, PC	하	상	기술적 위험이 높고 관리인 없이 자유롭게 투표하므로 비밀투표 침해 가능성이 있음.

 

2. PKI

* 개념

- 인증서의 발급, 사용 및 취소와 관련 서비스를 통하여 기밀성, 무결성, 접근제어, 인증, 부인방지의 보안서비스를 제공하며, 인증기관, 등록기관, 사용자, 신뢰당사자, 저장소 등의 요소로 구성. 공개키 알고리즘

- 제공 서비스 : 기밀성, 접근제어, 무결성, 인증, 부인방지

* 구성요소

1) CA(인증기관)

- 인증기관은 인증서를 발급해주는 역할을 하며, 인증서는 최종 객체를 인증하는 전자 증명서 역할을 수행하여 사용자가 합법적인 사용자임을 입증한다.

- 정책승인기관(PPA) : PKI 전반에 사용되는 정책과 절차를 생성하고 PKI 구축의 루트 CA역할을 수행한다.

- 정책인증기관(PCA) : PAA 아래 계층으로 자신의 도메인 내의 사용자와 인증기관이 따라야 할 정책을 수립하고 인증기관의 공개키를 인증하고 인증서, 인증서 폐지 목록 등을 관리한다.

- 인증기관(CA) : 공개키 인증서를 발급하고 또 필요에 따라 취소한다. 공개키를 사용자에게 전달. 인증서/인증서 취소목록 등을 보관한다.

2) VA(검증기관)

- 인증서와 관련된 거래의 유효성을 확인하고, 여기에 사용되는 인증서의 유효성 여부와 인증서가 적절한 개체로 발급되었다는 것을 신뢰 당사자에게 확인시켜 준다.

3) RA(등록기관)

- 인증기관과 멀리 떨어져 있는 사용자들을 위해 인증기관과 사용자 사이에 등록기관을 두어 인증기관 대신 사용자들의 인증서 신청 시 그들의 신분과 소속을 확인하는 기능을 수행한다. 사용자들의 신분을 확인한 수, 등록기관은 인증서 요청에 서명하여 인증기관에 제출한다. 인증기관은 등록기관의 서명을 확인하여 사용자의 인증서를 발행한 후 등록기관에게 되돌리거나 사용자에게 직접 전달한다.

4) 저장소(디렉토리)

-인증서와 사용자 관련 정보, 상호 인증서 쌍 및 인증서 취소 목록 등을 저장 및 검색하는 장소로 응용에 따라 이를 위한 서버를 설치하거나 인증기관에서 관리한다. 디렉터리를 관리하는 서버는 LDAP를 이용하여 X.500 디렉터리 서비스를 제공한다.

5) 사용자

- PKI내의 사용자는 사람뿐만 아니라 사람이 이용하는 시스템 모두를 의미함.