탑 메뉴 바로가기 주 메뉴 바로가기 부 메뉴 바로가기 본문 바로가기 하단 바로가기
kisa
글자크기 글자크기 크게 글자크기 초기화 글자크기 작게
통합검색
KISA 운영 홈페이지 보기

알림마당

FAQ

홈으로 알림마당 > FAQ
  1. 답변
    송신자 A는 해쉬알고리즘을 통해 문서의 해쉬코드를 구하고 이것을 자신의 비밀키로 암호화 한다. 암호화된 해쉬코드가 문서에 대한 A의 서명 값이다. A의 비밀키로 암호화를 하였으므로 A의 공개키를 가지고 있는 모든 사람이 검증할 수는 있으나 A의 비밀키를 알지 못하므로 위조는 할 수 없다. 해쉬코드에 의해서 ⑦무결성이 제공된다. 송신자는 문서에 서명 값을 첨가하여 전자서명이 포함된 문서를 수신자에게 보낸다.

    수신자는 문서와 서명 값을 분리한 후, 해쉬알고리즘을 통하여 수신된 문서의 해쉬코드를 계산한다. 수신자는 수신된 서명 값을 A의 ②공개키를 이용하여 ⑧복호화한다. 복호화된 해쉬코드와 수신자가 계산한 해쉬 코드를 비교하여 이상이 없으면 A의 서명이 포함된 문서임을 확신한다.
  2. 답변
    인증서(Certificate)란 인증기관(Certification Authority)이 가입자의 신분과 그의 공개키 정보를 보증하기 위해 발급하는 전자문서를 말합니다.
    전자거래시 전자서명 및 ③공인인증서를 사용하면 신원확인. 문서의 위.변조, 거래사실의 부인방지 등의 효과를 얻을 수 있습니다.

    공개키 기반의 전자서명 기술은 자신이 공개키를 외부에 공개한 후, 이를 이용하여 자신을 상대방에게 인증시키는 기술입니다.
    그러나 공개키는 누구나 쉽게 획득할 수 있도록 공개된 장소에 등록되어 있기 때문에 항상 공개키의 위 변조에 대한 문제가 존재하게 됩니다. 뿐만 아니라 자신이 획득하고자 하는 공개키가 누구의 공개키인지 확인할 수 있는 수단이 별도로 존재해야만 합니다.
    따라서 사용자의 공개키를 그 사용자의 개인정보와 함께, 믿을 수 있는 제3자가 보장해 주는 것을 공개키 인증이라 합니다.
    여기에서 이러한 역할을 하는 것이 인증기관이며, 인증기관이 발급한 사용자의 공개키에 대해 보증하는 전자문서를 인증서라고 합니다.

    인증기관은 자신이 ①개인키로 사용자의 공개키 인증서를 전자서명 함으로써, 사용자 인증서의 무결성 및 진실성을 보장하여 줍니다.
    현재 인증서와 관련한 국제 표준으로는 X.509 V3가 있습니다.

    인증서에는 인증서 버전, 인증서 일련번호, 인증서의 유효기간, 발급기관명 및 전자서명 알고리즘 정보, 가입자 이름 및 전자서명 알고리즘 정보등이 포함되어 있습니다.
  3. 답변

    전자서명용 인증서(Digital Signature Certificate)
    거래 상대방에 대한 신원확인(인증), 전자문서의 위.변조여부의 검출(무결성), 전자문서 송.수신자간의 송.수신사실 여부에 대한 ⑨부인방지(부인봉쇄) 목적으로 사용

    암호화용 인증서(Encryption Certificate)
    적법한 송.수신자를 제외한 제3자가 전송중인 메시지를 보지 못하도록 하는데 사용(비밀성)

    클라언트 SSL 인증서(Client SSL Certificate)
    클라이언트와 서버가 안전한 통신을 하고자 할 때, 서버가 클라이언트의 신원확인을 위해 사용
    Form Signing, SSO(Single Sign On)에서 사용

