[암호화] PKI(Public Key Infrastructure)의 이해 - (2) PKI, 인증서, 전자서명

2023.12.05 - [Study/보안] - [암호화] PKI(Public Key Infrastructure)의 이해 - (1)

[암호화] PKI(Public Key Infrastructure)의 이해 - (1)

 

이전 포스팅에 이어 PKI에 대해 계속해서 이야기해 보도록 하겠습니다. 오늘은 PKI란 무엇인지 PKI의 등장배경과 구성요소, 동작 방식에 대해 이야기 해보겠습니다. 아래의 내용은 제가 조사한 자료와 강의를 바탕으로 작성한 내용이므로 틀린 내용이 있을 수 있습니다!

 

 

---

 

 

목차
1. PKI의 등장배경
2. PKI란? 
3. PKI의 활용

 

1. PKI(Public Key Infrastructure) 등장배경

이전 포스팅에서 통신시 비공개키와 공개키 기반 구조의 문제점에 대하여 이야기했습니다.

 

짧게 요약하자면

1) 비공개키 암호화의 경우 빠르지만 비밀키 탈취의 위험이 존재한다. 

2) 이를 보완하기 위해 공개키 암호화 방식이 등장했다.

    - 공개키 암호화 방식은 암호화는 모두에게 공개된 공개키로, 복호화는 자신만이 가지고 있는 비밀키로 복호화를 합니다.

    - 물로 반대도 가능하지만 암호화에서는 대부분 이 방식을 채택합니다. 

    - 반대의 방법이 바로 전자서명이라는 것인데 이에 대해서는 다음 포스팅에서 자세히 다루겠습니다. 

3) 그러나 공개키 암호화 방식은 키 쌍을 만드는 것 자체가 자원을 많이 소모한다. 

4) 그래서 공개키 암호화 방식을 효율적으로 사용하기 위해 비공개키 암호화 방식과 공개키 암호화 방식은 혼용하는 방식이 등장했다.

    - 이는 데이터는 비밀키(비공개키)로 암호화 하고 이 비밀키를 공개키로 암호화한 후 전송한다. 수신측에서는 공개키와 쌍을 이루는 비공개키로 비밀키를 복호화하고, 해당 비밀키로 데이터를 복호화 한다. 

5) 그러나 여기서 또 문제가 발생한다. 과연 공개된 공개키는 믿을 수 있는가? 

 

 

 

이러한 배경에서 등장한 것이 바로 PKI 입니다. 

 

2. PKI(Public Key Infrastructure)란?

 

PKI란 공신력있는 인증기관이 인터넷상에서 사용자간에 법적 효력이 있는 인증서를 전자적으로 분배, 전달, 제공함으로써 비인가된 자로부터 개인정보보호, 전자상거래 위변조 방지 등을 할 수 있게 하는 것을 말합니다. 

이해하기 쉽게 작성하자면 공개키 기반 구조로, 인증서를 통해 서로 신뢰할 수 있는 구조를 말합니다. 

 

PKI의 구성

PKI는 인증서(Certificate), 인증기관(CA), 등록기관, 디렉토리로 구성됩니다. 

 

 

 

1) 인증서(Certificate)

먼저 인증서란 공개키나 공개키의 정보를 포함하는 인증서를 말합니다.

공개키 기반 구조에서 가장 중요한 것 중 하나입니다. 

 

 

 

인증서란 바로 공개키를 말합니다. 그러나 이 공개키는 신뢰성 보장을 위해 여러 정보와 함께 인증기관의 디지털 서명이 들어갑니다. 

 

인증서 발행 과정은 아래와 같습니다. 

 

1. 먼저 서버측은 인증기관(CA 혹은 RA)에 비대칭 생성을 요청합니다. 

    - RA 혹은 CA는 비대칭키를 생성한 후 서버측에 저장합니다. 

    - 비대칭키를 전달할 때 CA/RA는 공개키에 부가적인 정보와 전자서명을 함께 넣어 인증서의 구조로 서버에 전달합니다.

2. 서버측은 자신의 서버에 비공개키와 인증서를 저장합니다. 

 

인증서 검증 과정

1. 서버는 클라이언트 측에 인증서를 공개합니다. 

2. 클라이언트는 서버에서 제공하는 인증서로 대칭키(비밀키)를 암호화해 데이터를 전송합니다. 

3. 클라이언트는 서버가 제공하는 인증서를 검증하기 위해 윈도우/브라우저에 설치된 인증기관의 인증서의 공개키를 통해 서버가 제공하는 인증서의 전자서명을 복호화하여 일치여부를 확인합니다. 

 

위의서 언급의 인증서의 검증 과정이 어렵게 다가올 수 있습니다. 

자신의 PC에는 CA와 MS 혹은 브라우저와 공유되는 CA기관의 인증서를 보유하고 있습니다. 이러한 인증서는 윈도우 업데이트를 진행할 때 함께 업데이트 된다고 합니다. 우리는 PC 혹은 브라우저가 보유하고 있는 CA의 인증서(공개키)를 가지고 서버가 제공하는 인증서의 전자서명을 복호화합니다. 

 

전자서명과 CA의 공개키로 인증서를 Hash한 결과 값을 비교하여 공개키를 신원을 증명합니다. 

 

 

 

2) 전자서명(Digital Sign)

위에서 인증서에는 서버의 공개키임을 증명하기 위해 CA의 전자서명이 들어간다고 하였습니다. 여기서 말하는 전자서명이란 공개키 기반 암호화 방식을 기반으로 암호화를 할 때는 비밀키로 복호화를 할 때는 공개키를 사용함으로써 자신만이 가지고 있는 비밀키로 데이터를 암호화하기 때문에 발행자가 본인임을 증명할 수 있습니다. 

 

전자서명은 다음과 같은 방법으로 생성됩니다. 

 

 

3. PKI의 활용

 

이 부분이 제가 PKI를 이해하는데 많은 혼동을 주었던 내용입니다. PKI를 공부하는데 등장하는 HTTPS와 PKI가 말하는 인증서가 공인인증서인가? 하는 내용입니다. 

 

 

 

간략하게 설명하자면, 

서버의 통신체계가 웹으로 HTTP 위에서 돌아가는 PKI가 바로 HTTPS입니다. 최근에는 대부분의 사이트들이 HTTPS를 적용하는데요. 웹서비스를 제공하는 서버측은 위와 같이 인증서를 발급받음으로써 공개키의 신원을 보장합니다. 

 

또한, 앞서 이야기한 인증서는 서버측에서 발행을 요청하여 생성된 공개키를 기반으로 만들어진 인증서입니다. 여기서 우리가 자주 접하는 공인인증서는 공개키 발행 주체가 바로 개인이 된 것을 의미합니다. 개인이 공개키 발행 요청 주체가 되고, 은행이 이 인증서를 발행해주고(RA), 은행 위의 Yessign이 CA인 구조를 바로 공인인증서라고 합니다. 

 

 

---

 

 

여기까지가 기본적인 암호화 지식과 PKI에 대한 내용입니다. 정보 출처는 1편과 동일합니다.

그럼 다음 포스팅에서는 암호화 알고리즘 구현에 대하여 포스팅하겠습니다.

감사합니다.