1. 개요

1.1. 목적

본 기술표준에서는 교육부 행정전자서명인증센터 인증서의 상호 연동을 위한 기술적인 기본 사항들을 정하고자 한다.

1.2. 적용범위

본 표준은 교육업무 서비스에 사용되는 인증서를 생성, 폐지, 관리 및 검증하기 위해 인증기관 및 인증서를 활용하는 각 기관에 본 표준을 적용한다.

1.3. 주요내용

본 표준에서는 다음과 같은 사항에 대해 정의한다.

• 인증서 및 인증서폐지목록 프로파일
• 알고리즘
• 인증서 관리
• 인증서 유효성 검증
• OID 및 DN
• 인증서 체계
• 보안토큰 기술규격

1.4. 전제 조건

본 표준은 다음과 같은 전제조건을 고려하여 기술한다.

• X.509 인증서 버전 3와 인증서 폐지목록 버전 2를 사용한다.
• 모든 인증서 사용자들이 최상위 인증기관(루트 즉 Self-signed CA)을 가장 신뢰하는 하향식(Top-down) 신뢰 구조를 가정한다.
• 송수신 메시지 중에 out-of-band로 교환되는 것은 별도로 정의하지 않는다.
• 저장소에 대한 사용자 인증(authentication) 프로토콜을 포함하지 않는다.
• 저장소는 X.500 디렉토리 또는 URI(Uniform Resource Indicator)를 이용하는 다른 형태일 수 있으나, LDAPv3를 반드시 지원하여야 한다.
• 본 규격에 기술되지 않은 사항은 일차적으로 행정전자서명인증관리센터에서 권고하는 기술규격을 따르며, 이외의 사항에 대해서는 국내외 기술규격 및 표준을 준용한다.

1.5. 용어 정의

• ASN.1(Abstract Syntax Notation One) : 복잡한 데이터 구조들을 추상적으로 표현하기 구문 표기법
• ARIA(Academy Reasearch Institute Agency) : KS X 1213, 128비트 블록 암호 알고리즘
• CMP(Certificate Management Protocols) : 인증기관, 등록기관, 사용자 간 인증서 발급, 갱신, 폐지 등 각종 인증업무를 처리하는 데에 사용되는 인증서 관리 프로토콜
• DER(Distinguished Encoding Rules) : 동일한 데이터 구조에 대해서는 유일한 인코딩/디코딩 값을 생성해 내는 ASN.1 인코딩 규칙
• DN(Distinguished Name) : 사용자 객체를 명확히 구별할 수 있도록 부여하는 고유한 이름
• KCDSA : 이산대수 문제에 기반을 둔 TTAS.KO-12.0001/R4에 따르는 한국표준 전자서명 알고리즘
• LDAP(Lightweight Directory Access Protocol) : 디렉토리 서버와 클라이언트 간의 통신에 사용되는 디렉토리시스템 접근 프로토콜로서, DAP보다 간결하고 실용적으로 만들어진 프로토콜
• OCSP(Online Certificate Status Protocol) : 인증서 폐지목록을 획득하지 않고도 실시간으로 인증서의 상태를 검증할 수 있도록 하는 인증서상태 실시간검증프로토콜
• SCVP(Server-base Certificate Validation Protocol) : 클라이언트를 대신하여 서버가 인증경로의 설정과 인증경로를 검증할 수 있도록 하는 프로토콜
• OID(Object IDentifier) : 객체를 식별하기 위하여 객체에게 부여하는 고유한 식별자
• PKCS(Public Key Cryptography Standards) : RSA사에서 RSA알고리즘의 구현 방법론과 여러 가지 구문표현에 대해 정의한 문서
• SEED : TTA.IS-10118을 따르는 한국표준 암호 알고리즘
• SHA-1 : 미국전자서명 표준인 DSS(Digial Signature Standard)와 함께 사용될 목적으로 설계된 알고리즘으로 160bit를 출력함
• SHA256 : SHA-1의 안전성이 문제가 되면서 출력길이를 확장한 알고리즘으로 FIP 180-2에 정의되어 있음
• 개인키(private key) : 공개키 암호 시스템에서 전자서명을 하거나 복호화를 하는데 사용하기 위해 개인만이 보유하는 키
• 공개키(public key) : 공개키 암호 시스템에서 사용자의 전자서명을 검증하거나 암호화를 하는데 쓰이는 키
• 디렉토리 시스템(DS: Directory System) : 정보를 저장, 관리할 수 있는 분산된 데이터베이스 시스템
• 인증 경로(Certification Path) : 서명 검증자가 신뢰하는 인증서부터 검증하고자 하는 인증서까지의 일련의 인증서의 집합
• 인증기관(CA : Certification Authority) : 사용자 및 다른 인증기관들에게 공개키 인증서를 발급하는 신뢰 기관으로 인증서 폐지 목록을 주기적으로 발행하며, 디렉토리에 인증서와 인증서 폐지 목록을 게시함
• 인증서 신뢰목록(CTL : Certificate Trust List) : 최상위인증기관이 他 인증기관과의 상호연동을 하기 위한 방식으로서 他 최상위인증기관에서 발급한 인증서를 인증하기 他 최상위인증기관의 인증서 목록임
• 인증서(certificate) : 공개키와 사용자의 관계를 연결해주는 전자 정보로 인증기관에서 발급함
• 인증서 정책 : 보안이 요구되는 응용의 등급 또는 특정 환경에서 인증서의 용도 등을 지정하는 규칙들의 집합
• 인증서 폐지목록(CRL : Certificate Revocation List) : 여러 가지 폐지 사유로 인하여 더 이상 사용할 수 없는 인증서들의 목록
• 해쉬 함수: 가변 길이의 비트를 일정 길이의 비트로 대응시켜주는 함수
• 보안토큰 : 전자서명 생성키 등 주요자료를 안전하게 저장·보관할 수 있게 하며, 키생성·전자서명 생성 등이 기기 내부에서 처리되도록 구현된 하드웨어 기기
• 보안토큰 API(PKCS#11) : 보안토큰에 대한 응용프로그램 인터페이스