    서버 SSL 인증서(Sever SSL Certificate)
    클라이언트와 서버가 안전한 통신을 하고자 할 때, 클라이언트가 서버의 신원확인을 위해 사용

    ⓓS/MIME 인증서(S/MIME Certificate)
    전자메일에 전자서명 하거나 전자메일의 암호화를 위해서 사용

    소프트웨어 배포용 인증서(Code-Signing Certificate)
    인터넷과 같은 안전하지 않은 통신망을 통해 소프트웨어를 안전하게 배포할 목적으로 사용하는 인증서로서 Java code, Javascript 등
    소프트웨어 코드에 그 제작자가 전자서명을 함으로써, 제작자의 신원확인과 전송과정에서의 소프트웨어의 위.변조를 확인할 용도로 사용합니다.

    인증기관용 인증서(CA Certificate)
    CA의 확인을 위해 사용
    클라이언트와 서버의 S/W에서 다른 인증서의 신뢰여부를 검증할 때 사용
  4. 답변
    상호인증(Cross Certification)이란, 서로 다른 두 영역의 PKI를 가진 인증기관(CA, Certification Authority)이 상호연동을 하는 방법이다.
    상호인증(Cross Certification)은 두 인증기관(CA) 를 가진 PKI에서는 대표되사이에서 이루어진다. 계층적 구조는 인증기관은 최상위인증기관(Root-CA)가 된다. 하지만, 꼭, 최상위인증기관(Root-CA) 만이 가능한 것은 아니다. 인증기관(CA)들 사이에도 가능하다. 그림처럼, 인증기관 CA-A과 상대 인증기관 CA-B가 서로 교차인증을 하고 나면, 각 인증기관(CA)에 달린 사용자 User-A와 User-B는 자연스럽게 연결이 된다. 마치 두 영역이 하나의 연장된 영역으로 확장된 것처럼, 사용자 User-A에게 User-B는 그저 같은 영역의 사용자가 되는 것이다. 그 역인, 사용자 User-B에게 User-A역시 같은 영역의 사용자로 인식되게 된다.

    상호인증(Cross Certification)의 장점

    첫째는, 매끄러운 일 처리의 흐름이다. 두 영역이 만나는 영역의 연결이 매끄러워서, 마치 두 개의 PKI영역이 하나의 큰 PKI영역이 된 것처럼 일 처리의 흐름이 이루어진다.
    둘째는, 사용자의 투명성인데, 사용자들에게 상호인증의 협정이 명확해 진다는 점이다.

    상호인증(Cross Certification)의 단점

    첫째는, 절차의 복잡성이다. 세밀한 부분까지도 정책연결이 요구되어지는 성격상, 상호인증(Cross Certification)을 하는 절차가 무척 복잡하다.
    둘째는, 확장성이 용이하지 않다. 항상 두 인증기관(CA)들 사이에서 연결이 되어져야 하므로, 새로운 PKI영역이 추가되려면, 추가되는 PKI영역의 CA와 기존의 다른 PKI영역의 연결이, 기존의 PKI영역간의 연결 할 때와 같은 절차로 반복되면서, 그 소요되는 연결의 개수가 기하급수적으로 늘어난다.
    마지막으로, 앞의 두 가지 이유로 비추어 보면, 비즈니스의 시각에서 보면 무척 어렵고 비효율적인 방법이 된다는 것이 문제점이다. 이런 문제점들은 사실상, 전자상거래를 지원하려고 했던 기본적인 의도에 부합되지 않아서, 보다 나은 인증의 방법이 필요하게 되었다. 상호인정(Cross Recognition)이 그 대안이다.
  5. 답변
    우리나라의 공개키 기반구조(PKI)는 1999년 7월 시행된 전자서명법에 기반한 민간분야의 NPKI(National Public Key Infrastructure)와 2001년 3월 전자정부구현을 위한 행정업무등의 전자화 촉진에 관한 법률(이하 전자정부법)에 기반한 정부 전자관인 분야의 GPKI(Government Public Key Infrastructure)가 있다.
    전자서명과 전자관인이 서로 다른 법에 기반하여 추진됨으로써 우리나라의 공개키 기반구조는 서로 다른 두 개의 ⑤도메인을 가지게 되었다. 그러므로 도메인간에 상호검증을 하기 위해서는 각 도메인을 신뢰체인으로 묶어주는 일이 필요한데 행정부서가 민원인의 인증서를 신뢰하기 위해서는 NPKI의 최상위인증기관인 KISA의 인증서를 신뢰할 수 있어야 하며 민원인이 정부에서 보낸 전자관인을 신뢰하기 위해서는 반대로 GPKI의 최상위인증기관 인증서를 신뢰할 수 있어야 한다. 이와 같이 서로 다른 도메인에 속한 사용자간에 신뢰관계를 형성하여 주는 것을 상호연동이라 한다.

