(110203)암호체계고도화 교육자료 v3 [호환 모드] · ibm-aix sun os linux unixware...

0

행정전자서명행정전자서명 암호체계암호체계 고도화고도화추진추진 경과경과

행정전자서명행정전자서명인증관리센터인증관리센터

Ⅱ

Ⅲ

Ⅰ

행정전자서명 암호체계 고도화 추진 현황

표준API 재배포 추진현황

행정전자서명인증체계(GPKI) 개요

2

1.�행정전자서명인증체계 개요

추진배경및목적

추진배경

구축목적

주요 업무

전자정부의 행정환경이 종이문서 기반에서 전자문서로 전환됨에 따라

해킹 등에 의한 주요 정보의 노출, 변조, 훼손 등의 문제로 인한 전자정부 신뢰성 및 안정성

확보의 중요성 대두

전자문서 송·수신에 대한 행정기관 및 공무원 신원확인, 전자문서 위변조 방지 등 보장

행정 전자문서 안정적 유통을 위한 정부차원의 정보보호체계 마련

행정, 공공·금융기관의 행정전자서명 인증서비스를 위한 인증관리시스템 구축·운영 및

인증업무 지원

인증기관 및 (원격)등록기관 지정·관리를 위한 인증체계 구축·운영

Ⅰ.�행정전자서명인증체계개요

3

ㅇ

정부 인증체계(GPKI)정부 인증체계(GPKI) 공인 인증체계(NPKI)공인 인증체계(NPKI)

정부 최상위인증기관(Root CA)(행정안전부)

민간 최상위인증기관(Root CA)(한국인터넷진흥원)

행정안전부CA

국방부CA

(미사용)

대검찰청CA

병무청CA

대법원CA

교육과학기술부CA

공무원의 신원확인 및 행정업무 처리를 위한 인증서 발급

전자관인, 서버 등의 기관용 인증서 발급

금융결제원 한국증권전산

한국정보인증

한국전자인증

한국무역정보통신

인터넷 뱅킹, 주식 거래 등의 개인 신원 확인

전자상거래, 민원신청 등 용도로 사용

상호연동

인증체계

1.�행정전자서명인증체계 개요Ⅰ.�행정전자서명인증체계개요

4

법 제정·고시법 제정·고시

2001년

• 전자정부구현을 위한 행정업무 등의전자화촉진에관한법률」및「동법시행령」에 행정전자서명 근거 마련(’01.3)

• 행정기관 전자서명 인증기반(GPKI) 상호연동 기술표준 제정(’01.3)

2010년

• 「행정전자서명인증 인증업무지침」제정·고시

(행정안전부 고시 제2010-75호, ’10.12)

1.�행정전자서명인증체계 개요

연 혁연 혁

• 장애인 웹접근성 관련 웹표준화 방안 마련

• 개인용 인증서에 가상식별번호(VID) 적용

• 범정부 행정정보공유체계 구축(’06.10. ∼ ’07.3) :

공공·금융기관용 행정전자서명 인증서 발급

•행정전자서명을 위한 사용자 접근권한관리시스템(PMI) 구축(’03.12) : 행정정보공동이용, G4C 공무원창구 로그인 적용

•전자민원서비스 제공 기반 구축을 위한 민·관 전자서명 상호연계 체계(’01.9 ∼ ’02.5)•정부인증관리체계(인증기관 지정·고시 등) 구축

(’02.7 ∼ ’02.12 )

•행정전자서명 제도 도입 및 인증시스템 구축·이중화

(’00. 4 ∼ ’00.12)

2009년2009년

2006년2006년

2003년2003년

2000년~

2002년

2000년~

2002년

•행정전자서명 인증업무 지침 제정(‘10. 12)

•행정전자서명 암호체계 고도화를 위한 최상위인증시스템

(RootCA) 조기 구축

•표준API 기능개선 및 재배포 안내

2010년2010년

Ⅰ.�행정전자서명인증체계개요

5

구 분 용 도 유효기간

기관용

전자관인용 •전자문서 유통 등 송 수신기관 확인이 필요한 행정업무

2년 3개월서버용 •컴퓨터 시스템에 지속적으로 처리하는 행정업무

SSL용

•사용자PC와 웹사이트 사이에 송·수신되는 정보의 암호화하여전송

⇒ 개인정보 유출 방지

2년

특수목적용 •차량용, 공직자 통합메일용 2년 3개월

개인용•전자결재, 통합메일, 행정업무(GVPN, 행정정보공동이용, 디지털예산회계 등), 전자민원 G4C 등 공무원 신원확인 용도로사용

2년 3개월

인증서종류

인증서발급대상

인증서 발급 대상

행정기관

행정기관의 보조기관 및 보좌기관

행정기관과 전자문서를 유통하는 기관, 법인 및 단체

행정정보공동이용 이용기관(전자정부법 제36조 제2항의 법인, 기관, 단체)


