인증기관간상호연동을위한 CTL 기술규격 CTL Technical Specification for the Interoperability of Certification Authorities 년 월
목차 개요 규격의구성및범위 관련표준및규격 국외표준및규격 국내표준및규격 기타 정의 전자서명법용어정의 용어의효력 약어 인증서신뢰목록 인증서신뢰목록모델 인증서신뢰목록프로파일 인증서신뢰목록생성 인증서신뢰목록배포 인증서신뢰목록갱신 인증서신뢰목록을이용한인증서경로검증 인증서신뢰목록의안전성확보 부록 인증서신뢰목록 코드 부록 코드설명 부록 규격연혁
인증기관간상호연동을위한 기술규격 개요 서로다른 도메인의인증서들간에상호연동성을확보하기위해인증서 신뢰목록 에대한기술규격을정의한다 인증서신뢰목록에대한상호연동기술규격을정의함으로써다양한분야의 인증서비스간상호연동성을확보할수있으며 이에따라인증서비스의활 성화를기대할수있을것이다 규격의구성및범위 본규격은전자서명인증체계인증기관간상호연동을위한인증서신뢰목록 의기능적요구사항을명시하고있으며 크게두부분으로나뉘어진다 첫번째로 인증서신뢰목록에대한개념과프로파일을정의한다 두번째로 인증서신뢰목록의생성 배포 검증등의운영방안을정의한다 관련표준및규격 국외표준및규격
국내표준및규격 부가형전자서명방식표준 제 부 인증서기반전자서명알고리즘 디렉토리시스템인증프레임워크표준 해쉬함수표준 제 부해쉬암호알고리즘표준 전자서명인증서프로파일표준 전자서명인증서효력정지및폐지목록프로파일 기타 해당사항없음 정의 전자서명법용어정의 본규격에서사용된다음의용어들은전자서명법및동법시행령 공인인증기관의
시설및장비등에관한규정 미래창조과학부고시 에정의되어있다 가 인증서나 공인인증서다 공인인증기관라 전자서명인증체계마 가입자바 이용자사 가입자설비 용어의효력본규격에서사용된다음의용어들은전자서명인증체계인증기관간상호연동을위한인증서신뢰목록의구현정도를의미하는것으로 를준용하며다음과같은의미를지닌다 가 해야한다 필수이다 강제한다 기호 반드시준수해야한다 나 권고한다 기호 보안성및상호연동을고려하여준수할것을권장한다 다 할수있다 쓸수있다 기호 주어진상황을고려하여필요한경우에한해선택적으로사용할수있다 라 권고하지않는다 기호 보안성및상호연동을고려하여사용하지말것을권장한다 마 금지한다 허용하지않는다 기호 반드시사용하지않아야한다 바 언급하지않는다 정의하지않는다 기호 준수여부에대해기술하지않는다 약어 본규격에서는다음의약어들에대해추가적으로정의한다 가 인증기관 나 객체식별자
다 식별명칭라 객체이름마 공개키암호표준바 디렉토리접근프로토콜사 경량디렉토리접근프로토콜아 인증서신뢰목록자 추상적구문표기 인증서신뢰목록 인증서신뢰목록모델인증서신뢰목록은서로다른 도메인간상호연동의한방안으로써상호연동할인증기관간인증서를배포하는방안으로이용되고있다 인증서신뢰목록은인증기관들의인증서해쉬값을리스트로관리하며 의전자서명된형태 로구성된다 인증기관간상호연동을위하여신뢰된제 자가인증서신뢰목록을발행하 는것이아니라각 도메인의최상위인증기관이자신의도메인에인증서 신뢰목록을발행 관리한다 A PKI 상호인정 B PKI 인증서신뢰목록 (list : B_RootCA RootCA) (Signer : A_RootCA RootCA) A_RootCA B_RootCA 인증서신뢰목록 (list : A_RootCA RootCA) (Signer : B_RootCA RootCA) A_CA B_CA A_User B_User 그림 인증서신뢰목록모델
인증서신뢰목록프로파일 인증서신뢰목록기본필드 버전 버전필드는인코딩되는인증서신뢰목록의버전을나타낸다 인증서신뢰목록의버전은 의값을가져야한다 주체사용 인증서신뢰목록의사용목적을명시하며각각의사용목적에대한 로나타낸다 이필드는 의확장키사용목적 과같은구조를가진다 해당 는다음과같다 식별자나열 인증서신뢰목록을유일하게식별할수있는식별자로 으로나타낸다 본규격을준용하는시스템은이필드를사용하지않아야한다 발급일자 발급일자는인증서신뢰목록이인증기관에서발급된시점을나타낸다 시각정보는 로표현하며 년까지 형식을사용하고 년부터는 형식을사용하여야한다 다음발급일자 다음발급일자는인증기관이다음인증서신뢰목록을발급할시점을나타
