설명/참조:
공개 키 암호화(PKI)의 출현으로 이제 사전 협의 없이 인터넷을 통해 신뢰할 수 없는 당사자와 안전하게 통신하는 것이 가능해졌습니다. 그러한 커뮤니케이션에서 발생하는 필수 요소 중 하나는 누군가의 신원을 정확하게 확인할 수 있는 능력입니다(즉, 커뮤니케이션 중인 사람이 실제로 그 사람이라고 주장하는 사람인지 여부). 특정 엔터티에 대한 신원 확인을 수행하려면 엔터티의 공개 키를 고유한 도메인 이름(DN)에 "바인딩"하는 확실한 방법이 있어야 합니다.
Verisign, Entrust, Thawte 등과 같이 잘 알려진 인증 기관(CA)에서 발행한 X.509 디지털 인증서는 필요한 확인을 수행한 CA를 신뢰함으로써 엔터티를 확실하게 식별하는 방법을 제공합니다. X.509 인증서는 엔터티의 고유 DN, 공개 키, 일련 번호, 유효 기간 및 기타 확장 기능을 포함하는 암호화로 봉인된 데이터 개체입니다.
Windows 운영 체제는 인증서를 두 번 클릭하고 사람이 읽을 수 있는 형식으로 해당 속성을 검토할 수 있는 인증서 뷰어 유틸리티를 제공합니다. 예를 들어, 인증서 뷰어 창(아래 참조)의 "일반" 탭에는 인증서가 누구에게 발급되었는지, 인증서 발급자, 유효 기간 및 사용 기능이 표시됩니다.
인증 경로 그래픽
"인증 경로" 탭에는 인증서 체인의 계층 구조가 포함되어 있습니다. 인증서 발급자 또는 하위 인증서를 선택한 다음 "인증서 보기"를 클릭하여 인증서 뷰어에서 인증서를 열 수 있습니다.
각 최종 사용자 인증서는 ASN.1 DER(고유 인코딩 규칙) 인코딩 개체의 해시 값(MD5 또는 SHA-1)을 가져온 다음 발급자의 개인 키로 결과 해시를 암호화하여 신뢰할 수 있는 CA 발급자에 의해 서명됩니다. (CA의 개인 키)는 디지털 서명입니다. 암호화된 데이터는 다음 위치에 저장됩니다.
엔터티(CA) 공용 인증서의 "signatureValue" 속성입니다.
발급자가 인증서에 서명하면 이 엔터티와 통신하려는 당사자는 엔터티의 공용 인증서를 가져와 인증서 발급자가 누구인지 알아낼 수 있습니다. 인증서(CA) 발급자가 식별되면 발급자의 공개 키를 사용하여 엔터티 인증서의 "signatureValue" 속성 값을 해독하여 해시 값을 검색할 수 있습니다. 이 해시 값은 엔터티 인증서에서 독립적으로 계산된 해시와 비교됩니다. 두 해시 값이 일치하면 인증서에 포함된 정보가 변경되지 않았어야 하며, 따라서 CA가 엔터티 인증서의 모든 세부 사항이 정확한지 확인하기 위해 충분한 배경 조사를 수행했음을 신뢰해야 합니다.
인증서 체인에 있는 모든 인증서의 서명을 암호화 방식으로 확인하는 프로세스를 호출합니다.
"열쇠 연결". 키 체인에 필수적인 추가 검사는
한 인증서의 "subjectKeyIdentifier" 확장자는 후속 인증서에서도 동일하게 일치합니다.
마찬가지로, 발급자 인증서의 제목 필드를 하위 인증서의 발급자 필드와 비교하는 프로세스를 "이름 연결"이라고 합니다. 이 프로세스에서 경로가 서로 직접적으로 관련된 끊어지지 않은 엔터티 체인을 나타내고 누락된 링크가 없음을 보장하기 위해 인증 경로에 있는 인접한 인증서의 각 쌍에 대해 이러한 값이 일치해야 합니다.
위의 두 단계는 위의 두 단락에서 설명한 대로 루트 인증서에 대한 인증서 체인의 모든 인증서의 유효성을 확인하여 인증 경로를 검증하는 단계입니다.
이 질문에 사용된 참고 자료:
FORD, Warwick & BAUM, Michael S., 보안 전자 상거래: 디지털 서명 및 암호화를 위한 인프라 구축(2판), 2000, Prentice Hall PTR, 페이지 262.
그리고
https://www.tibcommunity.com/docs/DOC-2197
