공개 키 암호화(PKI)의 출현으로 이제 사전 협의 없이 인터넷을 통해 신뢰할 수 없는 당사자와 안전하게 통신할 수 있습니다. 그러한 의사 소통에서 발생하는 필수 사항 중 하나는 누군가의 신원을 정확하게 확인할 수 있는 능력입니다(즉, 의사 소통하는 사람이 실제로 그/그녀가 주장하는 사람인지 여부). 주어진 엔터티에 대한 신원 확인을 수행할 수 있으려면 엔터티의 공개 키를 고유한 DN(도메인 이름)에 "바인딩"하는 완벽한 방법이 있어야 합니다.
Verisign, Entrust, Thawte 등과 같이 잘 알려진 인증 기관(CA)에서 발급한 X.509 디지털 인증서는 필요한 검증을 수행한 CA를 신뢰함으로써 엔티티를 확실하게 식별하는 방법을 제공합니다. X.509 인증서는 엔터티의 고유한 DN, 공개 키, 일련 번호, 유효 기간 및 기타 확장을 포함하는 암호화 방식으로 봉인된 데이터 개체입니다.
Windows 운영 체제는 인증서를 두 번 클릭하고 사람이 읽을 수 있는 형식으로 속성을 검토할 수 있는 인증서 뷰어 유틸리티를 제공합니다. 예를 들어, 인증서 뷰어 창(아래 참조)의 "일반" 탭에는 인증서가 발급된 사람과 인증서 발급자, 유효성 검사 기간 및 사용 기능이 표시됩니다.
인증 경로 그래픽
인증 경로 그래픽 "인증 경로" 탭에는 인증서 체인에 대한 계층이 포함되어 있습니다. 인증서 발급자 또는 하위 인증서를 선택한 다음 "인증서 보기"를 클릭하여 인증서 뷰어에서 인증서를 열 수 있습니다.
각 최종 사용자 인증서는 ASN.1 DER(Distinguished Encoding Rule)로 인코딩된 개체의 해시 값(MD5 또는 SHA-1)을 가져온 다음 발급자의 개인 키로 결과 해시를 암호화하여 신뢰할 수 있는 CA인 발급자가 서명합니다. (CA의 Private Key)는 디지털 서명입니다. 암호화된 데이터는 엔터티(CA) 공용 인증서의 "signatureValue" 속성에 저장됩니다.
발급자가 인증서에 서명하면 인증서와 통신하려는 당사자가
그러면 엔터티는 엔터티의 공인 인증서를 가져와서 발급자가 누구인지 알아낼 수 있습니다.
인증서는. 인증서(CA)의 발급자가 식별되면 다음을 수행할 수 있습니다.
다음을 사용하여 엔터티 인증서의 "signatureValue" 속성 값을 해독합니다.
발행자의 공개 키를 사용하여 해시 값을 검색합니다. 이 해시 값은 다음과 비교됩니다.
엔티티의 인증서에서 독립적으로 계산된 해시. 두 해시 값이 일치하면
인증서에 포함된 정보는 변경되지 않아야 하므로,
CA가 모든 세부 정보를 확인하기 위해 충분한 배경 조사를 수행했다고 믿어야 합니다.
법인의 인증서가 정확합니다.
인증서에 있는 모든 인증서의 서명을 암호로 확인하는 프로세스
체인을 "키 체인"이라고 합니다. 키 체인에 필수적인 추가 확인은 다음과 같습니다.
한 인증서의 "subjectKeyIdentifier" 확장 값이 일치하는지 확인
후속 인증서에서도 동일합니다.
마찬가지로 발급자 인증서의 주제 필드를 발급자와 비교하는 과정
하위 인증서의 필드를 "이름 연결"이라고 합니다. 이 과정에서 이러한 값은
인증 경로에 있는 인접한 인증서의 각 쌍에 대해 일치해야 합니다.
경로가 하나와 직접 관련된 엔터티의 끊어지지 않은 사슬을 나타냄을 보장합니다.
다른 하나는 누락된 링크가 없다는 것입니다.
위의 두 단계는 유효성을 확인하여 인증 경로를 확인하는 단계입니다.
두 가지에 설명된 대로 인증서 체인의 모든 인증서를 루트 인증서로
위의 단락.
이 질문에 사용된 참조:
FORD, Warwick & BAUM, Michael S., 보안 전자 상거래: 구축
디지털 서명 및 암호화를 위한 인프라(2판), 2000, Prentice Hall PTR,
262페이지.
그리고
https://www.tibcommunity.com/docs/DOC-2197
