• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2005년도 한국컴퓨터종합학술대회 논문집 Vol.32 No.1 (A)
• /
• pp.190-192
• /
• 2005

PKI(Public Key Infrastructure)에서 인증서 상태 검증은 네트워크 환경에서의 거래에 신뢰성과 안전성 및 기밀성, 무결성 등의 서비스를 제공한다. 인증서 검증 방식은 CRL, OCSP, SCVP, DVCS 등이 있다. CRL은 시간이 지남에 따라 CRL의 크기가 증가하여 검증 시간이 지연되고 실시간 검증을 할 수 없는 단점을 가지고 있다. OCSP는 CRL을 이용하지 않고 거의 실시간에 가깝게 인증서를 검증하지만 서버의 부하 증가와 느린 검증 등의 단점을 가지고 있다. 분산 OCSP는 OCSP 서버를 분산시킨 후 CRL을 중복하여 보관하거나 분개하여 보관한 상태에서 검증하는 방식으로 대리검증에 따른 느린 검증과 CA의 부하부담 등의 단점을 가지고 있다. 본 논문에서는 제기된 단점들을 해결하여 빠른 검증과 부하 분산 효과를 얻을 수 있도록 분산된 OCSP 서버를 그룹으로 분류하고, 그룹 내의 각 서버에 인증서 폐지 정보를 중복 저장하여 부하분산, 빠른 검증, CRL을 Delta CRL 방식으로 OCSP 서버에 전송하여 네트워크 부하를 감소할 수 있도록 그룹 분산 OCSP 방식을 제안하고자 한다.

• 정보처리학회논문지C
• /
• 제11C권1호
• /
• pp.21-30
• /
• 2004

PKI를 채용한 대부분의 어플리케이션들은 사용자로 하여금 인증서 검증 작업을 수행하도록 한다. 인증서 검증 작업의 사용자 측 수행은 사용자 부담을 증가시키고 검증 속도를 떨어뜨려 전체적인 사용자 시스템의 효율성을 저하시킨다. 본 논문에서는 인증기관(Certificate Authority :CA)을 검증 작업에 참여시킴으로서 사용자 측 부담을 감소시킬 수 있는 새로운 형태의 인증서 검증 방안을 제안하였다. 따라서 제안한 방안은 새로운 검증 서버의 구현 없이 사용자 측의 검증 작업에 대한 부담을 감소시킬 수 있을 뿐만 아니라 검증 작업의 축소로 인해 검증 수행 시간을 향상시킬 수 있다.

• 정보보호학회논문지
• /
• 제14권4호
• /
• pp.25-37
• /
• 2004

인증서는 유효 기간 동안 사용할 수 있지만, 사용자의 허위 사실 기재, 사용자요청, 개인 키 손상 등의 이유로 인증서를 사용할 수 없는 경우 인증기관은 인증서를 취소해야 한다. 인증기관(Certificate Authority)은 인증서 취소목록(CRL : Certificate Revocation List)을 주기적으로 서명하여 디렉토리 서버에 갱신 하지만 인증기관이 디렉토리 서버에 CRL을 갱신하는 시간 내에 취소된 인증서를 사용할 수 있다는 문제점을 가지고 있다. 본 논문에서는 인증서 상태 확인 및 검증을 위하여 사용되는 인증서 취소 목록 기법 및 OCSP등의 다양한 기법에 대한 구조 및 특징을 분석하고, 서버와 사용자간 핸드셰이크 과정 시 옵져버 정보를 추가하는 새로운 인증서 상태 확인 및 검증 기법을 제안한다. 제안한 방식은 인증서가 유효기간 내에 취소되었으나 디렉토리서버에 인증서 취소 정보가 갱신되지 않은 경우 옵져버를 이용하여 실시간으로 인증서의 상태 확인 및 검증을 할 수 있으므로 적시성을 증대하였을 뿐만 아니라 OCSP의 문제점을 보완할 수 있다.

