PKI 동영상 이미지

동영상: Entrust PKI 개요

업계를 주도하는 Entrust의 PKI는 신뢰성을 가지고 사람, 시스템 및 사물을 안전하게 연결합니다. 다양한 사용 사례를 지원하기 위해 온프레미스, 관리형 및 서비스형 배포 모델에서 사용할 수 있습니다.


PKI란 무엇입니까?

PKI는 디지털 인증서 이면의 기술인 공개 키 인프라의 두문자어입니다. 디지털 인증서는 신분을 증명하고 특정 허용을 제공하는 신분증인 운전 면허증이나 여권과 유사한 목적을 수행합니다. 디지털 인증서를 사용하면 소유자가 암호화, 서명 및 인증할 수 있습니다. 따라서 PKI는 데이터를 암호화하고, 문서에 디지털 서명을 하고, 인증서를 사용하여 자신을 인증할 수 있는 기술입니다.

공개 키 인프라의 "인프라"라는 단어에서 알 수 있듯이 PKI는 전체 기술의 기본 프레임워크이며 하나의 물리적 실체가 아닙니다. PKI는 디지털 인증서를 생성, 관리, 저장, 배포 및 취소하는 데 필요한 하드웨어, 소프트웨어, 사람, 정책 및 절차를 포함하여 기술을 구성하는 다양한 "부분"을 캡슐화합니다. PKI 기술의 중요한 부분은 인증 기관인 CA입니다. CA는 디지털 인증서를 발급하는 엔터티입니다.

효과적인 공개 키 인프라를 구성하는 구성 요소는 무엇입니까?

효과적인 공개 키 인프라 구현과 관련하여 기업에서 요구하는 사항은 많습니다. 무엇보다도 사용자가 애플리케이션에서 암호화 및 디지털 서명을 활용할 수 없는 경우 PKI는 가치가 없습니다. 결과적으로 PKI에 대한 가장 중요한 제약은 투명성입니다. 투명성이라는 용어는 암호화 및 디지털 서명 서비스를 활용하기 위해 PKI가 키와 인증서를 관리하는 방식을 사용자가 이해할 필요가 없음을 의미합니다. 효과적인 PKI는 투명합니다. 사용자 투명성 외에도 기업은 필수 키 및 인증서 관리 서비스를 제공하기 위해 PKI에서 다음 항목을 구현해야 합니다.

  • 공개 키 인증서
  • 인증서 리포지토리
  • 인증서 해지
  • 키 백업 및 복구
  • 디지털 서명 부인 방지 지원
  • 키 쌍 및 인증서 자동 업데이트
  • 주요 기록 관리
  • 교차 인증 지원
  • 안전하고 일관적이며 신뢰할 수 있는 방식으로 위의 모든 항목과 상호 작용하는 클라이언트 측 소프트웨어

참고: "클라이언트 측"이라는 용어는 애플리케이션 클라이언트 및 애플리케이션 서버를 나타냅니다. PKI 요구 사항은 애플리케이션 클라이언트와 서버 모두에서 동일하며 둘 다 인프라 서비스의 "클라이언트"입니다.

자동적이고 투명하며 사용 가능한 PKI를 갖기 위해서는 이러한 모든 요구사항도 충족해야 합니다.

인증서 및 인증 기관의 역할은 무엇입니까?

공개 키 암호화가 가치가 있으려면 사용자가 통신하는 다른 당사자가 "안전"하다는 것, 즉, 자신의 ID와 키가 유효하고 신뢰할 수 있다는 것을 보장해야 합니다. 이러한 보증을 제공하려면 모든 PKI 사용자에게 등록된 ID가 있어야 합니다.

이러한 ID는 표준 X.509 디지털 공개 키 인증서 형식으로 저장됩니다. 인증 기관(CA)은 사용자 이름을 공개 키에 안전하게 바인딩하는 디지털 인증서를 만드는 사람, 프로세스 및 툴을 나타냅니다. 인증서를 만들 때 CA는 PKI에서 트러스트 에이전트 역할을 합니다. 사용자가 인증서 발급 및 관리에 대한 CA 및 해당 비즈니스 정책을 신뢰하는 한 CA에서 발급한 인증서를 신뢰할 수 있습니다. 이를 제3자 트러스트라고 합니다.

