키 서버(크립토그래픽)

Key server (cryptographic)

컴퓨터 보안에서 키 서버는 사용자나 다른 프로그램에 기존의 암호키를 받아 서비스하는 컴퓨터다.사용자의 프로그램은 키 서버와 동일한 네트워크 또는 다른 네트워크로 연결된 컴퓨터에서 실행될 수 있다.

키 서버에 의해 배포되는 키는 거의 항상 암호화된 보호형 공개 키 인증서의 일부로 제공되며 키 소유자에 대한 '입체' 정보뿐만 아니라 키 소유자에 대한 '입체' 정보도 포함되어 있다.인증서는 일반적으로 OpenPGP 공용 키 형식, X.509 인증서 형식 또는 PKCS 형식과 같은 표준 형식이다.또한, 키는 거의 항상 비대칭 키 암호화 알고리즘과 함께 사용할 수 있는 공용 키다.

역사

키 서버는 공개키 암호화에 중요한 역할을 한다.공개키 암호법에서 개인은 키을 생성할 수 있는데, 여기서 키 중 하나는 비공개로 하고 다른 하나는 공개적으로 배포한다.공개키에 대한 지식은 공개키 암호화의 보안을 손상시키지 않는다.키 쌍의 공개 키를 소지하고 있는 개인은 그 키를 사용하여 일치하는 개인 키 보유자의 강력한 인증으로 비밀 통신을 가능하게 하는 암호 연산을 실시할 수 있다.통신을 시작하거나 서명을 확인하기 위해 키 쌍의 공개 키를 가져야 하는 것은 부트스트래핑 문제다.웹에서 키를 찾거나 개인에게 공개 키를 전송하도록 요청하는 것은 시간이 많이 걸리고 불안정하게 될 수 있다.키 서버는 공공 키를 개별적으로 전송해야 하는 필요성을 완화하기 위해 중앙 저장소 역할을 하며 신뢰 체인의 루트 역할을 할 수 있다.

최초의 웹 기반 PGP 키 서버는 마크 호로위츠가 [1]MIT에서 공부하는 동안 논문을 위해 작성되었다.호로위츠의 키서버는 웹 기반 OpenPGP HTTP Keyserver Protocol(HKP)[2]을 통해 사람들이 키서버와 상호작용을 할 수 있도록 한 것을 따서 HKP Keyserver라고 불렸다.사용자는 TCP 포트 11371의 HKP 또는 CGI 스크립트를 실행하는 웹 페이지를 통해 키를 업로드, 다운로드 및 검색할 수 있었다.HKP Keyserver를 만들기 전에 키퍼들은 상호작용을 위해 이메일 처리 스크립트에 의존했다.

PGP Certificate Server로 알려진 별도의 키 서버는 PGP, Inc.에서 개발되었으며 PGP에서 버전 8.x(클라이언트 소프트웨어의 경우) keyserver.pgp.com까지 기본 키 서버의 소프트웨어(서버의 경우 버전 2.5.x를 통해)로 사용되었다.Network Associates주요 서버 개념에 대해 존 캘라스([3]미국 특허 6336186)가 공동 저술한 특허권을 받았다.

노후화된 인증서 서버를 대체하기 위해, Landy HarmonLen Sassaman에 의해 부분적으로 PGP Keyserver 7이라고 불리는 LDAP 기반 키 서버가 Network Associates에서 재설계되었다.PGP 6.0의 출시와 함께, LDAP는 Network Associates의 PGP 버전에 선호되는 키 서버 인터페이스였다.이 LDAP 및 LDAPS 키 서버(프로토콜이 "HTTP" 또는 "HTTPS"라고 일컬어졌지만 역호환성을 위해 HKP를 말하기도 함)도 Netscape Directory Server스키마와 함께 기업 설정의 개인 키 서버에 대한 PGP 관리 도구의 기초를 형성했다.

PGP Keyserver 7은 나중에 HTTPS 또는 LDAP를 사용하여 PGP 키를 게시하고 다운로드할 수 있는 새로운 PGP Corporation PGP 글로벌 디렉토리[1]로 대체되었다.[4]

공용 키 검색기 및 개인 키 검색기

전 세계에 위치한 많은 공개적으로 액세스할 수 있는 키 서버는 암호 시스템의 사용자를 위해 인터넷을 통해 OpenPGP 키를 저장하고 제공하는 컴퓨터들이다.이 경우 컴퓨터는 개인에 의해 프로보노 서비스로 운영될 수 있으며, PGP가 사용하는 신뢰 모델의 웹을 용이하게 한다.

