공개 키 암호화

전통적인 비밀 키 암호화의 한계

컴퓨터 기반 시스템에서 식별, 인증 및 개인정보 보호 문제에 대한 솔루션은 암호화 분야에 해당합니다. 실체가 없는 미디어의 특성으로 인해, 미디어를 봉인하거나 서명하여 물리적으로 표시(다양한 비즈니스 및 법적 목적을 위해)하는 전통적인 방법은 아무 소용이 없습니다. 오히려 일부 표시는 소스를 식별하고 컨텐츠를 식별하며, 엿듣는 사람에 대비하여 개인정보 보호를 제공하기 위해 정보 자체로 코드화되어야 합니다.

DES(정부 후원의 데이터 암호화 표준) 내에서와 같은 대칭 알고리즘을 사용한 개인정보 보호는 소규모 네트워크에서 상대적으로 용이하며, 각 당사자 간에 비밀 암호화 키를 교환해야 합니다. 네트워크가 급증하면서 비밀 키의 안전한 교환은 점차 비용이 많이 들고 통제하기 힘들게 되었습니다. 그 결과, 이 솔루션만으로는 중소 규모의 네트워크에서조차 불가능한 상황이 되었습니다.

DES의 또 다른 결점은 비밀 키를 공유해야 한다는 점에 있습니다. 각 개인은 서로의 비밀 키를 보호하기 위해 상대방을 신뢰해야 하며 이 키를 제3자에게 누설해서는 안 됩니다. 이 개인의 키는 서로 의사 소통하는 모든 사람들의 키와 달라야 하기 때문에 사용자는 비밀 키 중 하나를 사용하는 모든 사람들을 신뢰해야 합니다. 다시 말해서, 실제적인 구현 시 안전한 의사 소통은 개인적이든 직업적이든 사전에 관계를 맺고 있는 사람들 사이에서만 발생할 수 있다는 의미입니다.

DES에서 해결되지 않는 근본적인 문제는 인증 및 거부 금지입니다. 공유된 비밀 키는 당사자 중 한 명이 상대방이 수행한 작업이 무엇인지를 증명하지 못하도록 방지합니다. 양측 모두 데이터를 몰래 수정할 수 있어 제3자는 범인을 식별할 수 없다고 믿게 됩니다. 안전하게 서로 의사 소통할 수 있도록 하는 동일한 키는 다른 사용자의 이름으로 위조품을 만드는 데 사용할 수 있습니다.

더 나은 방법: 공개 키 암호화

인증 및 대규모 네트워크 개인정보 보호의 문제는 Whitfield Diffie와 Martin Hellman이 비밀 키를 교환하지 않고도 암호문을 교환하는 방법에 대한 개념을 발표했던 1976년에 이론적으로 해결되었습니다. 이 발상은 Ronald Rivest, Adi Shamir 및 Len Adleman과 이후의 매사추세츠 공과 대학 교수들에 의한 RSA 공개 키 암호화의 발명으로 1977년 결실을 맺었습니다.

데이터 암호화와 암호 해독 모두에 동일한 키를 사용하는 대신, RSA 시스템은 암호화 키와 암호 해독 키를 대응 쌍으로 사용합니다. 각 키는 한쪽 방향으로만 작동되는 데이터 변환을 수행합니다. 각 키는 상대 키와 반대되는 기능을 가지고 있습니다. 즉, 한 키가 수행하는 작업은 다른 키가 수행할 수 없습니다.

RSA 공개 키는 공개적으로 사용할 수 있도록 소유자가 만든 반면, RSA 개인 키는 보안이 유지됩니다. 개인 메시지를 보내려면 작성자는 의도된 수신자의 공개 키를 사용하여 메시지를 암호화합니다. 이렇게 암호화가 되면 이 메시지는 수신자의 개인 키로만 해독할 수 있습니다.

반대로, 개인 키를 사용하여 데이터를 암호화할 수도 있습니다. 다시 말해서 RSA 키는 어떤 방향으로도 작동합니다. 이는 "디지털 서명"에 대한 기반을 제공하는 데 그 이유는 한 사용자가 누군가의 공개 키를 사용하여 메시지의 암호화를 풀 수 있으면 다른 사용자는 처음부터 개인 키를 사용하여 메시지의 암호를 풀었다는 것이 확실하기 때문입니다. 소유자만이 자신만의 개인 키를 활용할 수 있으므로 암호화된 메시지는 일종의 전자 서명 즉, 아무도 만들 수 없는 문서가 됩니다.

