KCAC.TS.CRLPROF v1.50 전자서명인증서효력정지및폐지목록프로파일규격 Accredited Digital Signature Certificate Revocation List Profile v 년 9월

Size: px

Start display at page:

Download "KCAC.TS.CRLPROF v1.50 전자서명인증서효력정지및폐지목록프로파일규격 Accredited Digital Signature Certificate Revocation List Profile v 년 9월"

혜성 묵
5 years ago
Views:

1 전자서명인증서효력정지및폐지목록프로파일규격 Accredited Digital Signature Certificate Revocation List Profile v 년 9월

2 목 차 1. 개요 1 2. 규격의구성및범위 1 3. 관련표준및규격 국외표준및규격 국내표준및규격 기타 2 4. 정의 전자서명법용어정의 용어의정의 용어의효력 3 5. 약어및기호 3 6. 전자서명인증서효력정지및폐지목록프로파일 인증서효력정지및폐지목록기본필드 인증서효력정지및폐지목록확장필드 인증서효력정지및폐지목록엔트리확장필드 7 부록 1. 전자서명인증서효력정지및폐지목록프로파일요약 10 부록 2. 규격연혁 14

3 전자서명인증서효력정지및폐지목록프로파일규격 Accredited Digital Signature Certificate Revocation List Profile 1. 개요 본규격에서는전자서명법에따라구축된공인전자서명인증체계의공인인증 기관이유 무선공인인증서비스를제공하는데있어필수적으로요구되는전자 서명공인인증서( 이하인증서) 효력정지및폐지목록프로파일을규정한다. 2. 규격의구성및범위 본규격은 [RFC3280] 을준수하여전자서명인증체계에서사용되는인증서효력 정지및폐지목록프로파일규격을정의하고있다. 첫번째로본문에서는인증서효력정지및폐지목록내기본필드와확장필드의사용목적및구조체등을정의하고있으며, 두번째로부록에서는최상위인증기관과공인인증기관및가입자소프트웨어가인증서효력정지및폐지목록을생성및처리하는데필요한요구사항들을명시하고있다. 3. 관련표준및규격 3.1 국외표준및규격 [X509] ITU-T Recommendation X.509 (2000), Information technology - Open Systems Interconnection - The Directory : public-key and attribute certificate frameworks [RFC2119] IETF RFC 2119 (1997), Key Words for use in RFCs to Indicate Requirement Levels [RFC2459] IETF RFC 2459 (1999), Internet X.509 Public Key Infrastructure Certificate and CRL Profile [RFC3280] IETF RFC 3280 (2002), Internet X.509 Public Key Infrastructure Certificate and CRL Profile [WAPCert] WAP-211-WAPCert a(2001), WAP Certificate -1-

4 and CRL Profiles 3.2 국내표준및규격 [KCAC.TS.DSIG] KISA, KCAC.TS.DSIG, v1.30, 전자서명알고리즘규격, 2009 [KCAC.TS.SIVID] KISA, KCAC.TS.SIVID, v1.21, 식별번호를이용한본인확인 기술규격,2009 [KCAC.TS.DN] KISA, KCAC.DN, v1.21, 전자서명인증체계 DN 규격,2009 [KCAC.TS.CERTPROF]KISA, KCAC.TS.CERTPROF, v1.70, 전자서명인증서프로 파일규격, 기타 해당사항없음 4. 정의 4.1 전자서명법용어정의 본규격에서사용된다음의용어들은전자서명법및동법시행령, 공인인증기관의 시설및장비등에관한규정( 행정안전부고시) 에정의되어있다. 가) 인증서 나) 공인전자서명인증체계( 이하 전자서명인증체계 ) 다) 가입자 라) 가입자소프트웨어 마) 공인인증서 4.2 용어의정의 가) 부분인증서효력정지및폐지목록 : 공인인증기관이일정개수의 인증서마다상이한분배점(distributionPoint) 을통하여인증서효력 정지및폐지목록을관리할때이에해당되는인증서효력정지및 폐지목록 -2-

