it-swarm-korea.com

PKI에 대한 인증 기관

어떤 사람들은 PKI에 대한 인증 기관이 정부 여야한다고 생각하지만 다른 사람들은 인증 기관이 은행, 기업 또는 학교와 같은 사설 기관이어야한다고 생각합니다. 각 접근 방식의 장점과 단점은 무엇입니까?

9
user1713

루트 인증 기관은 신뢰가 오는 곳입니다. 무슨 신뢰? PKI의 요점은 공개 키를 identities 에 바인딩하는 것입니다. 여기서 중요한 점은 우리가 이야기하고있는 정체성의 종류와 신뢰하는 부분을 누가 할 것인가입니다.

따라서 루트 CA는 다음과 같은 엔터티에 의해 운영되어야합니다.

  • 검증자는 신뢰할 수 있습니다
  • 인증서를 발급하기 전에 신원을 확인하기위한 적절한 절차가 있습니다.

시나리오 1 : 인터넷을 통해 연간 세금 신고서를 제출하고, 해당 국가의 재정 행정부가 인증서를 통해 납세자를 인증하고자한다고 가정 해보십시오 (프랑스에서 작동하는 방식입니다). 여기서 정체성의 개념은 이름, 생년월일 등 중요한 기록에 관한 것입니다. 중요한 기록 유지 및 세금 회수는 모두 주정부의 특권입니다. 따라서이 설정에서 주가 루트 CA를 관리한다는 것은 많은 의미가 있습니다. 주에는 이미 물리적 신원을 추적하는 절차가 있습니다 and 는 또한 해당 시나리오에서 인증서 소비자입니다. 주 (세금 회수 서비스)는 인증서를 확인하는 엔티티입니다. CA를 외부 개인 엔터티로 오프로드하는 것은 여기서 불필요하게 복잡해 보입니다.

시나리오 2 : 직원들에게 인증서를 발급하여 이메일을 암호화하고 서명 할 수있는 대기업입니다. 신원은 법적 이름이 아니라 키 홀더의 기능 입니다 : Bob (영업 부사장)에게 암호화 된 이메일을 보내지 않습니다. 암호화 된 이메일을 영업 부사장 (현재 Bob)에게 보냅니다. (언제) Bob이 "사용할 수 없음"(그가 해고 됨)이되면 Dave (새 영업 부사장)가 과거 이메일을 읽을 수 있어야합니다. 이 시나리오에서 사용 된 신원의 개념은 완전히 회사의 통제하에 있으며 (회사는 자체 계층 구조를 정의 함) 물리적 키 홀더와의 연결도 defined 회사에서. 여기에 정부를 연루시킬 이유가 전혀 없습니다. 이 시나리오에서 자연 루트 CA는 회사 자체에서 운영하는 CA입니다.

시나리오 3 : 시나리오 2의 변형입니다. 이제 각각 자체 CA를 가진 여러 대기업이 있습니다. 그들은 서로 암호화 된 이메일을 할 수 있기를 원합니다. 이를 달성하는 방법에는 여러 가지가 있습니다. 그중 하나는 브리징 (각 CA가 다른 회사의 루트 CA에 대해 중간 인증서를 발급 함)으로, 시나리오 2와 동일한 모델로 모든 것을 유지합니다. 또는 외부 루트를 상상할 수 있습니다. 회사 CA. 그러면 그 외부 루트는 모든 사람이 신뢰합니다. 정부 운영 (공공 서비스) 또는 민간 관리 ( "신뢰 서비스"제공 업체, 각 참여 회사와의 계약 체결) 일 수 있습니다. 이것은 과학적 차이를 만들지 않습니다. 민주당 원인지 공화당 원인지에 따라).

