공인인증서 (공개키 알고리즘 Usecase)

공인인증서 (공개키 알고리즘 Usecase)

간단 부업 범용 공인인증서를 만들고 1년이 지나서 어떻게 했는지 벌써 잊어버렸더라고요. 범용인증서 갱신은 전혀 어렵지 않게 했는데 범용 공인인증서를 지문보안토큰기에 옮기면서 너무 헤매서 다음에 혹시 또 갱신을 하게 되면 그땐 헤매지 않게 포스팅해 봅니다. 시작하기에 앞서 지보완토큰기는 유니온커뮤니티의 지문보완토큰기를 사용 중입니다. 사진에 보시면 바이오토큰에 인증서가 두 가지가 있습니다. 첫번째는 최근 갱신한 인증서이고 두번째는 만료된 인증서 입니다.

이렇게 두가지 인증서가 있는 경우 바이오토큰기가 인증할 수 없습니다.고 나오기 때문에 먼저 인증이 만료된 인증서를 삭제해야 합니다.


공인인증서 개인키 보관
공인인증서 개인키 보관

공인인증서 개인키 보관

공인인증서와 개인키는 가입자의 컴퓨터 혹은 스마트폰에 보관됩니다.

이후 은행 업무를 수행하기 위해 보안 모듈을 실행하면, 보안 모듈을 통해 가입자의 공인인증서 전자서명을 검증할 수 있습니다. 가입자의 공개키는 공인인증서 형태로, 개인키는 SEED 알고리즘으로 암호화된 형태로 저장되며, 가입자 외의 인증기관이나 대행기관에는 공개키개인키 정보를 저장하지 않습니다.

전자서명 검증 과정
전자서명 검증 과정

전자서명 검증 과정

전자서명에 대한 표준 PKCS 7Cryptographic Message Syntax에 따른 공인인증서는 다음과 같은 원리로 이루어집니다. 보안 모듈에서는 가입자 검증을 위해 다음과 같은 과정을 수행합니다 저장된 공인인증서를 불러옵니다 가입자의 비밀번호를 입력받아서 SEED 알고리즘으로 개인키를 복호화합니다. 복호화한 개인키에서 비트열 난수값 R을 생성합니다. VID hhIDN, R, 가입자의 숫자 IDN, 가입자의 개인키에서 추출한 R값으로 가상 숫자 VID 값을 생성합니다.

이때 사용되는 해쉬 함수 h는 SHA256입니다. 보안모듈에선 EVID = E(VID, R)으로 암호화해서 인증기관으로 전송합니다.

CSRCertificate Signing Request 요청

인증기관은 신청 정보를 바탕으로 공인인증서 생성을 위해 최상위 인증기관에 CSR을 요청합니다. CSR 요청을 받은 인증 기관은 가입자가 사용할 비대칭키 쌍을 생성합니다.

이 때, 안전성이 확인되고 새로운 알고리즘을 사용하기 위해, HMACDRBG with SHA256를 이용한 2048bit RSA 비대칭키를 생성합니다. 난수를 생성하는 DRBGDeterministic Random Bit Generator의 무결성을 보장해주는 메세지 인증코드 정보 MAC를 저장하는 HMAC 기법과, SHA256 해싱을 통해 아주 안정적인 난수를 생성합니다.

해당 난수 정보를 PRNGpseudorandom number generator에 대입하여 소수 p, q를 생성합니다. 해당 소수로 가입자가 사용할 2048-bit RSA 비대칭키를 생성합니다.

탐색기로 윈도우10 공동인증서 파일위치 찾기

CUsers로그인계정AppDataLocalLow

해당 폴더 위치를 탐색기로 하나하나 찾아가는 방안으로 윈도우 7부터 윈도우 11까지 대부분의 공인인증서 위치는 비슷합니다. 큰 차이는 없으며 누구나 쉽게 탐색기를 사용해서 찾을수가 있습니다. 탐색기윈도우키E를 누르고 C드라이브로 이동합니다. 그리고 이용자 폴더를 찾아야 하며 거의 모든 User로 되어 있습니다. 이후 administratr 혹은 admin 혹은 로그인 이용자 이름으로 폴더를 찾으면 됩니다.

다음은 appdata 폴더를 찾아야 하는데 기본적으로 appdata는 시스템 폴더이기 때문에 숨겨져 있습니다. 하지만 탐색기 주소창에 appdata를 붙여주면 금방 폴더로 이동이 됩니다.

한국전자인증 홈페이지에서 인증서를 지문보안토큰기로 복사합니다.

본인의 범용인증서의 인증기관을 먼저 확인하셔야 합니다. 전 위의 인증서 선택창을 보시면 발급자 부분에 한국전자인증이라고 나와있습니다. 인증기관은 한국전자인증(crosscert), 한국무역정보통신(TradeSign), 한국정보인증(signgate), 코스콤(signkorea) 이렇게 4곳이 있으며 본인의 인증기관으로 들어가서 인증서를 복사하셔야 합니다. 그다음부터는 인증서 관리 창에서 지문 보완 토큰으로 옮기려고 하는 사업자범용 인증서를 눌러 비밀번호를 입력하고 창에서 입력하라고 하는 데로 입력한 뒤 지문을 입력하면 완료됩니다.

생각보다. 아주 간단하죠? 오랜만에 해서 무턱대고 복잡한듯했지만 사실 어렵지 않게 할 수 있습니다. 순서만 잘 기억해서 하시면 쉽게 해볼 수 있습니다.

자주 묻는 질문

공인인증서 개인키 보관

공인인증서와 개인키는 가입자의 컴퓨터 혹은 스마트폰에 보관됩니다. 더 알고싶으시면 본문을 클릭해주세요.

전자서명 검증 과정

전자서명에 대한 표준 PKCS 7Cryptographic Message Syntax에 따른 공인인증서는 다음과 같은 원리로 이루어집니다. 구체적인 내용은 본문을 참고 해주시기 바랍니다.

CSRCertificate Signing Request

인증기관은 신청 정보를 바탕으로 공인인증서 생성을 위해 최상위 인증기관에 CSR을 요청합니다. 구체적인 내용은 본문을 참고 해주시기 바랍니다.