페이지 맨 위로 돌아가기

인증 및 거부 금지: Verisign 디지털 인증서

디지털 서명은 해시 알고리즘을 통해 메시지 텍스트를 실행하여 작성됩니다. 이 결과 메시지 다이제스트가 발생합니다. 그런 다음, 메시지 다이제스트는 메시지를 보내고 이 메시지를 디지털 서명으로 바꾸는 개개인의 개인 키를 사용하여 암호화됩니다. 디지털 서명은 동일한 개인의 공개 키에 의해서만 해제될 수 있습니다. 메시지를 받는 사람은 디지털 서명을 해제한 후 메시지 다이제스트를 다시 계산합니다. 이 새로 계산된 메시지 다이제스트의 값은 서명에서 발견된 메시지 다이제스트의 값과 비교됩니다. 두 값이 일치하는 경우 메시지는 조작되지 않은 것입니다. 보낸 사람의 공개 키가 서명 확인에 사용되었기 때문에 텍스트는 보낸 사람만 알고 있는 개인 키를 사용하여 서명되었다는 것이 확실합니다. 이 전체 인증 프로세스는 보안 인식 애플리케이션으로 통합됩니다.

페이지 맨 위로 돌아가기

디지털 인증서란 무엇입니까?

RSA 기술 사용자는 일반적으로 고유한 공개 키를 발신 문서에 첨부하므로, 받는 사람은 이 공개 키를 공개 키 저장소에서 검색할 필요가 없습니다. 그러나 이 공개 키 또는 공개 디렉토리에 있는 공개 키가 가리키고 있는 개인에게 정말 속해 있는지를 받는 사람이 어떻게 확신할 수 있습니까? 침입자는 다른 사람들이 중요한 비밀 문서를 침입자에 의해 작성된 잘못된 계정으로 자신도 모르게 보내는 것을 가만히 앉아 지켜보면서 컴퓨터 네트워크에서 합법적 사용자로 가장할 수는 없습니까?

솔루션은 일종의 디지털 "여권" 또는 "자격 증명"인 디지털 인증서입니다. 디지털 인증서는 네트워크 보안 디렉터, MIS 지원 센터 또는 VeriSign, Inc.와 같이 신뢰할 수 있는 누군가에 의해 자체적으로 "디지털 서명된" 사용자의 공개 키입니다. 다음 그림은 디지털 인증서를 그림으로 설명합니다.

누군가가 메시지를 보낼 때마다 그들은 디지털 인증서를 첨부합니다. 메시지를 받는 사람은 먼저 디지털 인증서를 사용하여 작성자의 공개 키가 인증되었는지 확인한 다음 이 공개 키를 사용하여 메시지 자체를 확인합니다. 이런 방식으로, 인증 기관의 공개 키 중 한 개만 중앙에서 저장되거나 널리 알려야 하며 그 이후에는 다른 모든 사람들이 공개 키와 유효한 디지털 인증서를 메시지와 함께 전송하기만 하면 됩니다.

디지털 인증서를 사용하여 조직 계층과 일치하는 인증 체인을 작성할 수 있으므로, 분산된 환경에서 공개 키 등록 및 인증이 간편해집니다.

페이지 맨 위로 돌아가기

인증 계층

사용자에게 디지털 인증서가 있다면 이 인증서로 어떤 작업을 수행합니까? 디지털 인증서는 사무실 간 전자 메일에서부터 전 세계 EFT(온라인 자금 이체)에 이르기까지 광범위하게 사용됩니다. 디지털 인증서를 사용하기 위해서는 디지털 인증서와 연결된 사용자 또는 조직에 대한 디지털 인증서의 법적 구속력과 관련하여 높은 수준의 신뢰가 형성되어야 합니다. 이러한 신뢰는 동일한 정책을 준수하고 있는 이 계층의 모든 구성원과 함께 디지털 인증서의 계층을 구축함으로써 이루어집니다. 신분이 증명되면 디지털 인증서는 계층의 잠재적 구성원으로서 개인 또는 업체에게만 발행됩니다. 계층마다 신원이 확인되고 디지털 인증서가 발행되는 방식에 대해 서로 다른 정책을 가질 수 있습니다.

Verisign은 수많은 디지털 인증서 계층을 운영합니다. 상업용 CA는 최종 사용자의 디지털 인증서와 실제 최종 사용자 간의 법적 구속력에 대해 높은 수준의 보증을 유지합니다. RSA의 상업용 CA 구성원들은 서로 의사 소통하는 사람들에 대해 정책 준수를 통해 높은 수준의 보증을 유지합니다. 일반적으로 보증 수준이 낮은 계층의 구성원인 두 명의 최종 사용자가 디지털 인증서를 사용하여 서로 의사 소통하는 경우는 해당되지 않습니다. 적절하게 관리되는 디지털 인증서 계층과 연관된 보증 없이 디지털 인증서를 사용하면 값이 제한됩니다.

페이지 맨 위로 돌아가기