CA는 다음 정보(및 추가 항목)가 포함된 데이터 집합에 디지털 서명하여 사용자를 위한 인증서를 만듭니다.

  1. 고유 이름(DN) 형식의 사용자 이름입니다. DN은 사용자의 이름과 사용자를 고유하게 식별하는 데 필요한 추가 속성을 지정합니다(예: DN에 사용자의 직원 번호가 포함될 수 있음).
  2. 사용자의 공개 키. 다른 사용자가 사용자를 위해 암호화하거나 사용자의 디지털 서명을 확인할 수 있으려면 공개 키가 필요합니다.
  3. 인증서의 유효 기간(또는 수명)(시작 날짜 및 종료 날짜).
  4. 공개 키를 사용할 특정 작업(데이터 암호화, 디지털 서명 확인 또는 둘 다).

인증서에 대한 CA의 서명은 인증서 내용의 변조를 쉽게 감지할 수 있음을 의미합니다. 인증서에 있는 CA의 서명은 약병에 있는 변조 감지 씰과 같습니다. 인증서 내용에 대한 변조는 쉽게 감지됩니다. 인증서의 CA 서명을 확인할 수 있는 한 인증서에는 무결성이 있습니다. 인증서의 무결성은 CA의 서명을 확인하여 결정할 수 있으므로 인증서는 본질적으로 안전하며 완전히 공개된 방식으로 배포할 수 있습니다(예: 공개적으로 액세스할 수 있는 디렉토리 시스템을 통해).

인증서에서 공개 키를 검색하는 사용자는 공개 키가 유효하다는 것을 확신할 수 있습니다. 즉, 사용자는 인증서 및 관련 공개 키가 고유 이름으로 지정된 엔터티에 속한다고 신뢰할 수 있습니다. 또한 사용자는 공개 키가 정의된 유효 기간 내에 있다고 신뢰합니다. 또한 사용자는 공개 키를 CA에서 인증한 방식으로 안전하게 사용할 수 있습니다.

PKI가 중요한 이유는 무엇입니까?

PKI는 IT 전략 백본의 중요한 부분입니다. 인증서 기반 기술은 조직이 사람, 시스템 및 사물 간에 신뢰할 수 있는 서명, 암호화 및 ID를 설정하는 데 도움이 되므로 PKI가 중요합니다.

발전하는 비즈니스 모델이 전자 거래 및 디지털 문서에 점점 더 많이 의존하고 기업 네트워크에 더 많은 인터넷 인식 장치가 연결됨에 따라 공개 키 인프라의 역할은 더 이상 보안 이메일, 물리적 액세스를 위한 스마트 카드 또는 암호화된 웹 트래픽과 같은 격리된 시스템에만 국한되지 않습니다. 오늘날의 PKI는 복잡한 에코시스템에 걸쳐 더 많은 수의 애플리케이션, 사용자 및 장치를 지원할 것으로 예상됩니다. 정부 및 업계 데이터 보안 규정이 강화됨에 따라 주류 운영 체제 및 비즈니스 애플리케이션은 신뢰를 보장하기 위해 조직의 PKI에 어느 때보다도 의존하게 되었습니다.

인증 기관 또는 루트 개인 키 도난이란 무엇입니까?

인증 기관(CA) 또는 루트 개인 키를 도난당하면 공격자가 Stuxnet 공격에서 했던 것과 같이 조직의 공개 키 인프라(PKI)를 장악하여 위조 인증서를 발급할 수 있습니다. 그렇게 손상이 되면 이전에 발급된 인증서의 일부 또는 전부를 강제로 해지하고 재발급해야 할 수도 있습니다. 도난당한 루트 개인 키와 같은 루트 손상은 PKI의 신뢰를 무너뜨리며, 새로운 루트 및 자회사 발급 CA 인프라의 재설정을 쉽게 유도할 수 있습니다. 이는 기업의 회사 이미지를 손상시킬 뿐만 아니라 비용이 많이 들 수 있습니다.