5 4.3 용어의효력 본규격에서사용된다음의용어들은전자서명인증체계전자서명인증서효 력정지및폐지목록프로파일의구현정도를의미하는것으로 용하며다음과같은의미를지닌다. 가) 해야한다, 필수이다, 강제한다 ( 기호 : M) 반드시준수해야한다. 나) 권고한다 ( 기호 : R) 보안성및상호연동을고려하여준수할것을권장한다. 다) 할수있다, 쓸수있다 ( 기호 : O) [RFC2119] 를준 주어진상황을고려하여필요한경우에한해선택적으로사용할수있다. 라) 권고하지않는다 ( 기호 : NR) 보안성및상호연동을고려하여사용하지말것을권장한다. 마) 금지한다, 허용하지않는다 ( 기호 : X) 반드시사용하지않아야한다. 바) 언급하지않는다, 정의하지않는다 ( 기호 : -) 준수여부에대해기술하지않는다. 5. 약어 본규격에서는다음의약어들이적용된다. 가) CA : Certification Authority, 공인인증기관나 )CRL: Certificate Revocation List, 공인인증서효력정지및폐지목록다) OID : Object Identifier, 객체식별자라) DN : Distinguished Name, 식별명칭마 ) SHA : Secure Hash Algorithm 6. 전자서명인증서효력정지및폐지목록프로파일 6.1 인증서효력정지및폐지목록기본필드 -3-

6 기본필드는인증서효력정지및폐지목록의버전, 발급자, 발급일자등의기본 정보를나타낸다. 아래정의된기본필드는인증서효력정지및폐지목록에모두 포함되어야하며, 가입자소프트웨어는이를처리해야한다 버전(Version) 버전필드는인코딩되는인증서효력정지및폐지목록의버전을나타낸다. 수 인증서효력정지및폐지목록은버전 1 로표현된다. 2의값을가져야만하며이값은정 서명알고리즘(Signature) 서명알고리즘필드는공인인증기관이인증서효력정지및폐지목록을생성 할때사용하는서명알고리즘의 OID 값을가진다. 사용하는서명알고리즘 은 [KCAC.TS.DSIG] 를준수해야한다 발급자(Issuer) 발급자필드는인증서효력정지및폐지목록을발급한기관의명칭을 DN 형식으로표현하며반드시값을가져야한다. 여기서 DN 형식은 [KCAC.TS.DN] 을준수해야한다 발급일자(This Update) 발급일자필드는인증서효력정지및폐지목록이기관에서발급된시점을 나타낸다. 시각정보는 GMT로표현하며 2049년까지 UTCTime 형식을사용하고 2050 년부터는 GeneralizedTime 형식을사용하여인코딩하여야한다 다음발급일자(Next Update) 다음발급일자필드는기관이다음인증서효력정지및폐지목록을발급할 -4-

7 시점을나타낸다. 다음에발급되는인증서효력정지및폐지목록은이필드에서지정한일자 보다이전에발급되어야한다. 시각정보는 GMT로표현하며 2049년까지 UTCTime 형식을사용하고 2050 년부터는 GeneralizedTime 형식을사용하여인코딩하여야한다 효력정지및폐지목록(Revaked Certificates) 효력정지및폐지목록필드는효력정지및폐지된인증서의목록을인증서의 일련번호와폐지된날짜로나타내며 CRL 엔트리확장필드에추가적인정보가 제공될수있다. 단, 효력정지및폐지된인증서가없을경우에는효력정지및폐지목록필드는인증서효력정지및폐지목록에나타나지않는다. 6.2 인증서효력정지및폐지목록(CRL) 확장필드 발급자공개키식별자 (Authority Key Identifier) 발급자공개키식별자확장필드는인증서효력정지및폐지목록발급자의 인증서에대한공개키를식별하기위해사용된다. AuthorityKeyIdentifier ::= SEQUENCE { KeyIdentifier [0] KeyIdentifier OPTIONAL, authoritycertissuer [1] GeneralNames OPTIONAL, authoritycertserialnumber [2] CertificateSerialNumber OPTIONAL } 발급자의공개키를식별하기위해서는 KeyIdentifier와 authoritycertissuer, authoritycertserialnumber를모두사용해야한다.keyidentifier는발급자인증 서의소유자공개키정보확장필드내 subjectpublickey 값을 SHA-1 해쉬알 고리즘으로해쉬한 160비트값을 OCTET STRING 형태로저장한다. 발급자공개키식별자는인증서효력정지및폐지목록에반드시포함되어야 -5-