• 정보와 통신
• /
• 제17권10호
• /
• pp.105-117
• /
• 2000

글로벌 정보통신망을 통하여 전자문서 교환 및 전자상거래의 안전·신뢰성을 보장하기 위해서 공개키 기반의 인증서비스가 필요하다. 세계 각국은 자국의 통신 인프라에 대한 안전·신뢰성 보장을 위하여 공개키 기반구조를 구축하고 있다. 글로벌 정보통신망에서 인증기관간의 호환성 유지를 위하여 가장 중요한 기술요소는 인증서 혹은 거래문서에 대한 전자서명을 위한 암호알고리즘, 인증서 및 인증서 폐지목록의 프로파일 규격, 인증서 발급 및 관리를 위한 프로토콜, 인증서의 유효성을 확인할 수 있는 인증서 경로 검증 방법 등이다. 본 논문에서는 IETF PKIX 작업반의 내용을 중심으로 PKI 구현을 위하여 필수적 기술 요소인 인증서 및 CRL 프로파일 규격, 인증서 신청·발급 및 관리에 필요한 프로토콜, 인증서 유효성 검증을 위하여 필요한 기술 등을 우선적으로 다루고 국내외 인증 제품 개발 및 인증서비스 업체의 현황에 대하여 설명하고자 한다.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2012년도 제46차 하계학술발표논문집 20권2호
• /
• pp.195-197
• /
• 2012

전자서명의 장기검증이란 서명에 사용된 인증서의 유효기간이 지난 오랜 후에 서명을 검증하고자 하는 문제이다. RFC3126에서는 전자서명의 장기검증을 가능하게 하기 위해 타임스탬프기관(TSA)에 대한 신뢰를 바탕으로 전자서명에 타임스탬프(TS)를 부가하여 장기검증포맷으로 변환하여 저장하는 방법을 제시하고 있는데 TSA의 인증서도 유효기간을 가지기 때문에 시간이 지날수록 새로운 TS를 계속 부가해야 한다는 단점이 있다. 한편 과거에 사용했던 인증서 및 CRL등의 인증체계 자체를 보존하고 인증해주기 위한 메커니즘은 인증체계의 연속성을 보장하기 위해 매우 중요하다고 볼 수 있는데, 현재의 공개키기반구조(PKI) 메커니즘에는 특별히 정의되어 있지 않다. 인증체계의 장기검증을 위해 RFC3126[1]의 방법론을 적용하는 것은 여러 가지 측면에서 효율적인 방법이 아니다. 이 논문에서는 인증체계의 과거역사를 보존하고 보증해주기 위한 새로운 방법을 제시하는데, 인증기관이 자신의 인증서를 갱신하는 경우 자신이 운영했던 과거의 인증역사에 대해 봉인을 하고 책임있는 사후서비스를 하도록 하며, 현재의 인증서에 과거역사에 대한 명시적인 인증을 포함하도록 하는 것이다. 이러한 방법은 기존의 인증체계와 함께 이용될 수 있고 인증체계의 연속성을 보장하는데 큰 역할을 하게 되며 전자서명 장기검증에도 유용하게 이용될 수 있음을 보인다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2004년도 춘계학술발표대회
• /
• pp.1107-1110
• /
• 2004

PKI(Public key Infrastructure)기반에서 CA(Certificate Authority)는 사용자를 인증하기 위해서 인증서를 생성하고, 인증서의 상태를 검증하기위해서 CRL(Certificate Revocation List)를 발행하여 인증서 취소 상태를 확인하도록 한다. CRL을 사용할 경우 사용자의 증가로 인하여 CRL의 크기가 증가 함으로써 많은 부담과 실시간 처리가 어렵다. 이와 같은 단점을 보안하기 위해서 최근에는 실시간 처리가 가능한 OCSP(Online Certificate Status Protocol)방법이 제안되었지만 이 또한 사용자의 급증으로 하나의 OCSP 서버에 집중화 됨으로써 OCSP 서버의 부하가 많이 생긴다. 본 논문에서는 집중 OCSP 서버에서 생기는 부하를 줄이기 위해 여러 개의 OCSP 서버를 두고, 각 OCSP 서버의 응답 처리 시간을 빠르게 하기 위해서 CA가 실시간으로 인증서 취소 정보를 해당 OCSP 서버에게 분배하여 전달하고 Front Server를 둠으로써 각 OCSP의 Load를 모니터링하여 부하가 적게 걸린 OCSP에게 인증서 상태 검증을 함으로써 신뢰성과 각 OCSP 서버의 부하를 줄이는 방안을 제시한다.

