본문 바로가기

nCipher HSM (Thales-HSM )

공개 키(PKI) 및 디지털 인증서 관리 방안



공개 키 암호화는 사용자, 네트워크 데이터 및 핵심 비즈니스 시스템을 보호하는 방법으로 많이 보급되어 왔습니다. 


데이터암호화 및 개인정보보호 문서 및 메시지의 무결성과 신뢰성을 증명하기 위해서 디지털 서명 또는 사용자나 시스템의 인증 및 액세스 제어에 사용되고 있는 지에 관계없이 이러한 공개 키 운영은 현대의 운영체제, 상용 보안 제품 및 사용자 지정 빌드 시스템에 필수적인 것이 되어 있습니다.



전자상거래, 온라인뱅킹, 인터넷 게임, 스마트폰, 클라우드 컴퓨팅은 모든 사용자의 연결장치, 웹 서비스 및 비즈니스 응용프로그램의 전자적인 정체성을 나타내는 경우 디지털 인증서에 의존하고 있습니다.



[그림 - 공개키 암호화 방식]


각 인증서는 높은 강도를 가지는 고유의 신임을 형성하는 한쌍의 암호화 키를 기반으로 하며, 이들은 대상 고객과 기업에 밀접하게 연관되어 암호화와 서명 등의 보안 작업을 수행하는데 사용됩니다. 


인증기관(CA)는 디지털 인증서를 발급하고 그 인증서가 의도된 목적에 부응하기 위해, 적절한 수준의 신용을 구현하기 위해 여러 단계를 실행합니다.


CA는 공개 키 인프라의 중심을 이루는 것이며, 1개 혹은 복수의 애플리케이션 보안을 지원하고, 적은 수의 인증서에서 수백만 및 수의 증명서까지 지원합니다. 인증서 및 그것에 의해 실현되는 보안 기능을 충분히 활용하고자 하는 조직은, 자기 부담의 PKI를 구축하거나 외부 서비스 공급자로부터 인증서를 구입하거나 둘 중 하나를 선택할 수 있습니다.


다른 조직과 도메인간의 인증서 및 ID를 공유하고 신용을 설치하는 경우에는 후자가 가장 적합합니다.


내부 PKI를 도입하는 조직은 그 조직의 요구에 맞는 보안 모델을 정의할 수 있는 유연성을 가질수 있지만 그 PKI 사용에 대한 조직을 명확화 하는 것으로 그 자체의 유지 및 그 보안의 확보에 있어서 수 많은 도전에 직면합니다.



 - PKI는 신용의 근본을 이루는 것 이므로, PKI를 도입하는 작업은 단순한 기술 이상의 요소가 있습니다. 또한 적절한 검사 기능을 가지고 기술로 자동화되는 부분과 수동 작업의 균형을 취하기 위하여 인간이 관련된 프로세스를 신중하게 설계해야 합니다. 준수를 입증할 필요성이 증가하고 있는 것을 고려하면 공식적으로 문서화된 감사를 받은 인증과정이 필요할 것 입니다.


- 조직은 모든 인증서 요구에 단일 PKI를 사용하거나 개별 응용프로그램과 사용 사례에 맞게 조정되어 적절한 신뢰성 모델을 제공하는 여러 독립적인 PKI를 사용할 것인지 결정해야 합니다. 자기부담의 PKI를 구축하지 않고 외부 PKI를 사용하는 선택은 상황을 더욱 복잡화 시킬 수 있습니다.


- 불행히도, 모든 종류의 PKI는 명백한 공격포인트가 존재합니다. CA가 침입을 받으면 디지털 인증서가 부정사용을 위해 발행되는 우려가있어, 시스템 전체의 신뢰성이 의심되는 결과가 됩니다.


- PKI에 대한 논의는 인증서 발급 프로세스에 집중하는 경향이 있지만, 인증서 유효성 검사 및 해지를 지원하는 관련 프로세스가, 시스템의 성능 및 전반적인 능력에 의해 크게 영향을 주는경우가 적지 않습니다.




