Public Key Infrastructure (PKI)
PKI는 온라인 통신 및 거래에서 신뢰를 구축하기 위해 디지털 인증서 및 키를 발급, 관리, 검증하는 프레임워크입니다.
[Public Key Infrastructure](/ko/terms/public-key-infrastructure) (PKI)는 공개 키 암호화를 적용하여 ID를 암호화 키 및 인증서에 바인딩함으로써 안전한 전자 통신을 가능하게 하는 포괄적인 시스템입니다. PKI는 디지털 인증서를 발급, 관리, 폐기하고 조직 및 기술 경계를 넘어 신뢰 체인을 검증하는 데 필요한 프로세스, 인력 및 기술을 제공합니다.
주요 구성 요소는 다음과 같습니다.
- Certificate Authority (CA): 주제와 공개 키 간의 바인딩을 주장하는 디지털 인증서를 발급하고 유지 관리하는 권한.
- Registration Authority (RA): 인증서 발급 전에 신청자의 ID를 확인합니다.
- Public and private keys: 암호화, 서명 및 ID 확인에 사용되는 비대칭 키 쌍.
- Certificate repository and Directory Services: 인증서 및 인증서 상태의 저장 및 조회.
- Validation protocols: 인증서 체인(경로 유효성 검사)을 검증하는 메커니즘.
- Certificate policies and CPS: 인증서 발급, 사용 및 수명 주기를 관리하는 규칙.
- Trust anchors: PKI 계층 구조의 신뢰 기반을 형성하는 루트 CA.
수명 주기 및 운영:
- Enrollment and issuance: ID 확인, 키 생성, 인증서 생성 및 주제에게 인증서 전달.
- Renewal and rekey: 키 침해 위험을 완화하기 위한 주기적인 갱신 및 키 로테이션.
- Revocation: 더 이상 신뢰할 수 없는 인증서를 감지하고 게시합니다(CRL 또는 OCSP를 통해).
- Validation: 클라이언트는 신뢰할 수 있는 루트 및 정책 제약 조건에 대해 인증서 체인을 검증합니다.
- Archival and recovery: 복구(정책이 허용하는 경우) 및 재해 복구 계획을 위한 키 아카이브.
일반적인 배포 모델 및 엣지 케이스:
- Hierarchical PKI: 확장 가능한 신뢰 모델을 제공하는 루트 및 중간 CA; 상호 인증은 PKI 간의 상호 운용성을 가능하게 합니다.
- Offline root CA with online intermediates: 노출 위험을 줄이기 위해 오프라인 루트 CA와 온라인 중간 CA를 사용합니다.
- IoT and device identity PKIs: 경량 프로필 및 확장 가능한 등록이 필요한 IoT 및 장치 ID PKI.
- Cross-certification and bridge CAs: 다중 PKI 환경을 지원하기 위한 상호 인증 및 브리지 CA.
중요 보안 제어:
- Private key protection: 개인 키 보호를 위한 HSM 또는 보안 키 장치 사용; 강력한 액세스 제어; 하드웨어 기반 저장소.
- Key management: 수명 주기 종료 시 로테이션, 백업 및 안전한 파기.
- Revocation and status checking: 손상된 인증서를 취소하고 적시에 상태를 제공하기 위한 CRL 및 OCSP/OCSP stapling.
- Certificate pinning and DANE: 특정 컨텍스트에서 타사 신뢰에 대한 의존도를 줄이기 위한 기술.
- Audit and governance: CPS/CP 정책, 정기 감사 및 사고 대응 계획.
제한 사항 및 과제:
- PKI complexity: 운영 오버헤드, 정책 정렬 및 도메인 간 신뢰 관리.
- Revocation latency: 취소 전파 지연 및 OCSP 응답자는 실시간 결정에 영향을 줄 수 있습니다.
- Scalability: 대규모 CRL 및 높은 인증서 발급률에는 강력한 인프라가 필요합니다.
결과 기능:
- Authentication: 주제의 인증서 및 서명을 검증하여 ID를 증명합니다.
- Confidentiality and integrity: 수신자의 공개 키로 데이터를 암호화하거나 발신자의 개인 키로 데이터에 서명합니다.
- Non-repudiation: 디지털 서명은 출처 및 무결성에 대한 증거를 제공합니다.
요약하자면, PKI는 웹, 이메일, 코드 서명 및 장치 ID 전반에 걸쳐 신뢰할 수 있는 디지털 상호 작용의 백본이며, 법적으로 관리되는 프레임워크 내에서 인증서를 발급, 관리 및 검증하는 구조화된 접근 방식을 제공합니다.
graph LR
Center["Public Key Infrastructure (PKI)"]:::main
Rel_digital_certificate_management["digital-certificate-management"]:::related -.-> Center
click Rel_digital_certificate_management "/terms/digital-certificate-management"
Rel_public_key_infrastructure["public-key-infrastructure"]:::related -.-> Center
click Rel_public_key_infrastructure "/terms/public-key-infrastructure"
classDef main fill:#7c3aed,stroke:#8b5cf6,stroke-width:2px,color:white,font-weight:bold,rx:5,ry:5;
classDef pre fill:#0f172a,stroke:#3b82f6,color:#94a3b8,rx:5,ry:5;
classDef child fill:#0f172a,stroke:#10b981,color:#94a3b8,rx:5,ry:5;
classDef related fill:#0f172a,stroke:#8b5cf6,stroke-dasharray: 5 5,color:#94a3b8,rx:5,ry:5;
linkStyle default stroke:#4b5563,stroke-width:2px;
🧠 지식 테스트
🧒 5살도 이해할 수 있게 설명
PKI is like a global passport office for the internet. If you want to prove you are a specific website, you get a passport (digital certificate) from the office (Certificate Authority). Everyone else knows to trust you because they trust the passport office.
🤓 Expert Deep Dive
PKI involves a hierarchy of CAs, starting from a 'Root CA' pre-installed in your browser. It manages Certificate Revocation Lists (CRLs) and the Online Certificate Status Protocol (OCSP) to handle keys that are no longer safe (e.g., stolen keys).