S/MIME 암호 시스템과 함께 사용되는 인증서를 게시하거나 검색하기 위해 공개적으로 액세스할 수 있는 여러 S/MIME서버를 사용할 수 있다.

또한 사용자들을 위해 키 서버를 유지하는 여러 개의 독점적인 공공 인프라 시스템도 있다. 그것들은 개인 또는 공공일 수 있으며, 참여 사용자들만이 이러한 키퍼들을 전혀 인지하지 못할 가능성이 있다.

프라이버시 문제

많은 개인에게 암호화를 사용하는 목적은 개인 상호 작용과 관계에서 더 높은 수준의 프라이버시를 얻기 위함이다.PGP처럼 분산된 신뢰 기반 암호 시스템을 사용할 때 키 서버에 공개 키를 업로드할 수 있도록 허용하면 개인이 비공개하고 싶은 정보가 상당 부분 노출될 수 있다는 지적이 제기됐다.PGP는 개인의 공개키에 서명을 의존하여 그 키의 진위를 판단하기 때문에, 주어진 키의 서명자를 분석함으로써 잠재적 관계를 밝혀낼 수 있다.이런 식으로, 전체 소셜 네트워크의 모델이 개발될 수 있다.[citation needed]

키 검색기 문제

1990년대 개발 이후 OpenPGP 키서버는 몇 가지 문제로 어려움을 겪었다.일단 공개 키가 업로드되면, 서버 간에 자동 동기화되므로(정부 검열과 싸우기 위해 실행되었다) 제거가 어렵게 되었다.일부 사용자는 암호 구문을 잊어버리거나 개인 키가 손상되거나 분실되는 등 다양한 이유로 공용 키 사용을 중단하기도 한다.그런 경우 공용키를 서버에서 삭제하기 어려웠고, 삭제했더라도 다른 사람이 동일한 공용키의 새로운 사본을 서버에 업로드할 수 있다.이것은 "키즈서버 플라그"의 한 형태인, 결코 사라지지 않는 오래된 화석 공공 열쇠의 축적을 이끈다.따라서 누구나 가짜 공용 키를 키 서버에 업로드할 수 있으며, 실제로 해당 키를 소유하지 않거나 더 나쁜 경우에는 이를 취약성인 인증서 스팸 공격으로 사용할 수 있다.[5]

키서버는 키가 합법적인지 확인할 방법이 없었다(진정한 소유자에게 달려 있다).

이러한 문제를 해결하기 위해 PGP사는 PGP 글로벌 디렉토리라는 새로운 세대의 키 서버를 개발했다.이 키 서버는 키 소유자에게 전자 메일 확인 요청을 보내 해당 키가 자신의 키인지 확인하도록 했다.만약 그들이 그것을 확인한다면, PGP 글로벌 디렉토리는 그 키를 받아들인다.이것은 주기적으로 갱신되어, 키서버 플라그 누적을 방지할 수 있다.그 결과 공개 키의 품질이 더 높아졌으며, 각 키는 키의 명백한 소유자가 있는 전자 메일로 검사되었다.그러나 결과적으로 또 다른 문제가 발생한다: PGP 글로벌 디렉토리는 키 계정 유지관리를 허용하고 암호화된 것이 아닌 이메일로만 확인하기 때문에, 이메일 계정에 대한 액세스 권한을 가진 모든 사람이 예를 들어 키를 삭제하고 가짜 키를 업로드할 수 있다.

HKP를 위한 마지막 IETF 초안도 DNS SRV 기록에 근거하여 분산 키 서버 네트워크를 정의한다: someone@example.com의 키를 찾으려면 example.com의 키 서버에 요청하면 된다.

키 서버 예제

이것들은 종종 키를 찾는 데 사용되는 키버들이다.gpg --recv-keys이것들을 통해 쿼리할 수 있다.[6]https://(HTTPS) 또는hkps://(TLS를 통한 HKP).

참고 항목

참조

  1. ^ Horowitz, Marc (1996-11-18). "A PGP Public Key Server". Retrieved 2018-05-02.
  2. ^ Shaw, David (March 2003). "The OpenPGP HTTP Keyserver Protocol (HKP)". IETF. Retrieved 2018-05-02.
  3. ^ 인증서 서버의 암호화 정책 생성 및 관리를 위한 암호화 시스템 및 방법론
  4. ^ https://keyserver.pgp.com/vkd/VKDHelpPGPCom.html
  5. ^ 262588213843476. "SKS Keyserver Network Under Attack". Gist. Retrieved 2020-09-17.{{cite web}}: CS1 maint: 숫자 이름: 작성자 목록(링크)
  6. ^ "recv-keys documentation". GPG Manual. Retrieved 30 June 2020.

외부 링크