[암호학] PKI(Public-Key Infrastructure)

PKI(Public-Key Infrastructure)

: 공개키 암호화 방식을 안전하게 사용하기 위해 구축된 제도적·기술적 체계 - 공개키 기반구조

 

· PKI의 구성

- 인증기관, 등록기관, 사용자, 신뢰 당사자, 저장소 등으로 구성

 

· PKI의 제공 서비스

- 인증서의 발급, 사용 및 취소, 관련 서비스

→ 기밀성, 무결성, 접근제어, 인증, 부인방지 제공

 

 

PKI의 주요 구성요소

 

· 인증기관(CA, Certification Authority)

: 공인인증서(전자서명인증서)를 발급·취소하는 기관 → 신뢰의 핵심

 

- 하는 일

① 인증정책 수립

② 인증서 및 인증서 효력정지 및 폐기목록 관리

③ 다른 CA와의 상호 인증 제공

④ "공개키의 등록과 본인에 대한 인증"을 등록기관이나 사람에게 분담

 

- 종류

(1) 정책 승인기관(PAA, Policy Approving Authority)

: 공개키 기반 구조 전반에 사용되는 정책 수립 + 하위 기관들의 정책 준수 상태 및 적정성 감사

 

(2) 정책 인증기관(PCA, Policy Certification Authority)

: PAA 아래 계층 → 자신의 도메인 내의 사용자와 CA가 따라야 할 정책 수립 + 인증기관의 공개키 인증, 인증서 등 관리

 

(3) 인증기관(CA, Certification Authority)

: PCA 아래 계층

● 사용자의 공개키 인증서 발행 및 폐지

● 사용자에게 자신&상위 기관의 공개키 전달

● 등록기관의 요청에 의해 인증서 발행

● 인증서 소유자를 대신하여 공개키&개인키 쌍 생성 가능 → 소유자에게 전달

 

 

· 검증기관(VA, Validation Authority)

: 검증해주는 곳인데, 이런게 있다 정도만 보면 될 듯

 

 

· 사용자와 최종 개체(Subjects and end entities)

: 공개키 기반 구조 내의 사용자 → 사람에만 국한 X / 시스템 모두를 의미

● 자신의 비밀키/공개키 쌍을 생성가능해야 함

● 공개키 인증서를 요청하고 획득가능해야 함

● 전자서명을 생성 및 검증 가능해야 함

● 인증서 폐지 요청이 가능해야 함

 

 

· 등록기관(RA, Registration Authority)

: 사용자의 신원 확인을 대행하는 곳

 

 

· 저장소(Repository, Directory)

: 인증서와 인증서 폐기 목록 등을 보관하는 일종의 DB

 

※ CRL과 OCSP ※

● CRL (Certificate Revocation List) : 폐기된 명단을 통째로 내려받음 (오프라인 방식, 트래픽 큼)

● OCSP (Online Certificate Status Protocol) : 실시간으로 한 개씩 물어봄 (온라인 방식, 빠름)

 

 

PKI의 형태

 

1) 계층 구조

: 최상위에 Root CA 존재 → 트리 형태로 하위의 CA가 계층적으로 존재

▶ 상위 CA가 하위 CA에 CA인증서 발행 / 하위 인증기관은 상위 인증기관의 인증정책에 영향을 받음

 

① 최상위 CA의 인증서는 모든 사용자에게 알려져야함

② 모든 사용자의 인증서는 최상위 CA로 이어지는 인증 경로의 확인에 의해서 검증

③ 최상위 인증기관 간의 상호인증 허용 / 하위 인증기관 간에는 불가능

 

2) 네트워크 구조

: 상위 인증기관의 영향 없이 각각 독립적으로 존재하는 형태

 

① CA 간에 인증을 위해 상호인증서를 발행하여 인증서비스

② 모든 상호인증이 허용되면 상호인증의 수가 대폭 증가함

(좌) : 계층구조 , (우) : 네트워크 구조

 

 

구분	계층적 구조	네트워크형 구조
장점	· 정부와 같은 관료조직에 적합 · 인증경로 탐색이 용이 · 모든 사용자가 최상위 CA의 공개키를 알고있음 → 인증서 검증 용이	· 유연하며 실질적인 업무관계에 적합 · CA 상호인증이 직접 이루어짐 → 인증경로 단순 · CA의 비밀키 노출 시 국소적 피해
단점	· 최상위 CA에 집중되는 오버헤드 발생가능 · 협동업무 관계에 부적합 · 최상위 CA의 비밀키 노출 시 피해규모 큼	· 인증경로 탐색 복잡 · 인증정책 수립 및 적용 어려움

[표 - 계층적&네트워크형 구조 비교]

 

3) 혼합형 구조

: 계층 구조와 네트워크 구조의 장점을 취한 방법

 

.

.

.

.

.

.

 

♠ 2026.04.08 / D-287 ♠

 

오늘은 PKI의 기본적인 개념과 구성요소, 형태에 대해 공부했다. 전자서명과 PKI는 시험에서 정말 중요한 포인트이기 때문에 n회독 열심히 해야할 것 같다. 오늘 너무 너무 집중이 안 되어서 블로그는 여기까지 쓰고 다른 공부하려고 한다. 안녕