루트부터 발급 CA에 이르는 인프라 전반에서 조직의 개인 키가 지니는 무결성은 PKI의 핵심 신뢰 기반을 제공하므로 보호되어야 합니다. 이러한 중요 키를 보호하기 위한 알려진 모범 사례는 최고 보안 및 보증 표준을 충족하는 변조 방지 장치인 FIPS 140-2 레벨 3 인증 하드웨어 보안 모듈(HSM)을 사용하는 것입니다.

PKI와 SSL의 차이점은 무엇입니까?

PKI와 SSL은 다르지만 둘 다 인증 기관(CA)에서 발급한 인증서로 공개 트러스트(SSL)든, 비공개 트러스트(PKI)든 "트러스트"를 형성하는 인증서 기반 솔루션입니다.

PKI는 하드웨어, 소프트웨어, 정책 등으로 구성된 전체 프레임워크입니다. PKI는 또한 신뢰를 형성하기 위해 디지털 인증서를 발급하는 CA를 포함합니다. 일반적으로 해당 CA는 조직에 필요한 보안 및 보증 수준과 일치하는 정책 및 절차에 따라 내부적으로 관리됩니다.

SSL은 PKI의 주요 사용 사례 중 하나입니다. 인증서를 발급하는 CA도 포함하지만 브라우저에서 공개적으로 신뢰할 수 있는 CA로 인식되어야 합니다. PKI에 대한 많은 사용 사례가 있지만 SSL의 목적은 온라인 뱅킹 또는 전자 상거래와 같은 온라인 통신을 통해 전송되는 민감한 데이터를 보호하는 것입니다.

  • PKI에 대한 추가 정보
  • SSL에 대한 추가 정보

PKI의 일반적인 사용 사례는 무엇입니까?

PKI의 주요 사용 사례는 다음과 같이 디지털 인증서를 가장 일반적으로 사용하는 애플리케이션을 살펴보면 확인할 수 있습니다.

전통적인 사용 사례
이러한 업무상 중요한 애플리케이션은 PKI가 핵심 IT 백본의 전략적 부분임을 분명히 합니다.

  • 공개 웹사이트 및 서비스에 대한 SSL 인증서
  • 사설 네트워크 및 가상 사설망(VPN)
  • 공개 클라우드 기반 응용 프로그램 및 서비스
  • 사설 클라우드 기반 애플리케이션
  • 이메일 보안
  • 기업 사용자 인증
  • 장치 인증
  • 사설 클라우드 기반 인증
  • 문서/메시지 서명
  • 코드 서명

(자세한 내용은 아래 차트를 참조하십시오.)

신규 및 새로운 사용 사례
또한 다음과 같이 채택 증가를 유도하는 DevOps 관련 사용 사례에서 PKI가 부활했습니다.

  • 클라우드 기반 서비스
  • 소비자 모바일
  • 사물인터넷(IoT)
  • 소비자 중심의 모바일 애플리케이션
  • BYOD(Bring-Your-Own-Device) 정책 및 내부 모바일 장치 관리
  • 전자 상거래

(자세한 내용은 아래 차트를 참조하십시오.)

그리고 일부 전문가들은 기술과 인공 지능이 더욱 발전함에 따라 미래의 사용 사례를 예측하고 있습니다.

개인 키와 공개 키의 차이점은 무엇입니까?

개인 키와 공개 키의 차이점은 하나는 암호화에 사용되고 다른 하나는 암호 해독에 사용된다는 것입니다.

공개 키는 정보를 암호화하는 데 사용되며 기본적으로 의도한 수신자가 아닌 사람은 읽을 수 없게 됩니다. 해당 수신자는 보유한 개인 키를 사용하여 정보를 암호 해독할 수 있습니다.

또한 공개 키는 정보를 기밀로 보내야 하는 사용자 집합이 공개적으로 사용할 수 있습니다. 예를 들어, 누군가의 공개 키는 공유 디렉토리를 통해 조직 내 동료가 사용할 수 있습니다. 반대로 개인 키는 정보를 받는 사람만 액세스할 수 있으므로 암호화된 내용을 성공적으로 해독할 수 있는 유일한 사람입니다.

공개 키와 개인 키는 정보, 데이터 및 통신이 적절한 당사자에 의해 안전하게 전송되고 해독되기 전에 암호화되게 합니다.

