디지털 서명, 디지털 인증서 및 타임 스탬핑이 무엇입니까?
디지털 인증서란 무엇입니까?
공개 키 인프라(PKI)는 공개 키를 관련 사용자(개인 키 소유자)와 바인딩하기 위해 디지털 증명서를 사용합니다. 디지털 증명서는 거래에서 사용자 간의 ID를 쉽게 확인할 수 있는 자격증명입니다. 여권이 한 국가의 시민으로 자신의 신원을 증명해 주듯, 디지털 증명서의 목적은 에코시스템 내에서 사용자의 ID를 설정하는 것입니다. 디지털 증명서는 암호화된 데이터가 전송되는 사용자를 식별하거나 정보 서명자의 ID를 확인하는 데 사용되므로 인증서의 진위성과 무결성을 보호하는 것은 시스템의 신뢰성을 유지하는 데 필수적입니다.
Certificate Authority란 무엇입니까?
Certificate Authority(CA)는 계층적 신뢰 체인을 설정하는 PKI(공개 키 인프라)의 핵심 구성 요소입니다. CA는 사용자의 ID를 인증하는 데 사용되는 디지털 자격증명을 발급합니다. CA는 PKI 및 PKI가 지원하는 서비스의 보안을 뒷받침하므로 정교한 표적 공격의 대상이 될 수 있습니다. 인증 기관에 대한 공격 위험을 완화하기 위해 물리적 및 논리적 제어뿐만 아니라 하드웨어 보안 모듈(HSM)과 같은 강화 메커니즘이 PKI의 무결성을 보장하는 데 필요하게 되었습니다.
코드 서명이란 무엇입니까?
공개 키 암호화에서 코드 서명은 조직이 소프트웨어 게시자의 ID를 확인하고 소프트웨어가 게시된 후 변경되지 않았음을 인증할 수 있도록 하는 인증서 기반 디지털 서명의 특정 용도에 해당합니다.
디지털 서명은 소프트웨어 게시자 및 사내 개발 팀이 Duqu 2.0과 같은 지능형 지속 공격(APT)을 포함한 사이버 보안 위험으로부터 최종 사용자를 보호할 수 있도록 입증된 암호화 프로세스를 제공합니다. 디지털 서명은 소프트웨어의 무결성 및 진위성을 보장합니다. 최종 사용자는 디지털 서명을 사용하여 게시자 ID를 확인하는 동시에 설치 패키지가 서명된 이후 변경되지 않았음을 검증할 수 있습니다. 모든 최신 운영 체제는 설치 중에 디지털 서명을 찾고 검증하며, 서명되지 않은 코드에 대해 경고하여 최종 사용자가 설치를 중단할 수 있도록 합니다.
타임 스탬핑이란?
타임 스탬핑은 디지털 서명 관행에 대한 점점 더 유용한 보완책으로, 조직이 메시지, 문서, 거래 또는 소프트웨어와 같은 디지털 항목이 서명된 시기를 기록할 수 있게 해 줍니다. 일부 애플리케이션의 경우 주식 거래, 복권 발행 및 일부 법적 절차와 같은 디지털 서명의 타이밍이 매우 중요합니다. 애플리케이션에 시간이 내재되어 있지 않은 경우에도 타임 스탬핑은 디지털 증명서가 사용된 시점에 유효한지 여부를 입증하는 메커니즘을 제공하기 때문에 기록 유지 및 감사 프로세스에 유용합니다. 디지털 서명 솔루션의 중요성이 커짐에 따라 타임 스탬핑에 대한 수요도 증가하여 Microsoft Office와 같은 많은 소프트웨어 프로그램이 타임 스탬핑 기능을 지원합니다.
보안의 중요성
타임 스탬핑이 진정한 가치를 지니려면 타임 스탬핑이 안전해야 합니다.
안전하지 않은 타임 스탬핑으로 인한 위험
- 전자 프로세스를 신뢰할 수 없어, 전자 기록을 백업하는 데 비용이 많이 드는 종이 추적으로 이어질 수 있습니다.
- 공격자는 컴퓨터 시계 조작으로 소프트웨어 기반 시점확인 프로세스를 쉽게 손상시켜, 전체 서명 프로세스를 무효화할 수 있습니다.
- 안전하지 않은 시점확인 또는 디지털 서명 프로세스는 조직이 규정 준수 문제와 법적 문제에 노출될 수 있습니다.
- 개인 서명 키 및 인증서가 해지된 후에도 사용자는 키와 인증서에 계속 액세스할 수 있습니다. 시점확인이 없으면 조직은 인증서가 해지되기 전 또는 후에 서명이 생성되었는지 여부를 증명할 수 없습니다.