X.509란?

( 원문: https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=3&cmd=print&seq=7702 ) 

 

PKI(Public Key Infrastructure)

※  공개 키와 개인 키를 사용하여 메시지를 암호화

※  메시지의 안전성을 보장해주는 과정을 수행

수신자의 공용키로 암호화하고, 수신자의 개인키로 복호화를 한다.

즉, 다른 키로 암호화를 하게 된다.

 

 문제는 이렇게 암호화를 하게 되면, 누군가 암호문을 해독해서 변조를 할 가능성이 있다.

그래서 송신자는 해쉬 알고리즘(문자열을 정수 값으로 변환하는 알고리즘)을 이용해서, 특정 길이의 데이터를 만든다. 그리고 송신자의 개인키로 암호화하여 전자 서명을 한다. 아래 그림을 확인해보자.

 그림을 보면 Senders X.509라는 문장이 보인다. 이 의미는 전에 했던 과정에 자신의 ID를 추가해서 X.509 형식에 맞게

채워진 X.509 인증서를 외부 CA 기관에 요청해서 얻는다.

X.509는 PKI에서 사용하는 표준 인증서 형식이다.  PKI에서 사용하는 공개키, 개인키 같은 비대칭키를 X.509 인증서로 관리한다.  그리고 X.509 인증서는 Thawte, VeriSign, RSA와 같은 외부 CA(Certificate Authority) 기관에서 승인과정을 통해 발행된다.  (Private) Key Store (개인) 키 저장소라고도 불리며, 하드웨어에서 저장이 불가능 한 경우, 운영체제에 저장이 된다. 이렇게 저장한 이유는, 변조를 방지하기 위해서 보안 스토리지를 제공한다. ( 괄호를 한 이유는, 개인 키가 아니라 키 저장소라고도 하는 문서도 있기 때문이다. ) https://www.ncsc.gov.uk/collection/in-house-public-key-infrastructure/pki-principles/protect-your-private-keys 클라이언트의 공용키를 이용해서 X.509 인증서를 받게 될 수 있다.

 그래서 수신자에게 데이터를 전송할 때 인증서, 송신자의 X.509 인증서(전자 서명)와 암호화된 메시지가 전송된다.

수신자는 인증서 안에 있는 서명 값을 보낸 이의(송신자의) 공개 키를 이용하여 복호화를 통해 해쉬 데이터를 알아낸다. 

송신자의 공용 키를 사용하는 이유는 디지털 서명이라 그렇다. 디지털 서명은 송신자가 수신자에게 공용 키를 줌으로써 송신자는 자신의 개인 키로 암호화 하고 수신자는 송신자의 공용키로 복호화 하기 때문이다.

 수신자는 수신한 메시지로 복호화해서 MAC 값을 계산한다. 수신한 MAC값과 계산한 MAC 값이 일치하면, 인증이 성공한 것이다.

MAC은, Message Authentication Code의 약자로 해시함수+대칭키(똑같은 개인키를 송수신자가 공유하여 정보를 암*복호화)로 메시지 무결성을 인증

그 값이, 송신자의 전자 서명 해쉬 값과 비교해서 일치 시, 안전하고 아니면 변조 된 것이다.