키 백업 및 복구란 무엇입니까?

기업은 사용자가 암호 해독 키를 잃어버린 경우 암호화된 데이터를 검색할 수 있어야 합니다. 즉, 사용자가 속한 기업에는 암호 해독 키를 백업하고 복구하기 위한 시스템이 필요합니다.

키 백업 및 복구가 비즈니스에 중요한 이유는 두 가지입니다.

  1. 사용자는 비밀번호를 잊어버립니다. 사용자가 암호 해독 키에 액세스하는 데 필요한 비밀번호를 잊어버린 경우 기업에서 데이터를 잃는 것은 치명적일 수 있습니다. 이러한 키를 안전하게 복구할 수 없는 경우 귀중한 정보가 영원히 손실됩니다. 또한 사용자가 암호화된 데이터를 항상 복구할 수 있다는 사실을 알지 못하는 경우(비밀번호를 잊어버린 경우에도) 일부 사용자는 정보를 최대한 보호해야 하더라도 가장 중요하고 민감한 정보를 잃어버릴까 봐 암호화하지 않습니다.
  2. 사용자는 암호 해독 키가 저장된 장치를 분실, 파손 또는 손상시킬 수 있습니다. 예를 들어, 사용자의 암호 해독 키가 마그네틱 카드에 저장되어 있으면 카드의 자기장이 손상될 수 있습니다. 다시 말하지만, 이러한 암호 해독 키의 영구적인 손실은 재앙이 될 수 있습니다. 사용자는 암호 해독 키가 백업되지 않는 한 암호화된 데이터를 복구할 수 없습니다.

키 백업과 키 에스크로의 차이점 키 백업 및 복구에 대한 상업적 요구 사항은 미디어에서 널리 논의되는 주제인 키 에스크로에 대한 법 집행 요구 사항과 완전히 분리될 수 있습니다.

  • 키 에스크로는 제3자(예: 연방 기관)가 암호화된 정보에 액세스하는 데 필요한 암호 해독 키를 얻을 수 있음을 의미합니다. 주요 에스크로의 목적은 법 집행을 돕는 것이며, 공익(예: 국가 안보)과 개인의 자유 및 사생활 사이의 미세한 경계 때문에 많은 논쟁이 있습니다.
  • 주요 백업 및 복구 요구 사항은 법 집행 요구 사항에 관계없이 존재하는 기본적인 상업적 요구 사항에 중점을 둡니다.

백업이 필요한 키는 무엇입니까? 백업이 필요한 유일한 키는 사용자의 암호 해독 키입니다. 신뢰할 수 있는 에이전트(예: CA)가 사용자의 암호 해독 키를 안전하게 백업하는 한 보안은 손상되지 않으며 사용자의 데이터는 항상 복구될 수 있습니다. 그러나 서명 키 요구 사항이 암호 해독 키와 다릅니다. 실제로 다음 섹션에서 설명하는 것처럼 서명 키를 백업하면 PKI의 기본 요구 사항이 폐기됩니다.

부인 방지란 무엇이며 PKI는 이를 어떻게 지원합니까?

부인은 개인이 거래 참여를 거부할 때 발생합니다. 예를 들어, 누군가 신용 카드가 도난당했다고 주장하면 당사자는 도난 신고 후 언제라도 해당 카드로 발생하는 거래에 대한 책임을 부인합니다.

부인 방지는 개인이 거래 참여를 성공적으로 거부할 수 없음을 의미합니다. 종이 세계에서 개인의 서명은 거래(신용 카드 청구, 사업 계약 등)에 법적으로 구속되게 합니다. 서명은 이러한 거래의 거부를 방지합니다.

전자 세계에서 펜 기반 서명을 대체하는 것은 디지털 서명입니다. 전자 상거래는 기존의 펜 기반 서명을 쓸모없게 만들기 때문에 모든 유형의 전자 상거래에는 디지털 서명이 필요합니다.

