8.PKI(공개키 기반 구조)

<기본개념>
PKI : 공개키 알고리즘을 위한 키 관리 구조.

RFC2822 : 비대칭키 암호시스템에 기초한 공개키 기반구조 =>
디지털 인증서를 생성, 관리, 저장, 분배, 취소하는 데 필요한 하드웨어, 소프트웨어, 사랑, 정책 및 절차.

<주요 구성요소>

인증기관(CA, Certification Authority) 최상위 인증기관 *KISA 공인인증기관 *한국정보인증 *코스콤 *금융결제원 *한국전자인증 *한국무역정보통신	인증정책을 수립하고 인증서 및 인증서 효력정지 및 폐기목록을 관리하며 , 다른 CA 와의 상호 인증을 제공한다. *공개키 등록과 본인에 대한 인증을 등록기관이나 개체에게 분담시키는 경우도 존재한다. 정책승인기관(PAA, Policy Approving Authority) : root CA 정책인증기관(PCA, Policy Certification Authority) : PAA 하위계층으로 도메인 내의 사용자와 CA가 따라야 할 정책을 수립하고 인증기관의 공개키를 인증하고 인증서, 인증서 폐기목록 등을 관리한다. 인증기관(CA, Certification Authority) : 공개키 인증서 발급 및 취소. 인증서,인증서취소목록을 보관한다.
검증기관(VA, Validation Authority)	인증서와 거래의 유효성을 확인하고, 여기에 사용되는 인증서의 유효성 여부와 인증서가 적절힌 개체로 발급되었다는 것을 신뢰 당사자에게 확인 시켜준다.
사용자와 최종 개체(subjects and end entities)	사용자는 사람 뿐 아니라 시스템 모두를 의미한다. *비밀키/공개키 쌍을 생성할 수 있어야 한다. *공개키 인증서를 요청하고 획득할 수 있어야한다. *전자서명을 생성 및 검증할 수 있어야 한다. *비밀키가 분실 또는 손상되거나 자신의 정보가 변했을 때(예: 조직의 탈퇴 등) 인증서 폐지 요청 가능해야한다.
등록기관(RA, Registration Authority)	사용자와 CA가 원거리인 경우 인증서 신청시 인증기관 대신 신분과 소속을 확인하는 기관이다. Optional한 기관이다. CA는 인증기관의 기능을 수행할 수 있어야 한다.
저장소(Repository, Directory)	사용자의 인증서를 저장하는 저장소의 역할을 하는 DB LDAP를 이용하여 X.500 디렉터리 서비스를 제공한다. *LDAP : 네트워크 상의 파일, 장치와 같은 자원의 위치를 찾을 수 있게 해주는 SW protocol

<네트워크 구조>

계층구조                                                                   네트워크 구조

구분	계층적 구조	네트워크형 구조
장점	-관료조직에 적합 -인증경로 탐색이 용이함 -모든사용자가 최상위 CA 공개키를 알고 있으므로 인증서 검증이 용이	-유연하며 실질적인 업무관계에 적합 -CA 상호인증이 직접 이루어지므로 인증경로 단순 -CA의 비밀키 노출 시 국소적 피해
단점	-최상위 CA에 집중되는 오버헤드 -협동업무 관계에는 부적합 -최상위 CA의 비밀키 노출 시 피해 규모 막대함	-인증경로 탐색이 복잡함 -인증정책 수립 및 적용이 어려움

<인증서 PKC, Public Key Certificate>

표준 규격 : x.509

<CRL 확장자>

기본확장자	개체확장자
고유번호 발급자 대체 이름 발급번호 분배점 지시자	취소이유 부호 명령 부호 무효화 날짜

<OCSP , Online Certificate Status Protocol>

-백그라운드 자동 실행
-IETF의 RFC 2560(1999년)으로 발표되었다. 클라이언트, OCSP서버, CA 서버로 구성된다.

<SCVP, Simple Certificate Validation Protocol> 인증서 검증 서비스