CA(Certification Authority) 인증기관

CA

디지털서명을 이용한 전자상거래 등에 있어서 누구나가 객관적으로 신뢰할 수 있는 제 3자(Trusted Thrid Party)를 의미한다. 전자 서명 및 암호화를 위한 디지털 인증서를 발급, 관리하는 서비스 제공 기관/서버

 

 

인증기관 주요 역할/기능

1. 디지털서명의 서명자의 신원을 확인

2. 서명자로부터 그의 공개키를 맡아 보관

3. 대외적으로 서명자와 그의 공개키의 귀속관계를 보장

4. 인증서 및 인증서폐기목록을 발행항 수 있다.

5. 1 이상의 등록기관을 지정할 수 있다.

 

인증기관에 대한 계층적 구성(Chain of Trust, 신뢰기관 사슬)

1. 정책승인기관(Policy Approving Authority, PAA)

- PKI의 루트 CA 역할

2. 정책인증기관(Policy Certification Authority, PCA)

- 위 PAA 하부계층으로 자신의 도메인 내 사용자 및 인증기관, 인증서 관리 등

3. 인증기관(CA, Certification Authority)

 

!! 조직 내부 사용만을 목적으로 사설 인증서를 사용하기 위해서는 특정 서버를 CA로 동작시켜 사용하기도 한다.

모든 운영체제, 웹 브라우저 등은 잘 알려진 인증기관의 목록을 보유한 채 출하된다.(특히, 최상위 인증기관 = 모든 신뢰기관 사슬의 종정)

 

 

TLS(Transport Layer Security, 전송 계층 보안)의 과거의 명칭 : SSL(Secure Sockets Layer, 보안 소켓 레이어)는 컴퓨터 네트워크에 통신 보안을 제공하기 위해 설계된 암호 규약이다. 그리고 'Transport Layer Security'라는 이름은 'Secure Sockets Layer'가 표준화 되면서 바뀐 이름이다. 이 규약은 인터넷 같이 TCP/IP 네트워크를 사용하는 통신에 적요되며, 통신 과정에서 전송계층 종단간 보안과 데티어 무결성을 확보해준다.

이 규약은 웹 브라우징, 전자메일, 인스턴트 메신저, VoIP 같은 응용 부분에 적용되고 있다. 

 

TLS는 클라이언트/서버 응용 프로그램이 네트워크로 통신을 하는 과정에서 도청, 간섭, 위조를 방지하기 위해서 설계 되었다. 그리고 암호화를 해서 최종단의 인증, 통신 기밀성을 유시시켜준다.

 

TLS 3단계 기본 절차

1. 지원 가능한 알고리즘 서로 교환

2. 키 교환, 인증

3. 대칭키 암호로 암호화하고 메세지 인증

 

우선 첫 단계에서 서버와 클라이언트는 암호 스위트를 교환한다. 이 단계에서 키 교환과 인증에 사용될 암호화 방법, 메세지 인증코드(MAC)가 결정된다. 키 교환과 인증 알고리즘은 공개키 방법을 사용하거나 미리 공유된 키(TLS-PSK)를 사용할 수도 있다. 메세지 인증 코드들은 HMAC 해시 함수로 만든다. SSL에서는 비표준 무작위 함수를 사용한다.

 

일반적인 알고리즘

키 교환 : RSA, Diffie-Hellman, ECDH, SRP, PSK

인증 : RSA, DSA, ECDSA

대칭키 암호 : RC4, 트리플 DES, AES, IDEA, DES, 아리아(암호), ChaCha20, Camellia, 예전 SSL에서는 RC2가 쓰인다.

해시 함수 : TLS에서는 HMAC-MD% 또는 HMAC-SHA, SSL에서는 MD5와 SHA, 예전 SSL에서는 MD2와 MD4가 쓰인다.

 

보안 취약점

패킷이 암호화되어 송수신 되므로 정보탈취 부분에서는 강하다. 기밀성이 우선이므로 스니핑 공격에서 뛰어난 보안성을 보인다. 다만 암호화된 패킷이 클라이언트 PC 또는 서버로 전송되기 때문에 송수신자간 데이터 교환이 일어나는 일에 대해서는 무력해진다. 개인정보유출, 기밀정도유출, DDOS, APT, 악성코드 공격이 발생할 경우 무력화된다.