서명 개인 키
부인 방지를 위한 가장 기본적인 요구 사항은 디지털 서명을 만드는 데 사용되는 키(서명 키)가 항상 사용자가 단독으로 제어하는 방식으로 생성되고 안전하게 저장되는 것입니다. 서명 키를 백업하는 것은 허용되지 않습니다. 암호화 키 쌍과 달리 사용자가 암호를 잊어버리거나 서명 키를 분실, 파손 또는 손상시켰을 때 이전 서명 키 쌍을 백업 또는 복원하기 위한 기술 또는 비즈니스 요구 사항이 없습니다. 이러한 경우 사용자는 새 서명 키 쌍을 생성하고 그 이후부터 계속해서 사용할 수 있습니다.

두 개의 키 쌍 필요
키 백업 및 복구와 부인 방지를 동시에 지원하는 것은 어렵습니다. 키 백업 및 복구를 지원하려면 암호 해독 키를 안전하게 백업해야 합니다. 그러나 부인 방지를 지원하기 위해 디지털 서명에 사용되는 키는 백업할 수 없으며 항상 사용자가 단독으로 제어해야 합니다.

이러한 요구 사항을 충족하려면 PKI가 각 사용자에 대해 두 개의 키 쌍을 지원해야 합니다. 어느 시점에서든 사용자는 암호화 및 암호 해독을 위한 현재 키 쌍 하나와 디지털 서명 및 서명 확인을 위한 두 번째 키 쌍을 가지고 있어야 합니다. 시간이 지남에 따라 사용자는 적절하게 관리해야 하는 수많은 키 쌍을 갖게 됩니다.

키 이력의 키 업데이트 및 관리란 무엇입니까?

암호화 키 쌍은 영원히 사용해서는 안되며 시간이 지나면서 업데이트되어야 합니다. 결과적으로 모든 조직은 두 가지 중요한 문제를 고려해야 합니다.

  1. 사용자의 키 쌍 업데이트
    키 쌍 업데이트 프로세스는 사용자에게 투명해야 합니다. 이러한 투명성은 사용자가 수행해야 하는 키 업데이트를 이해할 필요가 없으며 키가 더 이상 유효하지 않기 때문에 "서비스 거부"를 경험하지 않음을 의미합니다. 투명성을 보장하고 서비스 거부를 방지하려면 사용자의 키 쌍이 만료되기 전에 자동으로 업데이트되어야 합니다.
  2. 해당되는 경우 이전 키 쌍의 기록 유지
    암호화 키 쌍이 업데이트되면 이전 암호 해독 키의 기록을 유지해야 합니다. 이 "키 기록"을 통해 사용자는 이전 암호 해독 키에 액세스하여 데이터 암호를 해독할 수 있습니다. (데이터가 사용자의 암호화 키로 암호화된 경우 해당 암호 해독 키(페어링 된 키)만 암호 해독에 사용할 수 있습니다.) 투명성을 보장하기 위해 클라이언트 측 소프트웨어는 사용자의 암호 해독 키 기록을 자동으로 관리해야 합니다.

또한 키 기록은 키 백업 및 복구 시스템에 의해 안전하게 관리되어야 합니다. 이를 통해 데이터를 원래 암호화하는 데 사용된 암호화 공개 키와 상관없이(더 나아가 데이터가 암호화된 시점과 상관없이) 암호화된 데이터를 안전하게 복구할 수 있습니다.

서명 키 쌍이 업데이트되면 이전 서명 키를 안전하게 해지해야 합니다. 이렇게 하면 다른 사람이 서명 키에 액세스할 수 없으며 이전 서명 키를 유지할 필요가 없으므로 해지가 허용됩니다.

인증서 리포지토리 및 인증서 배포란 무엇입니까?

앞서 언급했듯이 CA는 신뢰할 수 있는 제3자 역할을 하여 사용자에게 인증서를 발급합니다. 기업은 또한 애플리케이션에서 사용할 수 있도록 이러한 인증서를 배포해야 합니다. 인증서 저장소는 애플리케이션이 사용자를 대신하여 검색할 수 있도록 인증서를 저장합니다.

"리포지토리"라는 용어는 인증서 배포를 허용하는 네트워크 서비스를 나타냅니다. 지난 몇 년 동안 IT 업계는 인증서 저장소를 위한 최고의 기술이 LDAP(Lightweight Directory Access Protocol)를 준수하는 디렉토리 시스템에서 제공된다는 데 합의했습니다. LDAP는 디렉토리 시스템에 액세스하기 위한 표준 프로토콜을 정의합니다.