[위험성]

- CA의 서명 개인 키 및 루트 키를 훔쳐가지고 가는 경우 위조 인증서를 발급할 수 있기 때문에, 누설이 의심되는 경우는 과거에 발행된 인증서의 일부 또는 전부를 다시 발행해야 할 수 있습니다.

- 서명키 사용에 대한 관리가 불충분한 경우 키 자체가 도용되지 않더 라도 CA가 악용될 우려가 있습니다.

- 온라인 인증서 유효성 검사 프로세스에 관련하고 키를 훔치거나 부정으로 사용된 경우에는 해지 프로세스가 작동되고 해지된 인증서가 악용될 우려가 있습니다.

- 새로운 응용프로그램을 온라인으로 시작할 때 발행 및 검증에 관한 서명행위의 성능적 측면에 주의를 기울이지 않으면 업무에 큰 영향을 줄 우려가 있습니다.







PKI 및 디지털인증서 : Thales e-Security 솔루션

Thales e-Security의 제품 및 서비스는 PKI의 무결성, 성능 및 관리성을 확립하는데 도움이 됩니다. 인증서 발급과정의 보안을 보장하고 서명 키 관리를 강화함으로써, 분실이나 도난을 방지 할 수있으며, 그 결과로 디지털 보안을 위한 안정적인 기반을 구축할 수 있습니다 . PKI에 nShield 하드웨어보안모듈 (HSM)을 추가하는 것은 독립적인 기관에 의해 인증된 변조 방지 장치를 도입하는 것을 의미합니다.


이 장치는 조직내에서 가장 신중하게 처리해야 할 키(key)나 비즈니스프로세스의 보안을 보장하기 위해 사용 됩니다. 이것은 PKI에 대해 널리 인정받은 모범사례입니다. 탈레스는 사용자조직이 도입을 앞당겨 빨리 위험을 최소화하는데 도움을 주기 위해 주요 PKI 벤더간의 상호 운용성 시험을 시행하고 다양한 포괄적인 통합에 대한 설명서를 발행하고 있습니다. 탈레스의제품 지식과 기술, 그리고 서비스를 충분히 활용하여 기업 내 전체 PKI 운영의 자신감을 가지고 운용할 수 있게 합니다.




[장점]

- 높은 신뢰성이 요구되는 모든 키 관리 프로세스와 인증서 발급과정에 대해 쉽게 도입할 수 있는 독립적인 기관의 인증을 받은 제품으로 보안을 충분히 활용할 수 있습니다.

- 암호화처리를 가속화하여 CPU에 부담이 걸리는 서명 작업 속도를 올리고 성능 향상을 촉진함과 동시에 애플리케이션 및 비즈니스 프로세스의 유연한 규모의 변경을 가능하게 합니다.

- 위험도가 높은 수동 키 관리프로세스를 제거합니다.

- 키 관리정책의 강력한 실행을 통해 규제 준수를 입증하기 위해 작업 및 감사요구에 대응하기 위한 작업을 단순화합니다.

- 대기업용 PKI에서 국소적인 CA 응용프로그램에 특화한 CA에 이르기까지 다양한 도입 시나리오에 맞게 광범위한 선택에서 모양과 성능 등급을 바탕으로 최적의 HSM을 선택할 수 있습니다.


더 많은 정보는 하단의 카다로그를 참조하시면 Thales e-security의 고성능 HSM에 대한 자세한 정보를 보실 수 있습니다.


[Thales e-security HSM(하드웨어 암호화 모듈 관련 자료]

2014HSM-nShield-Solo.pdf

Thales HSM Oracle-TDE.pdf

아이마켓코리아 nShield-Connect.pdf



전 세계 암호화장비 시장점유율 1위 Thales e-security 제품 한국 총판 아이마켓코리아