# PKI

# Ⅰ. 공개키 기반의 인프라 구조, PKI의 개요

## 가. PKI (Public Key Infrastructure)의 개요

  * 인증기관(CA)에서 공개키와 개인키를 포함하는 인증서(Certificate)를 발급 받아 네트워크상에서 안전하게 비밀통신을 가능케 하는 기반구조
  * 공신력있는 제3의 인증기관에 의한 거래 주체의 인증, 거래 정보의 무결성과 기밀성, 거래 부인방지의 기능을 담당하는 공개키 기반의 인프라

## 나. PKI의 중요성

  * 개인 키 관리 및 인증하기 위한 CA의 운영을 통하여 대칭키 암호방식의 운영상 한계 극복 가능함
  * 키의 분실이나 분배상의 어려움에 대한 해소 방안임
  * 웹 상의 비즈니스나 안전한 거래를 보증하기 위한 대안으로 등장함

# Ⅱ. PKI의 구성

## 가. PKI의 구성도
  그림 삽입

## 나. PKI의 구성요소

^  구분  ^  내용  ^
| `인증기관(CA)` | - Certificate Authority \\ - 객체로서 인증서 등록, 발급, 조회 시 인증서의 정당성에 대한 `관리를 총괄` |
| 디렉토리 | - 인증서 및 인증서 취소 목록을 저장하고 사용자에게 서비스하는 역할 \\ - 주로 [[LDAP]]을 이용하여 디렉토리 서비스를 제공 \\ - 인증서는 서명 검증의 응용을 위해 디렉토리에 저장됨 |
| `등록대행기관(RA)` | - Registration Authority \\ - 인증서 등록 및 사용자 신원확인을 대행하는 기관 |
| 사용자 | - 인증서를 신청하고 인증서를 사용하는 주체 |

> 국내 공인인증기관으로 지정된 곳은 금융결제원, 한국정보인증, 한국증권전산(코스콤), 한국전자인증, 한국무역정보통신(트레이드사인) 등 5곳이며, 은행과 증권회사 등은 공인인증서를 직접 발급하지는 않고 접수 및 등록만 대행해 줍니다.


## 다. PKI 인증서 검증방식

^  방식  ^  설명  ^
| CRL | - Certificate Revocation List \\ - 인증서에 대한 폐지 \\ - CA 는 폐지된 인증서 정보를 가지고 있는 CRL 리스트를 통해서 인증서의 유효성을 최신의 상태로 유지 |
| OCSP | - Online Certificate Status Protocol \\ - 실시간으로 인증서의 유효성을 검증할 수 있는 프로토콜 \\ - CRL 을 대신하거나 보조하는 용도로 사용 \\ - OCSP 는 클라이언트-서버 방식으로 인증서의 상태에 정보를 주고 받을 수 있음 \\ - 고액의 거래를 주로 하는 은행 업무, 클라이언트에 인증서 상태 모듈을 실장하기 어려운 이동 단말기에서의 전자 거래 등에 활용 \\ - OCSP 구성 요소 <<그림삽입>> |
| SCVP | - Simple Certificate Validation Protocol \\ - 인증서의 유효성 여부와 특정 인증서까지의 인증서 체인을 제공 \\ - 인증서를 발행하는 인증기관, 인증서, CRL 을 저장하는 저장소도 지원 \\ - SCVP 구성 요소 <<그림삽입>> |


# Ⅲ. PKI의 구조

## 가. PKI의 기술계층 구조

|  암호화 → [대칭키 방식 + 비대칭키 방식]의 혼합 사용 (예, 전자봉투, SSL 핸드쉐이킹 등)  ||||
|  전자서명 → [공개키연산 + 해쉬함수] 수행  |||  대칭키 알고리즘  |
|  인증서  ||  해쉬 알고리즘  |:::|
|  사설인증기관  |  공인인증기관  |:::|:::|
|  공개키 기반(PKI) 기술  |||:::|
^  공개키 기반의 인터넷 서비스 정보보호 시스템 활성화 \\ (인터넷 뱅킹, 쇼핑몰, B2B, B2C, PG, 전자복권, ...)  ^^^^



## 나. PKI의 보안구조

^  Six e-security needs  ^ ^  e-security technologies  ^
|  Access Control(접근제어)  |→|  PKI-[[KMI]]-[[PMI]]  |→|  PKI provides All |
|  Confidentiality(기밀성)  |→|  암호화  |:::|:::|
|  Integrity(무결성)  |→|  메시지 인증코드/해쉬  |:::|:::|
|  Authentication(인증)  |→|  인증서 관리  |:::|:::|
|  Authorization(권한부여)  |→|:::|:::|:::|
|  Non-repudiation(부인봉쇄)  |→|  전자서명  |:::|:::|


# Ⅳ. PKI의 유형

## 가. 국내 공인인증 체계에 의한 분류

^  구분  ^  내용  ^
| NPKI | - National PKI(국가 공개키 기반구조) \\ - 주로 일반국민이 이용하며 전자상거래를 목적으로 만들어진 PKI 환경 \\ - 금융결제원, 한국증권전산, 한국전자인증, 한국정보인증, 한국전산원, KTNET 등 |
| GPKI | - Government PKI(정부 공개키 기반구조) \\ - 주로 공무원이 이용하며 정부업무 목적으로 만들어진 PKI 환경 \\ - 국방부, 행정자치부, 대법원, 대검찰청, 국회, 선거관리위원회 등 |

## 나. PKI 인프라 구성에 의한 분류

^  구분  ^  네트워크형  ^  계층형  ^
|  개념  |  CA 간 동등한 레벨  |  CA 위에 Root CA 가 존재  |
|  형태  |  수평적  |  수직적  |
|  적용국가  |  일본  |  한국  |