6

인증서발급현황

구 분

계 개인용 기관용

기관 건 수 유선 무선 전자관인 서버용

계 1,007 571,850 559,235 756 570 11,289

중앙행정기관 61 163,315 158,576 656 127 3,956

지방자치단체 246 264,701 257,798 95 321 6,487

시도교육청,

공공기관 등700 143,834 142,861 5 122 846

(’10.12월 말 현재)

※ ’10년 월 평균 3만 4천건의 인증서가 (재)발급 되고 있으며, 인증관리센터와 700여명의 (L)RA 담당자가 관리를 하고 있음

행정전자서명 인증서는 기관용/개인용으로 구분하여 발급

공무원 개인에게는 유선용과 무선용으로, 기관에게는 전자관인용과 기관별 정보시스템의 서버용으로구분하여 발급


7

개요

2.�행정전자서명 암호체계 고도화 추진 개요

추진배경

국외 암호전문기관(NIST 등) 권고 및 국정원 ‘국가·공공기관 암호 사용 기준’에 따른 행정전자서명 키길이및 해시알고리즘 교체

※ 공인인증체계(NPKI)와 상호호환성 확보를 위하여 관련기관 협의체 운영

행정전자서명인증체계에서 사용 중인 암호 알고리즘은 '11년 이후 안전성 담보 어려움※ NIST 권고사항 (Recommendation for Key Management - Part 1, 2007.3)

인증서 자체에 대한 해킹(불법복제, 위조생성 등)을 방지하고 행정전자서명인증서의

신뢰성 확보를 위해 전자서명 '키 길이 상향 조정 ', ' 해시 알고리즘 교체 ' 필요

국가·공공기관 정보시스템의 전자서명 및 암호키 생성 등에 사용되는 알고리즘은

‘11년까지 SHA-2 또는 새로운 국가표준 해시 알고리즘으로 대체

※ “국가·공공기관 암호사용기준(09.12.4)”

Ⅱ.�고도화추진 개요

8

주요고도화내용

1.해시알고리즘교체해쉬알고리즘

SHA-1 SHA-256

2.인증서 키길이 상향

알고리즘 인증서 키길이

암호용 알고리즘 RSA 1024bit RSA 2048bit

전자서명용 알고리즘 KCDSA 1024bit KCDSA 2048bit

3.비밀키 암호알고리즘해쉬알고리즘

NEAT ARIA(개인용), NES(서버용)

Ⅱ.�행정전자서명암호체계고도화추진현황2.�행정전자서명 암호체계 고도화 추진 개요

9

구 분 기관 역할

최상위

인증기관

(RootCA)

•행정안전부• RootCA시스템

고도화

인증기관

(CA)

•행정안전부(행정용/공공•금융용)

•대검찰청

•대법원

•교육과학기술부

•병무청

•국방부

•인증시스템

•고도화

서비스 이용기관

•중앙행정기관

•지방자치단체

•공공 •금융기관

•표준API 교체

암호체계 고도화추진지원

•행정안전부(정보보호정책과)

•한국지역정보개발원

•인증관리센터

•인증시스템 고도화지원

•표준API 기능개선/재배포

공인인증체계(NPKI) •한국인터넷진흥원•공인인증체계와

상호호환성 확보

행정안전부(최상위 인증기관)

공인인증체계(NPKI)

한국지역정보개발원(인증관리센터)

암호체계 고도화 지원팀

표준API 보급팀

인증기관(CA)

등록기관(RA)

서비스이용기관

암호체계고도화추진 팀

운영 및 유지보수팀

Ⅱ.�행정전자서명암호체계고도화2.�행정전자서명 암호체계 고도화 추진 개요

추진체계

10

2011년 하반기

2010년 하반기

2011년 상반기

인증시스템

개선

인증시스템

개선

가입자 인증서 갱신(8월~)

표준API재배포

인증서발급

인증•검증시스템 개선(3월~7월)

표준API 재배포(계속)

인증기관(5), 등록기관(4) 인증시스템 개선 지원

표준API 재배포 안내(인증정책 설명회, 독려 공문)

행정전자서명 인증업무지침 제정•고시(12월)- 의견수렴(8월)

최상위인증서 및 인증기관인증서 발급, 배포(12월)

암호체계고도화 단계별 추진을 위한인증기관 회의(1월)

