공개 키와 키는 암호학에서 어떻게 연관되어 있습니까?

공개 키 인프라 PKI

I. 공개 키 인프라 개요

기업 업무의 성공은 기업이 안전하고 신뢰할 수 있는 네트워크 시스템을 보유하고 있는지 여부에 크게 좌우된다. 현재 대부분의 기업의 IT 관리자는 기업 네트워크 시스템을 위한 일종의 암호화 및 인증 체계를 채택하고 있습니다. 많은 기업의 네트워크 관리자는 웹을 사용하여 기업에 안전한 인터넷 비즈니스, VPN (virtual private network) 및 원격 인증 서비스를 제공하여 원격 직원이 기업 네트워크에 액세스할 수 있도록 하고 있습니다. 그러나 현재 대부분의 보안 기술 (예: 사용자 이름과 암호, 일회성 암호 및 양방향 인증) 은 기업의 보안 요구 사항에 적합하지 않습니다. 이러한 기존 기술에는 일반적으로 서로 다른 유지 관리 및 관리 조치가 필요합니다.

오늘날 점점 더 많은 기업들이 전 세계 지사와 원격 직원을 연결하기 위해 네트워크를 사용해야 하므로 기업 자원을 보호하기 위해 가장 효과적인 보안 조치를 취해야 합니다. 그러나, 안전 예방 조치의 강화는 또한 더 많은 추가적인 관리 업무로 이어졌다. 다행스럽게도 PKI (공개 키 인프라) 는 기업이 이 문제를 해결하는 데 도움이 되며 기업이 안전하고 신뢰할 수 있는 네트워크 관리 시스템을 구축하는 데 도움이 됩니다. PKI 는 관리가 용이한 중앙 집중식 네트워크 보안 솔루션입니다. 데이터 암호화, 디지털 서명, 부인 방지, 인증, 키 관리, 상호 인증 등 다양한 형태의 디지털 인증을 지원합니다. PKI 는 인증 기반 프레임워크를 통해 모든 데이터 암호화 및 디지털 서명을 처리할 수 있습니다. PKI 표준과 프로토콜 개발은 이미 15 년의 역사를 가지고 있으며, 현재 PKI 는 기업 네트워크에 효과적인 보안을 제공할 수 있습니다.

운영 메커니즘에서 15 년 동안 거의 50 개의 PKI 표준을 통일했으며, 공급업체는 백엔드 데이터베이스의 상호 운용성을 보다 잘 해결하기 위해 끊임없이 노력하고 있습니다. PKI 는 데이터 암호화 및 디지털 인증 생성이라는 두 가지 주요 기능을 수행하는 여러 구성 요소로 구성됩니다. 서버 (백엔드) 제품은 이 시스템의 핵심이다. 이들 데이터베이스는 디지털 인증, 공개 키 및 개인 키 (각각 데이터 암호화 및 암호 해독에 사용됨) 를 관리합니다. CA(Certificate Authority) 데이터베이스는 사용자의 공개 키, 인증서 유효 기간 및 데이터 암호화 또는 디지털 서명 인증과 같은 인증 기능을 포함한 X.509 디지털 인증 정보를 게시, 취소 및 수정할 책임이 있습니다. 데이터 서명 변조를 방지하기 위해 CA 는 각 디지털 서명을 요청 클라이언트에 보내기 전에 인증해야 합니다. 디지털 인증이 만들어지면 트리 구조인 X.500 디렉토리에 자동으로 저장됩니다. LDAP (lightweight directory access protocol) 프로토콜은 저장된 공개 키 인증을 제출하는 요청에 응답합니다. CA 는 각 사용자 또는 서버에 대해 두 쌍의 개별 공개 키와 개인 키를 생성합니다. 한 쌍은 정보를 암호화하고 해독하는 데 사용되고 다른 한 쌍은 클라이언트 응용 프로그램에서 문서 또는 정보 전송에서 디지털 서명을 만드는 데 사용됩니다.

대부분의 PKI 는 발급되거나 확장된 인증서를 저장하는 프로세스인 인증서 배포를 지원합니다. 이 절차에서는 X.500 디렉토리가 이 저장 프로시저를 자동으로 완료할 수 있는 공용 쿼리 메커니즘을 사용합니다. 기업이 PKI 를 보편적으로 받아들이는 데 큰 걸림돌은 서로 다른 ca 간의 교차 인증이다. 각각 서로 다른 공급업체의 CA 를 사용하는 두 회사가 있는데, 지금은 서로 한동안 호스팅하기를 원합니다. 백업 데이터베이스가 상호 인증을 지원하는 경우 두 기업은 서로 ca 를 호스팅할 수 있으므로 호스팅하는 모든 사용자는 두 기업의 ca 에서 호스팅할 수 있습니다.

