PKI에서 인증트리 검증의 효율성 향상 기법

본 연구에서는 이를 해결하기 위한 방안으로서 인증서를 발급받은 다수 사용자들의 신뢰기관인 단말CA가 이러한 검증 과정을 대행하고 그에 대한 증거자료를 공개적으로 유지하며 인증트리의 유효성을 확인하는 문서(Certification Tree Validity Statement, CTVS)를 발행하도록 하였다. 사용자들을 CTVS를 신뢰하거나 직접 검증을 수행할 수 있다. 추후 단말CA가 수행한 인증트리의 검증작업이 잘못된 것으로 밝혀지는 경우에는 단말CA가 법적, 경제적 책임을 지게 된다. 이렇게 새로운 인증트리 검증방식을 이용함으로써 다수의 사용자가 똑같은 검증작업을 반복 수행하게 되는 비효율성을 줄일 수 있다.
본 논문의 구성은 다음과 같다. 2장에서는 RFC 2459에 기술되어 있는 인증트리의 검증기법을 소개한다. 3장에서는 CTVS를 생성하고 이를 이용하는 효율적인 검증기법을 기술하고 그 효과를 분석한다. 4장에서는 결론을 맺는다.

I. RFC 2459의 인증트리 검증 기법
인증트리 유효성 검증의 목적은 인증서에 기술되어 있는 사용자 정보(Subject Distinguished Name)와 사용자 공개키와의 연결관계를 모두가 신뢰하는 루트CA의 공개키에 기반하여 검증하고자 하는 것이다. 루트CA로부터 단말CA를 거쳐 최종 사용자까지는 다음과 같이 n개 실체(Entity)의 인증서 체인으로 연결되어 있다고 하자.
o : 루트CA의 자체인증서(self-signed certificate)
o : 단말CA의 인증서
o : 최종 사용자의 인증서
여기서 실체 x의 인증서는 실체 x-1에 의해 발행되며 루트CA의 자체인증서는 누구나 신뢰한다고 가정한다. 인증트리 검증 알고리즘에 입력되는 데이터는 다음과 같다.
o 길이 n의 인증패스(Certification Path)
o 초기정책ID(Initial Policy Identifier)의 집합
o 현재의 날짜/시간
o 인증패스의 유효성이 결정되는 시간 T
인증트리 검증 알고리즘은 다음과 같은 5개의 상태변수를 가지며 적절히 초기화되어야 한다.
1. Acceptable policy set : “any-policy”로 초기화
2. Constrained subtrees : “unbounded”로 초기화
3. Excluded subtrees : “empty”로 초기화
4. Explicit policy : n+1로 초기화
5. Policy mapping : n+1로 초기화
인증트리 검증 알고리즘은 로부터 까지 순차적으로 다음에 기술되는 검증단계들을 수행한다.