표준API 기능개선(4월)

(키보드보안 확대적용, 라이선스 기능추가, SHA-256 지원)

최상위인증기관(RootCA) 시스템 시범구축(5월)

표준API 보급관리시스템 개선(5월)

인증시스템시범 구축

2010년 상반기

Ⅱ.�행정전자서명암호체계고도화

암호체계고도화추진단계

2.�행정전자서명 암호체계 고도화 추진 개요

11

3.�표준API�재배포 추진 현황

•공무원의 신원확인 및 행정기관의 전자문서 위ㆍ변조 방지 등을 보장하고, 안정적인 전자문서유통을 위해 개발된 표준 보안 모듈

•행정기관 및 지방자치단체 등에 배포하고 있음

표준API란?

사용자 로그인 및 신원확인 모듈

데이터 송수신시 전자서명 및 암호화

인증서검증(OCSP, CRL 등)

시점확인

표준API 용도

표준API

웹용 표준API

표준API 종류

Ⅲ.�표준API�재배포추진현황

표준API 정의

12

지원운영체제

구분 배포버전 개발언어 운영체제

표준API V1.4 C/C++, JAVA

Windows

HP-UX

IBM-AIX

SUN OS

Linux

UnixWare

웹용 표준API V1.4

ASP Windows IIS

JSP / PHP

Weblogic 8.X, 9.X, JEUS 4.X, 5.X, Websphere

Tomcat 4.X, 5.X, 6.X

3.�표준API�재배포 추진 현황Ⅲ.�표준API�재배포추진현황

13

용도


14

기능개선표

구분 주요기능 개선사항 비고

알고리즘

전자서명 생성및 인증서

검증•유·무선 전자서명 생성 및 처리

•SHA256 RSA/KCDSA/ECDSA 전자서명생성 및 검증 처리

NPKI인증서검증 지원

•암호체계 고도화에 따른 NPKI인증서 검증

애플리케이션

키보드보안 •웹용 API 키보드 보안•소프트캠프, 잉카인터넷, 안철수연구소,킹스, 소프트포럼 제품 확대 적용

1종→5종

라이센스 적용 •API 적용시 라이센스 발급 •표준API 적용시 라이센스 적용


15

재배포단계

보급현황 파악 API 우선 배포 API 신청 API 적용1 2 3 4

인증서 종류, 연계여부파악을 통한 API 우선교체(NPKI 이용시스템)

※GPKI 인증서이용 시스템 API도 배포

표준API 보급관리시스템을이용한 API 신청

재배포된 API 및라이센스 적용

표준API�재배포 대상

표준API 적용 시스템 (719개 시스템)

기관협조사항

지속적인 행정전자서명 인증서비스 이용을 위하여 표준API 재배포 계획에 협조 필요

전수조사(’10.4)를 통한API 전체 보급현황 파악


16

표준API��보급현황

구분업무 수(또는 시스템 수)

계 GPKI GPKI & NPKI

계 1,107 1,026 81

중앙행정기관 730 677 53

지방자치단체 329 303 26

공공기관 48 46 2

2010년 12월 현재


17

재배포추진일정

인증서발급

툴킷

구 분

2011년

3분기 4분기

2010년

4분기 2분기2분기

NPKI

GPKI(표준API)

3분기1분기 1분기

NPKI

GPKI

2010년 7월부터 배포 예정

2010년 11월부터NPKI 상호연동테스트 후 배포

2011년 4월부터 사용자 인증서 발급(예정)

2011년 8월부터 사용자 인증서발급(예정)

① NPKI+GPKI 동시 사용 업무시스템

표준API 재배포

② 신규시스템 표준API 배포

API 기능개선


18

유형 검토내역 해결방안

RootCA 인증서를 업무시스템 서버에 저장하고

있는 경우

RootCA 인증서 존재 여부 확인

예) RootCA.cer 또는 RootCA.der

파일을 검색

신규 발급 인증서(RootCA,

CA) 교체 필요

인증서관련 데이터(전자서명 및 해시)를 DB에

저장하여 사용하는 경우

DB 칼럼 사이즈(1024, 2048) 확인

예) DB에서 전자서명 또는 해시 데이터

사용 여부 확인

DB 칼럼 사이즈 변경

타 PKI업체가 표준API를 활용하여 전자서명

툴킷을 제공하여 업무시스템에 적용한 경우해당 PKI업체 또는 유지보수 업체 확인 -

표준API�재배포 시유의사항


(110203)암호체계고도화 교육자료 v3 [호환 모드] · ibm-aix sun os linux unixware...

Documents