시나리오 4 : 인터넷, HTTPS 웹 사이트, 기본 루트 CA 세트가 내장 된 웹 브라우저. 이것은 일이 까다로워지는 곳입니다. 기술적으로 웹 사용자 는 CA를 신뢰의 기반으로 사용하고 있습니다. 그러나 루트 CA는 브라우저 공급 업체와 CA 운영자 간의 계약에 따라 브라우저 (또는 운영 체제)에 포함되었습니다. 어느 쪽도 고객의 이익을 기본 목표로 삼지 않으며 CA에서 발행 한 "인증 정책 성명"에 구현 된 계약 세부 사항은 일반적으로 "어떤 일이 발생하든 우리의 잘못이 아닙니다"(하지만 변호사와 호환되는 전문 용어 200 페이지). 누가 HTTPS 웹 사이트에 대한 인증서를 발급해야 해야하는지 명확하지 않습니다. 웹 사이트 소유자의 신원 은 종종 회사 이름이며, 회사가 등록 된 주에 의해 정의됩니다. 193 개의 UN 회원국과 12 개 정도의 다른 주와 유사한 기관이 있으며, 여러 기관으로 간주되기를 원하는 연방 주를 포함하지 않습니다. 거기에는 잠재적 인 CA가 상당히 많습니다. 불만족 스럽습니다. 그러나 우리는 경찰이 강탈자를 추적하고 처벌 할 수 있기를 원하기 때문에 회사를 식별하고 싶습니다. 그리고 법 집행 역시 국가의 특권입니다.

그래서 지금 우리는 Microsoft가 포함 할 수있는 루트 CA를 사용하여 HTTPS를 수행하고 있으며, 가짜 인증서를 통한 공격이 드물게 남아 있기를기도합니다.

따라서 요약하자면 누가 루트 CA 여야하는지에 대한 질문은 실제로 사용하려는 ID 개념에 따라 달라집니다. 일반적으로 누구든지 정의 해당 ID가 루트 CA가 될 수있는 좋은 위치에 있습니다. 정의에 따라 이미 신뢰할 수 있기 때문입니다.

11
Thomas Pornin

Stackoverflow의 원본 버전에서 논의한대로 :

그것은 모두 당신이 누구를 신뢰하는지에 달려 있습니다. 일부 조직은 정부를 신뢰하지만 일부는 그렇지 않습니다. 일부는이 역할에서 은행을 신뢰하지만 경쟁 업체는 은행을 신뢰합니까? 많은 은행에서 자체 PKI를 설정하거나 PKI 공급 업체를 사용하는 것을 보았습니다. 루트 CA 생성 및 저장과 관련된 물리적 보안 요구 사항은 매우 James Bond입니다!

특정 상황의 경우 요구 사항, 신뢰 요구 사항 및 위험을 살펴보십시오. 귀하의 요구에 가장 적합한 PKI 공급자는 무엇입니까? 재해 복구 및 비즈니스 연속성 계획은 어떻게 구성되어 있습니까? 이것이 귀사의 요구 사항과 일치합니까? 루트 CA의 손상을 어떻게 방지합니까?

11
Rory Alsop

여기에 대한 대답은 주관적이라고 생각합니다. 누구를 신뢰해야하는지는 귀하의 목적뿐만 아니라 어떤 주체가 데이터와 프로세스를 적절한 방식으로 관리 할 것인지에 대한 귀하의 믿음에 따라 다릅니다.

어두운 골목에있는 남자가 나에게 롤렉스 시계를 팔고 있다는 것을 믿지 않는 것처럼, 실제로 Ma와 Pa의 가게를 방문하여 Ma와 Pa를 알아 내지 않았다면 "Ma and Pa 's House of Certificates"를 믿지 않을 것입니다. Pa는 지하실에 Fort Knox가 있었으며 신원을 확인하고 CA 데이터 무결성을 보장하며 인증서 상태에 대한 적시 정보를 제공하는 데 필요한 절차를 잘 알고있었습니다.

또한-나는 그것이 당신의 임무에 달려 있다고 생각합니다-나는 정부 관할권 내에서 신분증을 증명하기 위해 정부에서 발급 한 인증서를 기꺼이 얻습니다. 미국에서 운전 면허증을 신분증으로 사용하는 경향이 있습니다. 그리고 나이. 하지만 다국적 기업을 대표하고 외국에서 자격 증명을 제시해야한다면 정부에서 발급 한 신분증을 사용하는 것이 덜 만족 스러울 것입니다. 이러한 상황에서는 동일한 방식으로 취업 증명서를 발급받을 수 있습니다. 오늘 회사 ID 배지를 받았습니다.

6
bethlakshmi