다음과 같은 몇 가지 요소가 이 합의 위치를 결정합니다.

  • 디렉토리에 인증서를 저장하고 애플리케이션이 사용자를 대신하여 인증서를 검색하도록 하면 대부분의 비즈니스에서 사용하는 데 필요한 투명성을 제공합니다.
  • LDAP를 지원하는 많은 디렉토리 기술을 다음과 같이 확장할 수 있습니다.
    • 매우 많은 수의 항목을 지원합니다.
    • 정보 저장 및 검색 방법으로 검색 요청에 효율적으로 대응합니다.
    • 가장 고도로 분산된 조직의 요구사항을 충족하기 위해 네트워크 전체에 배포합니다.

또한 인증서 배포를 지원하는 디렉토리는 다른 조직 정보를 저장할 수 있습니다. 다음 섹션에서 설명하는 것처럼 PKI는 디렉토리를 사용하여 인증서 해지 정보를 배포할 수도 있습니다.

인증서 해지란 무엇입니까?

인증서에 대한 CA의 서명을 확인하는 것 외에도(앞서 '인증서 및 인증 기관의 역할은 무엇입니까?'에서 설명한대로) 애플리케이션 소프트웨어는 인증서가 사용 당시에도 여전히 신뢰할 수 있는지 확인해야 합니다. 더 이상 신뢰할 수 없는 인증서는 CA에서 해지해야 합니다. 유효 기간이 끝나기 전에 인증서를 해지해야 하는 이유는 여러 가지가 있습니다. 예를 들어, 인증서의 공개 키에 해당하는 개인 키(서명 키 또는 암호 해독 키)가 손상될 수 있습니다. 또는 조직의 보안 정책에 따라 조직을 떠나는 직원의 인증서를 해지해야 할 수도 있습니다.

이러한 상황에서는 시스템의 사용자에게 인증서를 계속 사용하는 것이 더 이상 안전하지 않다는 사실을 알려야 합니다. 인증서의 해지 상태는 매번 사용하기 전에 확인해야 합니다. 결과적으로 PKI는 확장 가능한 인증서 해지 시스템을 통합해야 합니다. CA는 시스템의 각 인증서 상태에 대한 정보를 안전하게 게시할 수 있어야 합니다. 사용자를 대신하여 애플리케이션 소프트웨어는 인증서를 사용하기 전에 항상 해지 정보를 확인해야 합니다.

인증서 해지 정보를 게시하고 일관되게 사용하는 조합은 완전한 해지 시스템을 구성합니다. 인증서 해지 정보를 배포하는 가장 일반적인 방법은 CA가 보안 인증서 해지 목록(CRL)을 만들고 이러한 CRL을 디렉토리 시스템에 게시하는 것입니다. CRL은 해지된 모든 인증서의 고유한 일련 번호를 지정합니다.

인증서를 사용하기 전에 클라이언트 측 애플리케이션은 적절한 CRL을 확인하여 인증서를 여전히 신뢰할 수 있는지 확인해야 합니다. 클라이언트 측 애플리케이션은 사용자를 대신하여 해지된 인증서를 일관되고 투명하게 확인해야 합니다.

교차 인증이란 무엇입니까?

교차 인증은 인증 기관 도메인 간의 제3자 신뢰 관계를 확장합니다. 예를 들어, 각각 자체 CA가 있는 두 거래 파트너가 다른 파트너의 CA에서 발급한 인증서를 검증하려고 할 수 있습니다. 또는 대규모 분산 조직에는 다양한 지리적 영역에 여러 CA가 필요할 수 있습니다. 교차 인증을 통해 서로 다른 CA 도메인이 신뢰할 수 있는 전자 관계를 설정하고 유지할 수 있습니다.

교차 인증이라는 용어는 두 가지 작업을 의미합니다.