둘째, PKI 시스템의 기본 구성 요소

PKI 는 암호화 및 디지털 서명과 같은 암호 서비스를 사용하는 모든 네트워크 응용 프로그램에 필요한 키 및 인증서 관리를 투명하게 제공하는 표준 준수 키 관리 플랫폼입니다. PKI 에는 CA, 인증서 저장소, 키 백업 복구 시스템, 인증서 만료 처리 시스템, 클라이언트 인증서 처리 시스템 등의 기본 구성 요소가 있어야 하며 PKI 구축도 이 다섯 가지 주요 시스템을 중심으로 전개됩니다.

* 인증 기관

CA 는 인증서의 발급 기관이며 PKI 의 핵심입니다. 암호 서비스 시스템 구축의 핵심 내용은 키 관리 방법을 잘 알고 있습니다. 공개 키 시스템은 한 쌍의 키, 즉 개인 키와 공개 키를 포함합니다. 개인키는 소지자가 비밀리에 소지하고 있으며 인터넷으로 전송할 필요가 없고 공개키는 공개돼 인터넷으로 전송해야 한다. 따라서 공개 키 시스템의 키 관리는 주로 공개 키 관리 문제입니다. 현재 비교적 좋은 해결책은 인증서 메커니즘을 도입하는 것이다.

인증서는 공개 키 시스템의 키 관리 매체입니다. 네트워크 컴퓨팅 환경의 ID 와 유사한 권위 있는 전자 문서로서 사람, 서버 등과 같은 주체의 신원을 증명하는 데 사용됩니다. ) 및 공개 키의 합법성. 공개 키 시스템을 사용하는 네트워크 환경에서는 공개 키 사용자에게 공개 키의 실제 합법성을 증명해야 합니다. 따라서 공개 키 시스템 환경에서는 모든 주체의 공개 키를 공증하여 주체의 ID 와 공개 키와의 일치 관계를 증명하는 신뢰할 수 있는 기관이 있어야 합니다. CA 는 다음과 같이 요약할 수 있는 기관입니다.

1. 인증서 요청자의 신원을 확인하고 식별합니다.

2. CA 가 인증서에 서명하는 데 사용하는 비대칭 키의 품질을 확인합니다.

3. 전체 비자 과정의 안전과 서명 개인 키의 안전을 보장한다.

4. 인증서 정보 관리 (공개 키 인증서 일련 번호, CA id 등 포함). );

인증서의 유효 기간을 확인하고 확인하십시오.

6. 인증서 주체 식별의 고유성을 보장하고 중복 이름을 방지합니다.

유효하지 않은 인증서 양식을 게시하고 유지 관리합니다.

8. 전체 인증서 발급 프로세스를 기록합니다.

9. 지원자에게 통지를 발송합니다.

그중에서 가장 중요한 것은 CA 자체의 키 쌍을 관리하는 것으로, 다른 사람이 인증서를 위조하는 것을 막기 위해 고도의 기밀성을 보장해야 한다는 것이다. CA 의 공개 키는 인터넷에 공개되므로 전체 네트워크 시스템의 무결성을 보장해야 합니다.

* 인증서 저장소

인증서 저장소 (Certificate repository) 는 사용자가 다른 사용자의 인증서와 공개 키를 얻을 수 있는 인터넷의 공용 저장소인 인터넷의 "흰색 페이지" 와 유사한 인증서의 중앙 저장 장소입니다.

인증서 저장소를 구축하는 가장 좋은 방법은 사용자 또는 관련 응용 프로그램이 LDAP 를 통해 인증서 저장소에 액세스할 수 있는 LDAP 프로토콜을 지원하는 디렉토리 시스템을 사용하는 것입니다. 이 시스템은 인증서 저장소의 무결성을 보장하고 인증서 위조 및 변조를 방지해야 합니다.

* 주요 백업 및 복구 시스템

사용자가 데이터 암호 해독에 사용되는 키를 분실하면 암호문 데이터를 암호 해독할 수 없어 데이터가 손실됩니다. 이를 방지하기 위해 PKI 는 암호 해독 키를 백업하고 복구하는 메커니즘을 제공해야 합니다. 키의 백업 및 복구는 CA 와 같은 신뢰할 수 있는 기관에서 수행해야 합니다. 키 백업 및 복구는 암호 해독 키에만 사용할 수 있으며 서명 개인 키는 백업할 수 없습니다.