8 하며가입자소프트웨어는이확장필드를처리할수있어야한다. 이확장필드는 non-critical 로설정되어야한다 발급자대체명칭 (Issuer Alternative Name) 발급자대체명칭확장필드는인증서효력정지및폐지목록을발급하는기관의추가적인명칭을나타내며, 인증서비스영역내에서사용되는고유한식별정보를나타낼수있다. 이확장필드는발급기관의실명을나타낸다. 발급기관의실명은 [KCAC.TS.SIVID] 를준수하여한글로realName 하위필드에 UTF8 형식으로표현되어야한다. 인증서효력정지및폐지목록은발급자식별정보를포함한본확장필드를 포함할수있으며가입자소프트웨어는이확장필드를처리할수있어야한다. 이확장필드는 non-critical 로설정되어야한다 인증서효력정지및폐지목록번호 (CRL Number) 인증서효력정지및폐지목록번호확장필드는인증서효력정지및폐지 목록을식별할수있는일련번호를나타낸다. 일련번호는인증기관이발급하는각각의인증서효력정지및폐지목록에대해 순차적으로증가하는양의정수로표현한다. 모든인증서효력정지및폐지목록의 CRL Number는 20바이트를넘을수 없으며, 가입자소프트웨어는최대 20 바이트의 CRL Number를처리할수있 어야한다. 이확장필드는 non-critical 로설정되어야한다 인증서효력정지및폐지목록발급분배점 (Issuing Distribution Point) -6-

9 인증서효력정지및폐지목록발급분배점확장필드는해당인증서효력정지및폐지목록을획득할수있는위치정보를포함하며, 아래와같이정의된다. issuingdistributionpoint ::= SEQUENCE { distributionpoint [0] DistributionPointName OPTIONAL, onlycontainsusercerts [1] BOOLEAN DEFAULT FALSE, onlycontainscacerts [2] BOOLEAN DEFAULT FALSE, onlysomereasons [3] ReasonFlags OPTIONAL, IndirectCRL [4] BOOLEAN DEFAULT FALSE } DistributionPointName ::= CHOICE { fullname [0] GeneralNames, namerelativetocrlissuer [1] RelativeDistinguishedName } 부분인증서효력정지및폐지목록은이확장필드의 distributionpoint 하위 필드를반드시포함해야한다. 이경우 DistributionPointName.fullName은 ldap 주소의 URI 형태를사용해야하며 [KCAC.TS.CERTPROF] 에서정의하는 인증서효력정지및폐지목록분배점(CRL DP) 과동일해야한다. onlycontainsusercerts, onlycontainscacerts, onlysomereasons 항목은인증서 효력정지및폐지목록발급분배점확장필드에는포함되지않는다. 인증서효력정지및폐지목록의범위가 CRL 발급자이외의발급기관들이 발급한인증서들을포함할경우, CRL 발급자는반드시 indirectcrl을 BOOLEAN 값 "TRUE" 로설정해야한다. 각엔트리를담당하는발급기관은 인증서발급자(Certificate Issuer) CRL 엔트리확장필드에의해표시된다[6.3.4 절참조 ]. 이확장필드는사용자인증서효력정지및폐지목록에대해서반드시포함되어 야하며모든가입자소프트웨어는이확장필드를처리할수있어야한다. 이확장필드는 critical 로설정되어야한다. 6.3 CRL 엔트리확장필드 효력정지및폐지사유 (Reason Code) -7-

10 효력정지및폐지사유확장필드는인증서가효력정지및폐지된사유를 나타내고다음과같이정의된다. CRLReason ::= ENUMERATED { unspecified (0), keycompromise (1), cacompromise (2), affiliationchanged (3), superseded (4), cessationofoperation (5), certificatehold (6), removefromcrl (7) } 각각의폐지사유에대한설명은다음과같다. 폐지사유내용 unspecified keycompromise cacompromise affiliationchanged superseded cessationofoperation certificatehold removefromcrl 특별한폐지사유가없는경우에사용하며본규격에서는이비트를사용하지않음 인증서소유자의전자서명키가손상된경우에사용함 인증서발급자의전자서명키가손상된경우에사용함 소유자의명칭또는기타정보가변경된경우에사용함 키손상없이인증서를폐지하고자하는경우에사용함 더이상지정된목적으로인증서를사용하지않는경우에사용함 인증서효력정지에사용함 델타인증서효력정지및폐지목록과함께사용되며본규격에서는이비트를사용하지않음 이확장필드는모든엔트리에포함되어야하며모든가입자소프트웨어는 이를처리할수있어야한다. 이확장필드는 non-critical 로설정되어야한다 효력정지시수행명령 (Hold Instruction Code) 효력정지시수행명령확장필드는효력정지된인증서를처리하는명령에 대하여 OID 를사용하여나타낸다. -8-