  1. 두 CA 간에 트러스트 관계 설정(드물게 실행됨). 양방향 교차 인증의 경우 두 CA가 확인 키를 안전하게 교환합니다. 확인 키는 인증서에서 CA의 서명을 확인하는 데 사용되는 키입니다. 작업을 완료하기 위해 각 CA는 "교차 인증서"라는 인증서에서 다른 CA의 확인 키에 서명합니다.
  2. 교차 인증 CA에서 서명한 사용자 인증서의 신뢰성을 확인합니다(자주 실행됨). 바로 이것입니다. 클라이언트 측 소프트웨어에 의해 수행되는 작업은 종종 "트러스트 체인 걷기"라고 합니다. "체인"은 확인 사용자의 CA 키에서 다른 사용자의 인증서를 검증하는 데 필요한 CA 키까지 "걷는"(또는 추적되는) 교차 인증서 검증 목록을 나타냅니다. 교차 인증서 체인을 걸을 때 각 교차 인증서를 확인하여 여전히 신뢰할 수 있는지 확인해야 합니다. 사용자 인증서를 해지할 수 있어야 합니다. 따라서 교차 인증서가 필요합니다. 이 요구 사항은 교차 인증과 관련된 논의에서 자주 간과됩니다.

클라이언트 측 소프트웨어란 무엇입니까?

PKI에 대한 요구 사항을 논의할 때 기업은 종종 클라이언트 측 소프트웨어에 대한 요구사항을 무시합니다. (예를 들어, 많은 사람들이 PKI를 논의할 때 CA 구성 요소에만 집중합니다.) 그러나 궁극적으로 PKI의 가치는 사용자가 암호화 및 디지털 서명을 사용할 수 있는 능력과 관련이 있습니다. 이러한 이유로 PKI에는 데스크톱의 애플리케이션(이메일, 웹 검색, 전자 양식, 파일/폴더 암호화 등)에서 일관되고 투명하게 작동하는 클라이언트 측 소프트웨어가 포함되어야 합니다.

클라이언트 측 소프트웨어 내에서 일관되고 사용하기 쉬운 PKI 구현은 PKI 운영 비용을 낮춥니다. 또한 PKI의 모든 요소를 지원하려면 클라이언트 측 소프트웨어를 기술적으로 활성화해야 합니다. 다음 목록에는 비즈니스의 사용자가 사용 가능하고 투명한(따라서 허용 가능한) PKI를 받을 수 있도록 클라이언트 측 소프트웨어가 충족해야 하는 요구사항이 요약되어 있습니다.

  • 공개 키 인증서 제3자의 트러스트를 제공하려면 모든 PKI 사용 애플리케이션에서 일관되고 신뢰할 수 있는 방식으로 인증서를 사용해야 합니다. 클라이언트 측 소프트웨어는 인증서에 대한 CA의 서명을 검증하고 인증서가 유효 기간 내에 있는지 확인해야 합니다.
  • 키 백업 및 복구 사용자를 데이터 손실로부터 보호하려면 PKI가 암호 해독 키의 백업 및 복구를 위한 시스템을 지원해야 합니다. 관리 비용과 관련하여 각 애플리케이션이 자체 키 백업 및 복구를 제공하는 것은 용인할 수 없습니다. 대신 모든 PKI 지원 클라이언트 애플리케이션은 단일 키 백업 및 복구 시스템과 상호 작용해야 합니다. 클라이언트 측 소프트웨어와 키 백업 및 복구 시스템 간의 상호 작용은 안전해야 하며 상호 작용 방법은 모든 PKI 사용 애플리케이션에서 일관되어야 합니다.
  • 부인 방지 지원 부인 방지에 대한 기본 지원을 제공하려면 클라이언트 측 소프트웨어가 디지털 서명에 사용되는 키 쌍을 생성해야 합니다. 또한 클라이언트 측 소프트웨어는 서명 키가 절대 백업되지 않고 항상 사용자의 제어 하에 있는지 확인해야 합니다. 이러한 유형의 지원은 모든 PKI 사용 애플리케이션에서 일관되어야 합니다.
  • 키 쌍 자동 업데이트 투명성을 활성화하려면 클라이언트 측 애플리케이션이 사용자의 키 쌍 업데이트를 자동으로 시작해야 합니다. 이는 조직의 보안 정책에 따라 수행되어야 합니다. 사용자가 키 쌍을 업데이트해야 한다는 사실을 알아야 할 필요가 없습니다. 모든 PKI 사용 애플리케이션에서 이 요구사항을 충족하려면 클라이언트 측 소프트웨어가 키 쌍을 투명하고 일관되게 업데이트해야 합니다.
  • 주요 기록 관리 사용자가 암호화된 모든 데이터에 쉽게 액세스할 수 있도록 하려면(암호화 시기에 관계없이) PKI 사용 애플리케이션이 사용자의 키 기록에 액세스할 수 있어야 합니다. 그리고 클라이언트 측 소프트웨어가 사용자의 키 기록을 안전하게 복구할 수 있어야 합니다.
  • 확장 가능한 인증서 리포지토리 인증서 배포 비용을 최소화하려면 모든 PKI 사용 애플리케이션에서 확장 가능한 공통 인증서 리포지토리를 사용해야 합니다.