* 인증서 만료 처리 시스템

인증서 실패 처리 시스템은 PKI 의 중요한 부분입니다. 일상생활의 각종 증명서와 마찬가지로, 인증서는 CA 서명의 유효기간 내에 효력을 상실해야 할 수도 있다. 예를 들어, A 회사의 직원 A 가 회사를 그만두고 회사를 떠나는 경우 인증서 A 의 수명 주기를 종료해야 합니다. 이를 위해 PKI 는 인증서 취소 메커니즘을 제공해야 합니다. 인증서를 취소하는 세 가지 정책이 있습니다.

1. 하나 이상의 과목에 대한 인증서를 무효화합니다.

키 쌍에서 발행 한 모든 인증서를 무효화합니다.

3. CA 에서 발급한 모든 인증서를 무효화합니다.

인증서 취소는 일반적으로 CRL 에 인증서를 나열하여 수행됩니다. 일반적으로 시스템에서 CA 는 적시에 업데이트되는 CRL 을 만들고 유지 관리하며, 사용자는 인증서를 확인할 때 인증서가 CRL 에 있는지 확인해야 합니다. CRL 은 일반적으로 디렉토리 시스템에 저장됩니다. 인증서 취소는 안전하고 검증 가능한 상황에서 이루어져야 하며 시스템은 CRL 무결성을 보장해야 합니다.

* PKI 애플리케이션 인터페이스 시스템

PKI 의 가치는 사용자가 암호화, 디지털 서명 등의 보안 서비스를 쉽게 사용할 수 있도록 하는 것입니다. 따라서 완벽한 PKI 는 다양한 어플리케이션이 안전하고 일관되며 신뢰할 수 있는 방식으로 PKI 와 상호 작용할 수 있도록 좋은 어플리케이션 인터페이스 시스템을 제공해야 하며, 설정된 네트워크 환경의 신뢰성을 보장하고 관리 및 유지 관리 비용을 절감할 수 있어야 합니다. 마지막으로 PKI 애플리케이션 인터페이스 시스템은 플랫폼 간 시스템이어야 합니다.

셋째, PKI 의 기능을 요약합니다. PKI 는 응용 프로그램에 다음과 같은 보안 지원을 제공해야 합니다.

* 인증서 및 CA, PKI 는 CA, 인증서 저장소, CRL 등 기본적인 인증서 관리 기능을 구현합니다.

* 키 백업 및 복구 인증서.

* 키 쌍의 자동 교체 인증서와 키는 일정한 수명을 가지고 있습니다. 사용자 개인 키가 유출되면 키 쌍을 변경해야 합니다. 또한 컴퓨터 속도가 향상됨에 따라 키 길이가 그에 따라 길어져야 합니다. 따라서 PKI 는 사용자 개입 없이 완전히 자동화된 키 대체와 새로운 배포 작업을 제공해야 합니다.

* 상호 검증

각 CA 는 특정 범위, 즉 CA 의 도메인만 포함할 수 있습니다. 예를 들어, 서로 다른 기업들은 종종 자체 ca 를 가지고 있으며, 발급된 인증서는 기업 내에서만 유효합니다. 서로 다른 CA 에 속한 사용자가 정보를 교환해야 하는 경우 상호 인증서 및 상호 인증을 도입해야 합니다. 이는 PKI 가 반드시 수행해야 하는 작업입니다.

* 암호화 키와 서명 키 분리

위에서 설명한 바와 같이 암호화 키와 서명 키의 키 관리 요구 사항은 모순적이므로 PKI 는 암호화 키와 서명 키의 별도 사용을 지원해야 합니다.

* 디지털 서명의 부인 방지 지원

모든 유형의 전자 상거래는 디지털 서명과 분리 할 수 없으므로 PKI 는 디지털 서명의 부인 방지 성을 지원해야하며 디지털 서명의 부인 방지 성은 서명 된 개인 키의 유일성과 기밀성에 달려 있습니다. 이를 위해 PKI 는 서명 키와 암호화 키를 별도로 사용해야 합니다.