11 이확장필드는인증기관및가입자소프트웨어에서선택적으로생성할수 있다. 이확장필드는 non-critical 로설정되어야한다 효력정지및폐지일자 (Invalidity Date) 효력정지및폐지일자확장필드는폐지사유가발생한시점에대한정보를 나타내며 의인증서효력정지및폐지목록발행일자와는구분된다. 시각정보는 GMT로표현하며 2049년까지 UTCTime 형식을사용하고 2050 년부터는 GeneralizedTime 형식을사용한다. 이확장필드는인증기관및가입자소프트웨어에서선택적으로생성, 할수있다. 처리 이확장필드는 non-critical 로설정되어야한다 인증서발급자 (Certificate Issuer) 인증서발급자확장필드는간접 CRL과관련하여 CRL 내의효력정지및폐 지된인증서의발급기관에대한명칭을나타내며해당기관인증서의소유자 를 [KCAC.TS.CERTPROF] 에따라생성하여야한다. 간접 CRL의첫번째엔트리가본확장필드를사용하지않았다면인증서의 발급자가 CRL 의발급자와동일하다는것을의미하며, 첫번째엔트리이후 후속엔트리에서본확장필드가없다면, 그직전엔트리의인증서발급자와동일한것으로간주한다. 그엔트리에대한인증서발급자는 이확장필드는인증서효력정지및폐지목록발행기관이선택적으로생성 할수있으며모든가입자소프트웨어는이확장필드를처리할수있어야한다. 이확장필드는 critical 로설정되어야한다. -9-

12 부록 1. 전자서명인증서효력정지및폐지목록프로파일요약 가. 인증기관전자서명인증서효력정지및폐지목록(ARL) 프로파일 1) 기본필드 # 필드명 ASN.1 type Note 지원여부비고생성처리 1 Version INTEGER 0x1( 버전 2) m m 2 Signature OID 자동할당 m m 3 Issuer DN 규격준수 m m type OID m m C(Country) 는 printablestring, printablestring value 그이외의속성값은 utf8string m m 또는 utf8string [1] 4 This Update UTCTime 발급시점 m m 5 Next Update UTCTime 최상위인증기관정책에따름 m m Revoked Certificates [2] 6 usercertificate INTEGER m m revocationdate UTCTime m m crlentryextensions Extensions [3] 7 CRL Extensions Extensions m m [4] C=KR,O=KISA,OU=Korea Certification Authority Central,CN=KISA RootCA 숫자 [1] ( 숫자) 1 : RSA, 2 : ECDSA [2] 효력정지및폐지된인증서가없을경우는 Revoked Certificates 필드를생성하지않음 [3] 아래 3) ARL 엔트리확장필드 참조 [4] 아래 2) ARL 확장필드 참조 2) ARL 확장필드 # 필드명 ASN.1 type Note C 지원여부비생성처리고 Authority Key Identifier 최상위인증기관인증서의 KeyIdentifier OCTET STRING 1 KeyID n m m authoritycertissuer GeneralNames authoritycertserialnumber INTEGER 2 Issuer Alternative Name othername id-kisa-identifydata에최상위인증기관한글실명 n o m 3 CRL Number INTEGER n m m Issuing Distribution Point o m [1] DistributionPointName IA5string o m 4 onlycontainsusercerts BOOLEAN - - c onlycontainscacerts BOOLEAN - - onlysomereasons BIT STRING - - indirectcrl BOOLEAN o m [2] 생성할경우, CRLDP(Certificate Revocation List Distribution Point) 와동일 [1] [KCAC.TS.CERTPROF] 참조 [2] indirectcrl 를사용할때는반드시 TRUE" 로설정 -10-

13 3) ARL 엔트리확장필드 # 필드명 ASN.1 type Note C 지원여부비고생성처리 1 Reason Code ENUMERATED n m m 2 Hold Instruction Code OID n o m 3 Invalidity Date UTCTime n o m 4 Certificate Issuer GeneralNames c o m -11-

