공부중

  인증서란, 어떤 키가 특정인의 것이라는 것을 보증해주는 것으로 전자서명에 사용되는 개인키와 공개키 쌍을 제공하여, 그 공개키의 주인이 특정인이라는 것을 확신할 수 있게 한다. 인증서는 믿을 수 있는 제3자, 즉, 인증기관이 발행한다. 공개키 인증서에는 개인 정보 및 해당 개인의 공개키가 들어가 있고, 인증기관(CA)의 개인키로 서명되어 있다. 인증서의 양식을 맞추기 위해 인증서의 표준 규격들이 정해져 있으며, 그중 가장 널리 사용되는 것은 X.509라는 규격이다. X.509 인증서를, 우리가 흔히 얘기하는 공인 인증서라고 생각하면 된다. X.509 인증서 규격은 IP 보안, SSL 통신, Secure MIME(Multipurpose Internet Mail Extensions) 등의 다양한 네트워크 보안 응용에서 사용되고 있다. X.509 인증서 양식은, X.509의 버전, 인증기관에 의해 각 인증서에 할당되는 일련번호, 인증기관이 인증서를 서명하기 위해 사용한 알고리즘과 알고리즘 식별자, 인증기관의 이름, 인증서의 유효기간, 인증서에 대한 사용자(피발급자)의 이름, 사용자(피발급자)의 공개키 정보, 인증서 발행자 Unique ID, 사용자(피발급자) Unique ID, 서명, 확장 영역으로 구성되어 있다.

  폐지된 인증서들의 목록을 인증서 폐지 목록(CRL, Certificate Revocation List)이라고 한다. 이 CRL들은 인증기관의 저장소나 디렉터리 시스템이 저장되며, 신뢰 당사자들이 이 CRL 목록을 조회할 수 있도록 한다. 신뢰 당사자들은 CRL 내에서 인증서 일련번호로 찾아서 폐기되었는지를 확인할 수 있다. CRL에는 인증서 폐지 목록의 버전, 서명 알고리즘과 발급한 인증 기관의 이름, 인증서의 발급일, 인증서의 다음 갱신일, 취소된 인증서의 일련번호 및 폐지 일자와 폐지 사유 등이 저장되어 있다.

  인증서를 운영하는 프로토콜은 크게 두 가지 형태가 있다. 하나는 온라인 인증서 상태 검증 프로토콜(OCSP, Online Certificate Status Protocol)이다. 사용자들은 실시간으로 인증서의 상태 정보를 확인할 수 있어야 한다. 이를 지원하기 위한 서비스가 온라인 인증서 상태 검증 프로토콜이다. 인증서의 상태 정보를 확인하는 사용자들을 OCSP 클라이언트라고 칭한다. OCSP 클라이언트가 OCSP 서버에게 인증서 상태 확인을 요청하면, 인증 기관 서버들이 인증서 상태를 확인하여 해당 정보를 OCSP 서버에게 전달하고, OCSP 서버는 OCSP 클라이언트에게 인증서 상태 확인 응답을 준다. 또 다른 인증서 운영 프로토콜에는 서버 기반 인증서 검증 프로토콜(SCVP, Simple Certification Validation Protocol)이 있다.