* 주요 역사적 관리

암호화 키를 업데이트할 때마다 나중에 이전 키로 암호화된 데이터를 복구할 수 있도록 해당 암호 해독 키를 보관해야 합니다. 서명 키를 업데이트할 때마다 이전 서명 개인 키를 적절히 삭제하여 고유성이 손상되지 않도록 해야 합니다. 해당 이전 인증 공개 키는 향후 이전 서명의 검증을 위해 보관해야 합니다. 이러한 작업은 PKI 에 의해 자동으로 수행되어야합니다.

넷째, PKI 시스템 개발 전망

앞서 언급했듯이 PKI 는 비즈니스 성공에 매우 중요하며, 이를 통해 기업은 모든 보안 어플리케이션이 의존하는 인프라인 공공 보안 인프라를 보유할 수 있습니다. 기업의 많은 보안 이메일, 인터넷 비즈니스 어플리케이션, VPN 및 단일 서명 기능은 X.509 인증에 따라 달라집니다. PKI 는 데이터 암호화, 디지털 서명, 부정 방지, 디지털 무결성, 인증에 필요한 키 및 인증을 중앙 집중식으로 관리할 수 있습니다.

모든 기업은 PKI 의 구조적 관리 시나리오의 이점을 누릴 수 있습니다. 그러나 유감스럽게도, 지금까지 은행, 금융, 건강보험을 포함한 소수의 산업만이 이 시스템을 채택했다. Automotive Network Exchange (가장 큰 미국 자동차 제조업체로 구성) 와 같은 새로운 것을 시도하는 기업들은 이미 이 보안 기술의 혜택을 누리고 있습니다.

기업의 비즈니스가 웹에 점점 더 의존하게 됨에 따라 점점 더 많은 기업들이 고객 정보의 안전한 처리를 위해 PKI 로 전환될 것으로 예상됩니다. 그러나, 지금까지 PKI 를 채택한 기업은 거의 없다. PKI 자체의 문제는 사용자의 광범위한 채택을 제한하는 주요 원인이다. 통일된 기준이 부족하여 많은 미국 기업들이 PKI 계획에서 제외되었다. 사실 PKI 제품 개발은 이미 상당히 성숙한 기준을 가지고 있다. 양호한 상호 운용성 부족도 PKI 를 광범위하게 채택하는 주요 장애물 중 하나이다. PKI 공급업체가 모든 표준을 지원하기 전에 많은 기업들이 클라이언트에서 특허 키트를 사용해야 하므로 PKI 의 신속한 보급도 크게 제한될 것입니다.

그러나 PKI 를 광범위하게 채택하는 주요 장애물은 여전히 설계 및 구현의 복잡성입니다. 그러나 PKI 공급업체가 점차 통일되고 합병됨에 따라 PKI 를 실현하는 과정이 점점 더 쉬워질 것으로 전망된다. 복잡한 구현이 당신을 뒷걸음치게 한다면, 기업의 시스템을 제 3 자 공급자에게 아웃소싱할 수 있습니다.

VeriSign, Thawte, GTE 와 같은 많은 공인 인증 프로그램 공급업체는 현재 아웃소싱 PKI 를 제공하고 있습니다. PKI 아웃소싱의 가장 큰 문제는 사용자가 기업을 서비스 업체에 위임해야 한다는 것입니다. 즉, 네트워크 보안에 대한 제어권을 포기해야 한다는 것입니다. 만약 네가 이렇게 하고 싶지 않다면, 너는 전용 PKI 를 만들 수 있다. 전용 솔루션은 일반적으로 Entrust, Baltimore Technologies 및 Xcert 의 다양한 서버 제품을 Microsoft, 넷스케이프 및 하이톤과 같은 주요 어플리케이션 공급업체의 제품과 결합해야 합니다. 민간 PKI 는 또한 기업이 인프라 준비 과정에서 대량의 재력과 물력을 투입할 것을 요구한다.

은행, 금융, 보험과 같은 고위험 산업의 경우 PKI 는 향후 10 년간의 장기 보안 요구에 매우 중요합니다. PKI 기술이 널리 보급됨에 따라 PKI 구현은 더욱 간단해지고 비용도 점차 낮아질 것입니다. PKI 는 최근에야 실행 가능한 보안 방안이 되었기 때문에 이 기술은 여전히 더욱 개선되어야 한다. 만약 당신의 기업이 이 기술의 성숙을 기다릴 수 없다면, 지금 채택해 주십시오. 왜냐하면 현재의 기능이 일반 기업의 대부분의 보안 요구를 충족시키기에 충분하기 때문입니다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 성공명언)