전자 인증서

지난 글 : [알고리즘/알고리즘 도감] - 전자 서명

 

공개키 암호 방식이나 전자 서명에서는 공개키가 정말 통신하고자 하는 상대인지 보장되지 않는다는 문제가 있었다. 따라서 악의를 지닌 제삼자가 공개키를 바꿔 전달해도 받는 측에서는 눈치채지 못할 수 있다. 오늘 배울 전자 인증서를 이용하면 공개키의 정장성을 보장할 수 있게 된다고 한다.

 

1

1. A는 공개키 Pa와 비밀키 Sa 쌍을 갖고 있으며, 공개키 Pa를 B에게 전달하려 한다.
2. 먼저 A는 인증 기관(CA : Certification Authority)에 Pa가 자신의 것임을 나타내는 
	인증서 발행을 의뢰한다.
3. 인증 기관은 자신이 준비한 공개키 Pc와 비밀키 Sc를 소유하고 있다.
4. A는 공개키 Pa와 메일 주소를 포함한 개인 정보를 인증 기관에 보낸다.
5. 인증 기관은 받은 정보가 틀림 없이 A라는 것을 확인한다.
	확인 완료 후 인증 기관의 Sc를 이용해 A의 데이터로부터전자 서명을 작성한다.
6. 인증 기관은 작성한 전자 서명와 데이터를 하나의 파일로 만들고, 이 파일을 A에게 보낸다.
7. 이 파일이 A의 전자 인증서가 된다.
8. A는 공개키 대신 전자 인증서를 B에게 보낸다.
9. B는 받은 인증서에 적힌 메일 주소가 A의 것인지 확인한다. 계속해서 B는 인증 기관의 공개키를 취득한다.
10. B는 인증서 내의 서명이 인증 기관의 것인지 검증한다. 
	인증서의 서명은 인증 기관의 공개키 Pc로만 검증할 수 있다.
	검증 결과 문제가 없다면 이 인증서는 인증 기관이 발행한 것이라는 것이 보장된다.
11. 인증서가 인증 기관에서 발행된 것이고 A의 것임이 확인됐기에 은징서에서 A의 공개키 Pa를 꺼낸다.
	이것으로 A로부터 B에게로 공개키 전달이 완료된다.

 

2

공개키 전달에 문제가 없는지 알아보자.

1. 악의를 지닌 X가 A로 위장해 B에게 공개키 Px를 전달하려 한다.
2. 하지만 B는 인증서로 전달되지 않는 공개키를 신뢰할 필요가 없다.
3. 만약 X가 A로 위장해 인증 기관에 자신의 공개키를 등록하려해도 X는 A의 메일 주소를 소유하고 있지 않기에
	인증서를 발급받을 수 없다.(X는 자신의 메일 주소를 사용한 인증서만 만들 수 있기에 A로 위장할 수 없다.)

 

참고 서적 :