    NPKI와 GPKI는 상호연동을 위한 기술로서 인증서신뢰목록(CTL, Certificate Trust List)을 사용할 예정이다. CTL은 신뢰목록을 구성하고 이를 바탕으로 도메인의 사용자에 대한 신뢰여부를 결정하는 상호연동 방식이다. CTL은 상호연동대상이 되는 각 도메인의 Trust Anchor(최종신뢰점, 최상위인증기관)에 대한 인증서리스트를 포함하고 있다. 사용자는 CTL에 있는 모든 인증서를 Trust Anchor로 믿게 되며 이를 기준으로 인증경로를 구성하여 상대방을 신뢰한다.

    인증서신뢰목록의 구조는 최상위인증기관들의 인증서 해쉬값을 리스트로 관리하며 PKCS #7의 전자서명된 형태로 구성된다.
    NPKI-GPKI간 상호연동을 위하여 신뢰된 제 3자가 인증서신뢰목록을 발행하는 것이 아니라 NPKI와 GPKI의 최상위인증기관이 각각의 도메인에 인증서신뢰목록을 발행ㆍ관리한다.
  6. 답변
    WTLS는 IETF의 TLS(Transport Layer Security)프로토콜(기존에는 SSL이라 불렀다)을 기반으로 한 무선환경에 적합하도록 개발된 보안 프로토콜이다. TLS가 서버 및 클라이언트 인증을 위하여 ⓖX.509 인증서를 사용한데 반하여 WTLS는 인증서 규격을 X.509 인증서, WTLS 인증서, X9.68 인증서 등을 정의하고 있다. WTLS는 UDP/IP를 적용하였으며 단말의 성능을 고려하여 여러 가지 관련 파라미터의 길이를 줄였다. 이 레이어는 아래와 같은 기능을 제공한다.

    - Data integrity : 터미날과 어플리케이션 서버간의 송수신 데이터가 변화없이 송수신됨을 보장한다.
    - Privacy : 터미날과 어플리케이션 서버간의 송수신 데이터가 다른 중간매체에 의해서 해독되지 않음을 보장한다. 이를 구현하기 위하여 각종 암호화 알고리즘이 사용된다.
    - 인증기능 : 터미날과 어플리케이션 서버간의 인증기능을 포함한다. Public-key나 symmetric알고리즘이 사용된다.

    WTLS는 아래 그림과 같이, WDP(Wireless Datagram Protocol)와 WTP(Wireless Transaction Protocol) 사이에 위치하고 있으며, SSL과 마찬가지로 응용의 필요에 따라 선택적으로 사용된다. WTLS가 SSL과 크게 다른 점은 SSL이 연결형 프로토콜인 TCP 위에서 동작하는 반면에, WTLS는 비연결형 프로토콜인 WDP 또는 UDP 위에서 동작한다는 것이다. 따라서 WTLS에서 자체적으로 생성한 패킷에 대해서는 WTLS에서 자체적으로 신뢰성을 고려해야 한다.
1 2
한국인터넷진흥원
[나주청사](58324) 전라남도 나주시 진흥길 9 한국인터넷진흥원 TEL : 1544-5118
[서울청사](05717) 서울시 송파구 중대로 135 (가락동) IT벤처타워 TEL : 02)405-5118