공개키 인증서(Public-key certificate)

신뢰하는 제 3기관에 의해 서명된 메세지와 소유자의 사용 ID를 더하여 구성한 것으로 일반적으로 제 3기관은 CA(Cretificate Authority)라고 하며, 정부 기관 또는 금융기관에서 운영한다. 사용자는 자신의 공개키를 CA에게 제출하고 CA는 이를 서명하여 인증서를 생성해 준다. 사용자의 공개키가 필요하면 사용자 인증서를 획득하고, 인증서의 서명으로 유효성 검증이 가능하다.

X.509 Certificates

X.500 디렉터리의 인증서비스를 사용자에게 제공하는 프레임워크를 정의한다. 디렉터리는 공개키 인증서의 저장소 서비스를 제공하며, 공개키 인증서 사용을 기반으로 인증 프로토콜을 정의할 수 있다. 표준으로 정해진 알고리즘은 없지만, RSA 사용을 권고한다.

X.509 계층구조

Y <<X>>: 인증기관 Y가 발행한 X의 인증서

A가 B의 공개키를 얻는 순서 : X<<W>> W<<V>> V<<Y>> Y<<Z>> Z<<B>>

B가 A의 공개키를 얻는 순서: Z<<Y>> Y<<V>> V<<W>> W<<X>> X<<A>>

X.509 인증서의 유효기간

인증서는 유효기간을 포함하는데, 보통 새로운 인증서는 이전 인증서 유효기간 이전에 발급된다. 하지만 만료 전이라도 인증서가 취소되는 경우가 있는데 다음과 같다.

1. 사용자 비밀키가 노출된 경우
2. 사용자가 CA에 의해서 더 이상 인증받지 않을 때
3. Subject 이름이 변경된 때, 인증서 지위가 변경될 때
4. 인증서가 CA의 정책과 다르게 발급되었을 때
5. CA 인증서가 침해되었다고 가정될 때

CRL(Certificate Revocation List)

CA가 과거에 발행했었으나, 현재 취소된 인증서에서 유효기간이 남아있는 인증서의 목록을 관리해야 함. 이런 목록은 디렉터리에 공개되어야 하고 CRL로 관리한다.

인증서 일련번호가 CRL에 포함되는데 이 일련번호는 동일 CA 내에서 유일한 숫자이므로 인증서 식별에 사용할 수 있다.