[컴퓨터보안] X.509 인증서

X.509 : X.509는 암호학에서 공개키 인증서와 인증알고리즘의 표준 가운데에서 공개 키 기반(PKI)의 ITU-T 표준이다.

CA <<X>> 라고 되어있으면 A의 공개키를 CA가 보증(서명) 한다 는 뜻이다.

계층구조 (Chain rule)

각 client(node) 는 parent 를 신뢰한다는 것을 기반으로 한다.

아래의 그림에서 예를 들자면 Y는 V가 보증해줬기 때문에 신뢰성을 얻었으므로 역으로 Y가 V를 보증할 수 있다.

A는 chain rule 을 통해 B의 공개키를 안전하게 얻을 수 있다.

X<<W>>W<<V>>V<<Y>>Y<<Z>>Z<<B>> 

B 또한 A의 공개키를 안전하게 얻을 수 있다.

Z<<Y>>Y<<V>>V<<W>>W<<X>>X<<A>>

 

Authentication Procedures ( 인증 프로토콜 )

공통점 : 메시지의 무결성과 originality 를 보증

전송하는 메시지에는 타임스탬프, nonce, 수신측의 identity 가 있어야 하고 발신측의 private key 로 서명해야한다.

아래 그림에서 

t : time stamp

r : nonce

KU : 공개키

A{..},B{..} : 각각 A, B 의 비밀키로 서명 

관련 자료 그림마다 표기법이 다른 경우가 많은데 PU=KU 공개키, PR=K 비밀키(세션키) 이다.

참고 : http://flylib.com/books/en/3.190.1.121/1/

One-way

B는 A의 공개키로 서명을 검토

Two-way

2번의 r_A 보내는 이유 : 1번에 대한 응답을 알리면서 상호인증

Three-way

상호인증 가능

3번의 r_B 를 통해 동기화 clock 이 필요없게 된다.