Chapter 7 - Security Protocol (Certificate Authority)

X.509 Certificate

디지털 인증서의 한 형식으로, 공개 키 기반 구조(Public Key Infrastructure, PKI)에서 사용됨.

Certificate Authority(CA)에 의해 발급되며, 사용자나 시스템의 신원을 확인하고 해당 주체의 공개 키를 안전하게 전달하는 데 사용된다.

 

상황

Public Key 암호화 알고리즘을 사용하여 통신할 때, 중간에 공격자가 송신자인 척하는 상황이 발생할 수 있다.

(Man-In-The-Middle Attack)

 

이런 상황에 대비하기 위해 인증서가 필요하다.

• Public Key를 가진 사용자를 식별할 수 있는 수단
• CA가 해당 Public Key를 서명하여 인증한다.

Self-signed Certificate

서버 관점에서 새로운 public/private key pair를 생성할 때, public key가 self-signed certificate로 감싸진다.

 

 

Certificate Authority

CA에 접근한 누구든간에 인증서를 얻을 수 있다.

오직 CA만이 인증서를 변경할 수 있다.

 

그런데, CA에서 발급해준 인증서가 유효한지 알 수 있는 방법이 있나? 고민이 될 것이다.

 

그래서 신뢰할만한 공인인증기관 (Root CA)에서 각 CA에 인증서를 발급해준다.

 

CA Hierarchy (CA Chain)

 

 

브라우저들은 Root CA의 인증서를 가지고 있다.

 

만약 특정 CA의 인증서가 효력을 잃는다면 (개인키 유출 등), 하위의 모든 CA의 인증서를 revoke(취소)한 뒤, 재발급 해야한다.
(CA Chain)

Public Key Infrastructure

디지털 인증서와 공개 키 암호화 기술을 사용하여 디지털 신원 및 보안을 관리하는 시스템.

• 회수된 인증서를 보관하는 repository 보유
• revoke certificate 기능 보유
• CA Chain 평가 기능 보유

Certification Revocation

PIK는 revoked certificates을 모아두는데, 이를 CRL (Certificate Revocation List)라고 한다.

 

각 인증서는 유효기간을 갖고 있는데, 이 기간이 만료되기 전에 revoke될 필요가 있다면 PKI는 CRL에서 인증서가 Revoke 되어 있는지 확인해야 한다.

위 프로토콜을 OCSP(Online-Certificate-Status-Protocol)이라고 한다.