14 나. 가입자전자서명인증서효력정지및폐지목록(CRL) 프로파일 1) 기본필드 # 필드명 ASN.1 type Note 지원여부비고생성처리 1 Version INTEGER 0x1( 버전 2) m m 2 Signature OID 자동할당 m m 3 Issuer m m [KCAC.TS.DN] 준수 type OID m m C(Country) 는 printablestring, printablestring value 그이외의속성값은 utf8string m m 또는 utf8string 4 This Update UTCTime 발급시점 m m 5 Next Update UTCTime 공인인증기관정책에따름 m m 6 Revoked Certificates [1] usercertificate INTEGER m m revocationdate UTCTime m m crlentryextensions Extensions [2] 7 CRL Extensions Extensions m m [3] [1] 효력정지및폐지된인증서가없을경우는 Revoked Certificates 필드를생성하지않음 [2] 아래 3) CRL 엔트리확장필드 참조 [3] 아래 2) CRL 확장필드 참조 2) CRL 확장필드 # 필드명 ASN.1 type Note C 지원여부비 Authority Key Identifier 1 KeyIdentifier OCTET STRING 인증기관인증서의 KeyID authoritycertissuer GeneralNames authoritycertserialnumber INTEGER id-kisa-identifydata에 2 Issuer Alternative Name othername 인증기관한글실명 생성처리 n m m n o m 3 CRL Number INTEGER n m m Issuing Distribution Point m m DistributionPointName IA5string m m [1] 4 onlycontainsusercerts BOOLEAN c - - onlycontainscacerts BOOLEAN - - onlysomereasons BIT STRING - - IndirectCRL BOOLEAN o m [2] CRLDP(Certificate Revocation List Distribution Point) 와동일 [1] [KCAC.TS.CERTPROF] 참조 [2] indirectcrl 를사용할때는반드시 TRUE" 로설정 고 -12-

15 3) CRL 엔트리확장필드 # 필드명 ASN.1 type Note C 지원여부비고생성처리 1 Reason Code ENUMERATED n m m 2 Hold Instruction Code OID n o m 3 Invalidity Date UTCTime n o m 4 Certificate Issuer GeneralNames c o m -13-

16 부록 2. 규격연혁 버전 제개정일 제개정내역 v 년 6월 TTAS.KO 으로제정 v 년 6월 무선전자서명인증서효력정지및폐지목록프로파일규격 v1.21 흡수통합 전체적인문서형식및구성을전자서명인증관리체계규격문서양식에맞게개정 6. 전자서명인증서효력정지및폐지목록프로파일을 RFC3280에적합하게내용수정 부록 1. 기존의부록을 RF3280에적합하게수정하고 ARL과 CRL을구분하여요약함 v 년 4월 1. 개요에서유 무선통합에따른내용변경 관련국내표준및규격갱신내용반영 v 년 10월 법률공포번호가해당법률개정시마다변경되는점을 고려하여법령명으로개정 v 년 9월 참조기술규격명변경사항반영 -14-

17 규격작성공헌자 본규격의개정을위해아래와같이많은분들이공헌을하였습니다. 구분성명소속사 규격제안전자인증팀한국인터넷진흥원 규격초안제출전자인증팀한국인터넷진흥원 규격검토 규격안편집 백종현이석래박상환이원철박윤식박순태전인경김영준오중효김근옥국상진이성국김재홍신동규김선종김기영박선우이규승이한욱정순구박상환이원철 한국인터넷진흥원한국인터넷진흥원한국인터넷진흥원한국인터넷진흥원한국인터넷진흥원한국인터넷진흥원한국인터넷진흥원한국인터넷진흥원금융결제원한국정보인증한국무역정보통신코스콤한국정보사회진흥원유넷시스템이니텍소프트포럼한국정보인증코스콤금융결제원한국전자인증한국인터넷진흥원한국인터넷진흥원 -15-

yessign Version 3.1 (yessign). ccopyright 2009 yessign ALL RIGHTS RESERVED

yessign Version 3.1 (yessign). ccopyright 2009 yessign ALL RIGHTS RESERVED - - 2000. 8.29. 2000. 8.29. 2001. 7. 5. 2001. 7. 5. 2001.12.17. 2001.12.17. 2002. 3.12. 2002. 3.12. 2002. 8.21. 2002. 9. 5. 2002.12.27.