공개 키 암호화(PKI)의 출현으로 이제 사전 협의 없이 인터넷을 통해 신뢰할 수 없는 당사자와 안전하게 통신하는 것이 가능해졌습니다. 그러한 커뮤니케이션에서 발생하는 필수 요소 중 하나는 누군가의 신원을 정확하게 확인할 수 있는 능력입니다(즉, 커뮤니케이션 중인 사람이 실제로 그 사람이라고 주장하는 사람인지 여부). 특정 엔터티에 대한 신원 확인을 수행하려면 엔터티의 공개 키를 고유한 도메인 이름(DN)에 "바인딩"하는 확실한 방법이 있어야 합니다.
Verisign, Entrust, Thawte 등과 같이 잘 알려진 인증 기관(CA)에서 발행한 X.509 디지털 인증서는 필요한 확인을 수행한 CA를 신뢰함으로써 엔터티를 확실하게 식별하는 방법을 제공합니다. X.509 인증서는 엔터티의 고유 DN, 공개 키, 일련 번호, 유효 기간 및 기타 확장 기능을 포함하는 암호화로 봉인된 데이터 개체입니다.
Windows 운영 체제는 인증서를 두 번 클릭하고 사람이 읽을 수 있는 형식으로 해당 속성을 검토할 수 있는 인증서 뷰어 유틸리티를 제공합니다. 예를 들어, 인증서 뷰어 창(아래 참조)의 "일반" 탭에는 인증서가 누구에게 발급되었는지, 인증서 발급자, 유효 기간 및 사용 기능이 표시됩니다.
인증 경로 그래픽
인증 경로 그래픽 "인증 경로" 탭에는 인증서 체인의 계층 구조가 포함되어 있습니다. 인증서 발급자 또는 하위 인증서를 선택한 다음 "인증서 보기"를 클릭하여 인증서 뷰어에서 인증서를 열 수 있습니다.
각 최종 사용자 인증서는 ASN.1 DER(고유 인코딩 규칙) 인코딩 개체의 해시 값(MD5 또는 SHA-1)을 가져온 다음 발급자의 개인 키로 결과 해시를 암호화하여 신뢰할 수 있는 CA 발급자에 의해 서명됩니다. (CA의 개인 키)는 디지털 서명입니다. 암호화된 데이터는 엔터티(CA) 공용 인증서의 "signatureValue" 속성에 저장됩니다.
발급자가 인증서에 서명하면 이 인증서와 통신하려는 당사자는
그런 다음 엔터티는 엔터티의 공개 인증서를 가져와서 발행자가 누구인지 알아낼 수 있습니다.
인증서는. 인증서(CA) 발급자가 식별되면 다음을 수행할 수 있습니다.
다음을 사용하여 엔터티 인증서의 "signatureValue" 속성 값을 해독합니다.
발급자의 공개 키를 사용하여 해시 값을 검색합니다. 이 해시 값은 다음과 비교됩니다.
엔터티 인증서에 대해 독립적으로 계산된 해시입니다. 두 해시 값이 일치하면
인증서에 포함된 정보는 변경되어서는 안 됩니다.
CA가 모든 세부 사항을 확인하기 위해 충분한 배경 조사를 수행했음을 신뢰해야 합니다.
해당 기관의 인증서가 정확합니다.
인증서에 포함된 모든 인증서의 서명을 암호화 방식으로 확인하는 프로세스
체인을 "키 체인"이라고 합니다. 키 체인에 필수적인 추가 확인은 다음과 같습니다.
한 인증서의 "subjectKeyIdentifier" 확장 값이 일치하는지 확인합니다.
후속 인증서에서도 동일합니다.
마찬가지로 발급자 인증서의 제목 필드를 발급자와 비교하는 과정은
하위 인증서의 필드를 "이름 체인"이라고 합니다. 이 과정에서 이러한 값은
인증 경로에 있는 인접한 인증서의 각 쌍과 일치해야 합니다.
경로가 하나의 항목과 직접적으로 관련된 끊어지지 않은 엔터티 체인을 나타내도록 보장합니다.
또 하나는 누락된 링크가 없다는 것입니다.
위의 두 단계는 유효성을 확인하여 인증 경로를 검증하는 단계입니다.
두 가지에 설명된 대로 인증서 체인의 모든 인증서를 루트 인증서로 복사합니다.
위의 단락.
이 질문에 사용된 참고 자료:
FORD, Warwick & BAUM, Michael S., 보안 전자 상거래: 구축
디지털 서명 및 암호화를 위한 인프라(2판), 2000, Prentice Hall PTR,
262쪽.
그리고
https://www.tibcommunity.com/docs/DOC-2197
