나만의 인증서 쌍을 만들 수 있는 방법이 있나요? 이메일 목적으로 신뢰할 수 있는 CA가 필요한 이유를 모르겠습니다. GPG 등을 사용하는 것보다 인증서를 선호합니다.
답변1
자체 서명된 키 쌍이요? 인증서 쌍? GPG보다 인증서를 사용하시겠습니까?
귀하가 질문한 방식은 공개/개인 키 쌍과 인증서가 서로 어떻게 관련되어 있는지에 대해 혼란스럽게 이해하고 있음을 나타냅니다.
- 일반적으로 키에 서명(적어도 자체 서명은 아님)하지 않고 인증서에 서명합니다.
- 키는 쌍으로 제공되지만 인증서는 그렇지 않습니다.
- 자체 서명된 인증서를 사용하면 인증되지 않은 키 쌍에 비해 인증서가 갖는 이점이 사라집니다.
설명하겠습니다. 이메일에 공개/개인 키 쌍을 사용하려는 경우 이는 일반적으로 다음 기본 목표 중 하나 또는 둘 다를 가지고 있음을 의미합니다.
- 귀하는 개인 키를 사용하여 이메일의 일부 또는 전부에 서명할 수 있기를 원합니다. 그러면 상대방이 귀하의 이메일이 실제로 귀하에게서 온 것인지, 전송 중에 수정되지 않았는지 확인할 수 있습니다.
- 당신은 당신의 이메일 내용을 당신만이 읽을 수 있도록 상대방이 당신의 공개 키를 사용하여 이메일의 일부 또는 전부를 암호화하기를 원합니다.
괜찮습니다만, 한 가지 큰 문제가 있습니다. 이것이 작동하려면 통신원이 공개 키를 얻을 수 있어야 하고 그것이 진짜인지 확인해야 합니다.당신의사기꾼의 것이 아닌 공개 키입니다.
이 문제를 해결하는 한 가지 방법은 신뢰할 수 있는 매체를 통해 각 상대방에게 공개 키를 보내고 상대방이 귀하와 주고받은 메시지에 사용할 수 있도록 이메일 보안 소프트웨어에 해당 공개 키를 설치하도록 하는 것입니다. 효과가 있을 수 있지만 귀하와 귀하의 통신원 모두에게 많은 설정 작업이 필요하며 해당 설정 작업은 각 통신원이 귀하에게 안전하게 이메일을 보낼 수 있도록 미리 완료해야 합니다.
번거로움을 덜기 위해 귀하의 새로운 잠재적 이메일 수신자가 소프트웨어에서 자동으로 공개 키를 검색하고 귀하의 키임을 신뢰할 수 있는 방식으로 공개 키를 게시할 수 있는 방법이 있다면 좋을 것입니다.
신뢰할 수 있는 방식으로 키를 게시하는 문제에 대한 잘 알려진 두 가지 솔루션이 있습니다. 바로 PGP/GPG 신뢰 웹과 인증서 기반 공개 키 인프라(PKI)입니다.
GPG 신뢰 웹에서는 공개 키를 GPG 신뢰 웹 시스템에 게시하고, 당신이 아는 다른 사람들이 당신의 키를 신뢰할 수 있는 것으로 표시하여(자신의 개인 키로 서명함으로써) 그 신뢰성을 보증하게 합니다. 그런 다음 누군가가 귀하에게 안전하게 이메일을 보내려고 할 때 웹 신뢰 시스템에서 귀하의 공개 키를 검색하고, 이를 보증한 사람이 누구인지 확인하고, 신뢰 여부를 결정한 다음, 신뢰한다면 이를 사용하여 보내는 메시지를 암호화할 수 있습니다. 너.
인증서 기반 PKI에서는 공개 키와 귀하에 대한 일부 식별 정보를 번들로 묶은 다음 해당 번들에 서명함으로써 공개 키의 신뢰성에 대해 잘 알려진 CA 보증을 갖게 됩니다. 귀하의 신원 정보와 공개 키로 구성된 서명된 묶음이 귀하의 인증서입니다. 해당 인증서를 광범위하게 게시하고 이메일에 첨부할 수도 있으며, 상대방이 해당 CA를 신뢰하는 경우 이 인증서가 인증서에 나열된 사람의 실제 공개 키를 표시한다는 CA의 말을 받아들일 수 있습니다.
따라서 자체 서명된 인증서를 생성하면 공개 키보다 더 신뢰할 수 없는 인증서를 생성하게 됩니다. 왜냐하면 귀하 외에는 이를 보증하는 사람이 없기 때문입니다. 귀하의 친구(GPG 신뢰 웹)도 아니고 신뢰할 수 있는 공공 기관(CA)도 아닙니다. 귀하와 귀하의 통신원은 귀하의 공개 키가 실제로 귀하의 공개 키인지 확인하기 위해 스스로 책임을 져야 할 것입니다.
그렇다면 자체 서명을 통해 인증서의 목적을 무너뜨리고 있다면 굳이 귀찮게 할 이유가 있을까요?