본문 바로가기
잡소리

2012년 1월 공인인증서에 변화는 있었나? - 공인인증서 암호체계 고도화

by ^. 2012. 1. 5.

     

반응형

2011년부터 공인인증서 암호체계의 고도화 소식을 들렸다. 원래는 상반기 중으로 하기로 했는데, 미루어져서 2012년 1월 1일부터 공인인증서 암호체계가 고도화 된다고 한국인터넷진흥원의 전자서명인증관리센터(www.rootca.or.kr)를 통해 보았다.
기존 공인인증서 전자서명키 길이가 상향 조정이 되고, 해쉬 알고리즘 교체 등이 된다고 한다.

2012년 1월 공인인증서에 변화는 있었나?-똘82닷컴



NIST 등 암호전문기관은 권고에 따르면, 국내 공인전자서명인증체계에서 이용 중인 RSA 1024, SHA-1 알고리즘은 2013년 이후 안전성 담보가 어려울 것으로 전망하였다. 이에 공인인증서 자체에 대한 해킹(불법복제, 위조생성 등) 방지와 공인인증서 신뢰성 보장을 위해 공인인증서 암호체계 고도화를 하는 것이다.

따라서 공인인증서의 전자서명키 길이를 현행 1024비트에서 2048비트로 상향 조정하고, 공인인증서 발급 및 전자서명 수행시 사용되는 해쉬 알고리즘도 현행 SHA-1(160비트 출력값의 해쉬)를 SHA-2(256비트 출력값의 해쉬)로 교체를 한다고 한다. 알고리즘은 말만 들어도 어렵게 느껴진다. ㅋㅋ
이런 걸 깨는 해커나 크래커들도 대단하고...

과연 2012년 1월 1일부터 공인인증서를 발급하면 변화가 생겼는지 똘82닷컴은 궁금하였다. 혹시나 해서 이번에 개인범용공인인증서를 발급하면서 신청절차에도 무언가 변화가 있지 않을까 했는데 아무런 변화는 없었다.

그래서 한번 더 인증서 파일을 살펴보니 정말 변화가 있기는 있었다.

우리들이 사용하는 공인인증서가 저장되는 폴더는 [ C:\Program Files\NPKI ] 그 하위의 것들이다.

그 아래에 공인인증발급 회사마다 각각 인증서가 나누어져서 저장이 되는데, 똘82닷컴의 경우 한국정보인증을 통해 범용공인인증서를 많이 발급받았으므로, [ C:\Program Files\NPKI\KICA\User ] 폴더로 들어가면 발급받은 인증서를 볼 수 있다. 대충 폴더이름을 보면 알 것이다.
그 중에 'cn=이름10~'로 된 것은 2012년 1월에 발급받은 범용공인인증서이고, 나머지는 2011년에 발급된 범용공인인증서이다.

한국정보인증 공인인증서 저장폴더




확인을 위해 2011년에 발급받은 폴더를 한번 들어가 보니 여러 파일들이 나온다. 그 중에 'kmCert.der'이 파일을 한번 더블클릭 해 보았다.

공인인증서 kmcert.der 파일보기





인증서 창이 뜨면, [자세히] 탭메뉴를 선택하고 스크롤바를 약간만 내려보면 아래와 같이 서명 알고리즘과 공개키 부분을 확인할 수 있다.
2011년 공인인증서라 서명 알고리즘은 SHA1방식이고, 공개키는 RSA(1024비트)임을 대충 볼 수 있다.

2011년판 공인인증서




그렇다면 2012년에 발급받은 공인인증서는 어떠한지 'kmCert.der'파일을 한번 확인해 보았다.
그러니 서명 알고리즘은 SHA2이고, 공개키는 RSA(2048비트)로 나온다. 말로 듣던 암호체계가 좀 더 복잡화된 공인인증서가 맞다.

2012년판 공인인증서




역시 2012년부터 약간이나마 공인인증서에 변화가 있기는 있었다. 그리고 전체적인 파일들의 용량이 아주 조금 늘었났다.ㅋㅋ

일반인들이야 인증서가 어찌되었든 크게 알 필요는 없을 것이다. 사용하는데 지장이 있는 것도 아니고, 변화가 느껴지는 것도 아니니 말이다. 2012년부터는 좀 더 보안이 강화된 공인인증서가 발급이 되는 정도만 알고 있으면 될 것 같다.

그리고 기존(2011년)에 발급된 용도제한용 인증서, 범용공인인증서 등은 2012년에도 사용가능하니 크게 문제될 것은 없다.

보안을 엄격히 따지는 사람이라면 2012년판 공인인증서로 새로 발급을 해 보는 것도 좋지 않을까 싶다.
용도제한용 공인인증서나 범용공인인증서나...


 

반응형

댓글