낸다 다음에발급되는인증서신뢰목록은이필드에서지정한일자보다이전에발급되어야한다 시각정보는 로표현하며 년까지 형식을사용하고 년부터는 형식을사용하여야한다 일련번호 일련번호필드는인증기관이발급하는인증서신뢰목록에부여하는양의정수값으로인증기관이인증서신뢰목록발행시유일한값이어야하며 인증서신뢰목록사용자는 까지처리할수있어야한다 주체알고리즘 신뢰주체들안에포함되는인증서를해쉬하는알고리즘에대한식별정보를 로나타낸다 이필드는 에서정의하고있는 해쉬알고리즘 에서정의하고있는 해쉬알고리즘 혹은 에서정의 하고있는 해쉬알고리즘의구조를가져야한다 해당 의정의는다음과같다 신뢰주체들
인증서신뢰목록에포함되는인증서들의해쉬값과부가적인속성값을저장할수있다 인증서의해쉬값계산에사용되는알고리즘은 주체알고리즘 에명시된해쉬알고리즘을이용하여야한다 인증서신뢰목록확장필드 인증서신뢰목록을실제로운영함에있어요구되는부가적인정보들을저장한다 각각의확장필드에는 가표시되어야한다 인증서신뢰목록생성서로다른 도메인간상호연동을위한상호인정후인증서신뢰목록을생성하기위해필요한상대 도메인의인증기관인증서의해쉬값을획득해야한다 인증기관인증서의해쉬값은사전에협의된절차 예 대면확인방법 에따라교환하여야한다 각각의인증기관은획득된인증서를리스트로가지는인증서신뢰목록을생성한다 인증서신뢰목록의발행자는생성된인증서신뢰목록을 의 형태로전자서명하여야한다 인증서신뢰목록배포인증서신뢰목록은디렉토리에공고되어사용자에게배포되어야한다 사용자는상대도메인이발행한인증서검증시 또는 을통해자신의인증기관디렉토리로부터인증서신뢰목록을획득한다 인증서신뢰목록에대한디렉토리스키마는다음과같이정의하여이용하고 의처리속성은바이러리형식 을이용하여야한다
는 의 를의미 인증서신뢰목록갱신인증서신뢰목록의갱신은다음과같은상황에서일어날수있고 이러한경우새로운인증서신뢰목록을발행해디렉토리에공고하여야한다 인증서신뢰목록에포함된인증서가폐지될경우 인증서신뢰목록에새로운인증서가등록될경우 인증서신뢰목록의유효기간이만료되었을경우 인증서신뢰목록필드의값이변경되었을경우 인증서신뢰목록을이용한인증서경로검증 검증절차 그림 는인증서신뢰목록을이용한인증서경로검증절차를설명한것이다 인증서를검증하기위해서는먼저인증경로를구성해야한다 그림 에서 의 가 의 인증서를검증할때에인증경로는다음과같이형성된다 인증서 인증서
인증서하지만 는신뢰당사자인 의신뢰지점이아니므로자신의신뢰지점인 인증서와 가발행한인증서신뢰목록을이용해 다음과같이최종인증경로를생성하고 인증서를검증한다 인증서 가발행한인증서신뢰목록 인증서 인증서 인증서 A PKI CTL B_RootCA 인증서 A_RootCA A_CA 그림 인증서신뢰목록을이용한인증서경로검증신뢰당사자 는자신의신뢰지점인 가발행한인증서신뢰목록에 의인증서해쉬값이존재하는지검증하고 인증서신뢰목록은 의인증서를통해검증하여야한다 인증서신뢰목록검증인증서경로검증시인증서신뢰목록이이용될때다음을검증해야한다 의 이 에해당하는 인지검사 의 및 의버전검사 이 에해당하는 인지검사
의속성값검사 검사 서명검증 인증서신뢰목록의버전검사 인증서신뢰목록의유효기간검사 인증서신뢰목록의이용범위검사 주체사용 해당인증서가인증서신뢰목록에포함되는지에대한검사 인증서신뢰목록의안전성확보 인증서신뢰목록은공인인증체계의전자서명키를상향조정하는시점부터본규격 절의신뢰주체들안에포함되는인증서를해쉬하는알고리즘으로 비트이상의출력값을가지는해쉬알고리즘을사용하여야한다 공인인증체계의전자서명키를상향조정하는시점은미래창조과학부가별도로고시하여정한날로한다
부록 인증서신뢰목록 코드
부록 의 코드설명 에 를명시 필드에는 를명시 필드에는 가포함됨 필드에는 에서명한인증서와 에포함되는인증서를포함할수있음 필드는사용하지않음
필드에는 에서명시된 속성을포함해야함 필드는이용하지않음
부록 규격연혁 버전제 개정일제 개정내역 년 월 인증기관간상호연동을위한 기술규격 으로제정 년 월 년 월 년 월 년 월 전체적인문서형식및구성을전자서명인증체계규격문서양식에맞게개정 절주체알고리즘 설명에지원하는해쉬알고리즘 를추가함 전자서명알고리즘은본규격이인용하는 과 에서언급되고있으므로부록 제거 절신뢰주체들 설명에서 상호연동할인증서가없을경우에는이필드는인증서신뢰목록에나타나지않는다 문구삭제 부록 인증서신뢰목록 코드를모듈형식으로재구성하였고 부록 의관련 를부록 에흡수통합함 부록 인증서신뢰목록 코드에서 구조체내 변수의 조건제거 인증서신뢰목록배포에서인증서신뢰목록의배포위치를디렉토리로수정 검증절차에서인증서신뢰목록의발급과배포는앞절에서논의되었으므로삭제 관련국내표준및규격갱신내용반영 법률공포번호가해당법률개정시마다변경되는점을 고려하여법령명으로개정 공인인증서암호체계고도화에따른알고리즘변경사항반영