일반적인 PKI 관리 실수/문제는 무엇입니까?

새로운 애플리케이션 지원
애플리케이션이 PKI를 사용하기가 어려운 경우가 종종 있습니다. Ponemon Institute의 2019 PKI 및 IoT 트렌드 보고서에 따르면 애플리케이션에서 PKI를 사용하는 것과 관련하여 조직이 계속 직면하게 될 두 가지 가장 중요한 과제는 기존 PKI가 새로운 애플리케이션을 지원할 수 없고 레거시 애플리케이션을 변경할 수 없다는 것입니다.

(자세한 내용은 아래 차트를 참조하십시오.)

명확한 소유권 부재
같은 설문 조사에서 PKI 기능에 대한 명확한 소유권이 없다는 사실이 계속해서 주요 PKI 배포 문제가 되리라는 것도 알아냈습니다. 그러나 오늘날의 PKI 환경에서는 특히 다음을 고려할 때 적절한 관리가 필요합니다.

  • 인프라가 분산되어 있으며 많은 인증서가 많은 사람, 장소 및 사물에 발급됩니다.
  • 우리는 그 어느 때보다 더 많은 "사물"을 보호하고 수명이 짧은 인증서를 처리해야 합니다.
  • 인증서는 중요한 비즈니스 애플리케이션을 보호하며 중단은 비용이 많이 들고 진단하기 어려울 수 있습니다.

인프라의 인증서에 대한 적절한 가시성을 위해 특정 부서 내에서 PKI 관리를 중앙 집중화할 뿐 아니라 인증서 모니터링 및 보고를 위한 단일 창을 제공하는 소프트웨어 툴을 사용할 수도 있습니다.

PKI에 중요한 보안 인증 및 표준은 무엇입니까?

특히 지역 및/또는 정부 수준에서 여러 가지 표준 및 규정이 있지만 PKI를 배포할 때 가장 중요한 두 가지 보안 인증은 다음과 같습니다.

요약

포괄적인 PKI는 다음 항목을 구현해야 합니다.

  • 공개 키 인증서
  • 인증서 리포지토리
  • 인증서 해지
  • 키 백업 및 복구
  • 디지털 서명 부인 방지 지원
  • 키 쌍 및 인증서 자동 업데이트
  • 주요 기록 관리
  • 교차 인증 지원
  • 안전하고 일관적이며 신뢰할 수 있는 방식으로 위의 모든 항목과 상호 작용하는 클라이언트 측 소프트웨어

포괄적인 PKI만이 신뢰할 수 있는 네트워킹 환경을 구축하고 유지하는 동시에 사용 가능하고 자동화된 투명한 시스템을 제공한다는 목표를 달성할 수 있습니다.

비용 절감, 비즈니스 프로세스 간소화, 고객 서비스 개선은 PKI 투자에 대한 실질적인 수익을 제공합니다. 조직은 이미 연간 1~540만 달러의 비용 절감을 실현했습니다. 특정 비즈니스 애플리케이션에 중점을 두면 PKI는 원하는 수익을 제공할 수 있습니다. 기존 네트워크를 활용하여 보안 이메일, 데스크톱 보안, 웹 기반 보안, 전자 상거래, 액세스 제어 또는 가상 사설망을 제공할 수 있습니다.