• 인터넷정보학회논문지
• /
• 제4권4호
• /
• pp.53-64
• /
• 2003

사용자 어플리케이션에서 인증서의 검증 과정을 모두 수행하는 것은 복잡하고 시간 소비적인 작업으로서 사용자 측에 상당한 부담을 줄 수 있다. 특히, 인증서의 서명을 검증하는 작업은 인증 경로상의 모든 인증서들에 대한 암호화 계산을 필요로 하기 때문에 이로 인한 연산적인 부담은 전체 검증 작업 부담의 대부분을 차지하게 된다. 본 논문에서는 인증서 검증 작업 중 서명 검증 작업을 PKI 영역내의 CA들에게 위임함으로서 사용자측의 검증 작업에 대한 부담을 줄일 수 있는 DSVP(Delegated Signature Validation Protocol)를 이용한 새로운 인증서 검증 기법을 제안하였다. 제안한 DSVP는 사용자와 CA들 간의 수행되는 프로토콜로서, 계층적 PKI에서 효율적으로 적용되며 서명 검증 위임 작업이 안전하고 신뢰성 있게 수행되도록 한다. 제안한 기법은 사용자 측의 암호화 계산을 줄이고 상위 CA들을 검증 작업에 가담시킴으로서, 사용자 측의 검증 작업에 대한 부담을 줄임과 동시에 PKI 영역의 정적인 CA들의 활용도를 높이는 효과를 가져올 수 있다.

• 한국정보보호학회:학술대회논문집
• /
• 한국정보보호학회 2002년도 종합학술발표회논문집
• /
• pp.233-236
• /
• 2002

디지털 서명의 정당성을 검증하기 위해서는 서명자 공개키의 유효성을 인증해야 한다. 이 때, PKI 기반의 인증서를 통해 인증을 수행한다면, 무선 인터넷이라는 특성에 따른 보안상의 문제가 있을 뿐만 아니라 비효율적이다. 그런데 별도의 인증서 검증이 필요 없는 개인식별정보 자체를 공개키고 사용한다면 인증서 검증을 위한 무선 인터넷에서 유선 인터넷으로의 접속 없이 서명의 검증이 가능하게 되고, 무선망만을 이용한 통신이 가능하게 된다. 본 논문에서는 이와 같이 이동 통신 환경에 적합하도록 개인식별정보를 공개키고 사용하는 디지털 서명 알고리즘을 제안한다.

• 한국정보통신학회논문지
• /
• 제21권4호
• /
• pp.744-752
• /
• 2017

ECQV(Elliptic Curve Qu-Vanstone) 묵시적 인증서는 명시적 인증서와 다르게 전자서명을 검증하지 않고 인증서로부터 공개키를 복원시킨다. 이와 같이 공개키가 인증서로부터 복원되면 인증서와 공개키는 묵시적으로 검증된다. 그러므로 ECQV 묵시적 인증서는 전자서명과 공개키 대신에 공개키 복원 데이터만으로 구성되어 명시적 인증서보다 크기가 작고, 인증서로부터 공개키를 복원하는 것이 전자서명을 검증하는 것보다 빠르다. 또한 ECQV는 ECC 기반으로 동작되므로 다른 암호화 방식에 비해 키 길이가 짧고 속도가 빨라 메모리, 대역폭과 같은 자원이 제한된 환경 및 응용에 적합하다. 본 논문에서는 SECG SEC 4에 정의된 ECQV의 전제 조건과 묵시적 인증서의 발행, 묵시적 인증서로부터의 공개키 복원에 대해 설명하고, ECQV를 소프트웨어로 설계 및 구현하였으며 그 성능을 측정하였다.

• 정보보호학회논문지
• /
• 제12권3호
• /
• pp.3-13
• /
• 2002

공개키 기반 인증시스템에서 사용자의 실수로 비밀키가 노출되었거나 자격의 박탈, 유효기간 만료 등의 이유로 인증서를 폐지해야 할 경우가 있다. 이에 따라 각 사용자는 수신된 인증서의 유효성을 검증해야만 한다. 이 인증서 폐지 여부를 확인하는 방법으로는 CRL. Delta-CRL, OCSP 등의 방식이 개발되었다. 하지만 이 모든 방식에서의 인증서 유효성 검증은 실시간으로 처리해야 하트로 많은 통신량을 발생시키는 문제점을 가지고 있다. 본 논문에서는 CRL관리의 문제점인 전송시점 차이에 따른 무결성 문제와 신시간 처리로 인한 서버와 네트웍의 과도한 트래픽 발생을 해결한 FM 부가방송(FM Subcarrier Broadcasting)을 이용한 인증시스템을 설계, 인증서 유효성 검증의 성능 향상을 제안한다.