[e리포트-TTA 보고서] DPD/DPV 프로토콜 표준

입력: 2003-05-13 11:43

폰트

SCVP 표준화작업 완료단계 RFC 문서로 연내 확정될 듯

IETF(Internet Engineering Task Force)의 PKIX(Public Key Infrastructure based on X.509) 워킹그룹에서 현재 가장 활발하게 논의가 진행 중인 표준화 주제는 DPD/DPV(Delegated Path Discovery/Delegated Path Validation) 프로토콜이다.

이 프로토콜은 올 2월에 확정된 SCVP(Simple Certificate Validation Protocol), 장기간 데이터에 대한 부인방지 기능을 제공하기 위한 TAP(Trusted Archive Protocol), 그리고 LDAP(Lightweight Directory Access Protocol) 서버에서 주체 이름(Subject DN) 이외의 속성을 이용해 인증서 및 인증서 취소목록을 검색 가능케 하기 위한 구성요소 매칭과 속성 추출 방법 등이다.

◇표준화 진행사항=현재 SCVP는 표준화가 거의 완료된 상태로, 오는 7월 비엔나 회의 이전에 워킹그룹의 마지막 선언이 있을 예정이다. TAP는 이제 표준화가 막 시작되는 단계이고 , LDAP 서버에서 속성을 이용해 인증서나 인증서 취소목록의 검색을 가능케 하기 위한 표준화 주제는 활발히 진행 중이다.

-SCVP: PKIX 워킹그룹은 여러 개의 프로토콜 후보 중에서 하나의 DPD/DPV 프로토콜을 선택하기 위한 가이드라인으로 DPD/DPV 요구사항 문서를 RFC 3379로 완성한 바 있다. 지난 겨울 네 가지 후보 프로토콜들에 대한 선호도 조사 투표가 실시됐으며 그 결과 SCVP가 51표, OCSP가 15표, DVCS가 8표, CVP가 2표를 얻은 바 있다. 이를 바탕으로 워킹그룹 의장들은 프로토콜의 용이한 실현이 가능한 지, RFC 3379 요구사항 문서의 내용을 만족하는 지, 완성도가 높은 지 등에 대한 다른 측면까지를 고려해 SCVP를 DPD/DPV 프로토콜로 확정했다. 그리고 이번 회의를 통하여 이러한 결정을 오프라인에서 최종 확정했다.

-TAP: 신뢰된 어치브 기관(TAA: Trusted Archive Authority)은 안전한 저장소를 유지하면서 장기간의 부인 방지 서비스를 제공하는 제 3의 신뢰기관이다. TAP 프로토콜은 클라이언트와 TAA간의 장기간의 부인방지 서비스를 지원하기 위한 프로토콜이다. 이 인터넷 드래프트는 클라이언트와 TAA 간에 수행되는 어치브 데이터 제출, TAA에 어치브된 데이터의 조회, 어치브된 데이터의 삭제 등으로 이루어진 일련의 거래 동작들을 정의한다.
-LDAP 구성요소 매칭과 속성 추출: 현재의 LDAP 서버의 문제는 주체 이름 이외의 어떤 다른 속성으로도 저장하고 있는 인증서나 인증서 취소목록을 검색할 수 없다는 것이다. 이를 해결하기 위한 방법으로 구성요소 매칭 방법과 속성 추출 방식이 제안됐다. 구성요소 매칭 방법은 LDAP 서버가 기존의 구성을 변경해 속성 값을 이용한 인증서나 인증서 취소목록을 검색 가능케 하는 방식으로 워킹그룹 차원에서 선호되는 방식이다. 그러나 이는 LDAP 벤더의 폭넓은 지원을 받지 못하고 있고 클라이언트와 서버 모두를 변경해야 하는 단점이 있다. 속성 추출 방법은 인증서나 인증서 취소목록을 LDAP에 저장하려 할 때, 속성 정보를 추출하고, 이를 디렉토리 엔트리를 위한 입력 변수로 이용하는 방법이다. 그러나 이 방법은 각 엔트리를 위한 저장 공간이 상당히 크게 증가하는 단점이 있다.

◇향후 표준화 진행사항=SCVP 관련해서는 RFC 3379를 완전히 만족시키기 위해 남아 있는 몇 가지 필수 및 선택 요구사항들이 검토될 것이다. 또한 SCVP의 요구와 응답에 MAC(Message Authentication Code) 기반 인증방식이 지원될 것이고, 몇 가지 디폴트 정책들이 정의될 것이다. SCVP의 다음 인터넷 드래프트 버전은 5월 말까지는 공표 될 것이고, 빠르면 올해 내에 SCVP 프로토콜이 RFC 문서로 확정될 예정이다. TAA는 이제 막 제안된 표준화 주제로서 워킹그룹 차원에서 이 항목을 공식적인 표준화 항목으로 채택하느냐 여부에 대해서 아직 합의가 이루어지지 않은 상태이나, 지금까지 리스트에서의 선호도 조사는 채택이 우세한 것으로 나타나고 있다. 워킹그룹에서는 LDAP PKI 문제를 해결하는 두 가지 방법 중 구성요소 매칭 방법이 선호되고 있으나, LDAP 벤더의 비협조로 인하여 다른 방법이 모색될 수도 있다. 개인적으로는 LDAP 서버에서 많은 메모리가 요구된다는 점을 고려하면 구성요소 매칭 방법이 바람직하다고 생각한다.

◇국내 업체를 위한 제안=워킹그룹 차원에서 DPD/DPV 프로토콜로 확정된 SCVP 프로토콜은 온라인 인증서 검증 서비스를 위한 매우 중요한 프로토콜이다. 따라서 국내 공개키 기반구조 산업체도 SCVP를 준수하는 온라인 인증서 검증 관련 제품 및 응용의 개발을 서둘러야 할 것이고 공인 인증기관들도 이를 이용한 온라인 인증서 검증 서비스를 준비해야 할 것이다.

ISTF(Internet Security Technology Forum)와 TTA에서도 이에 대한 국내 표준안을 마련해야 할 것이다. 또한 장기간의 부인방지 서비스를 위한 TAA에 대한 표준과 LDAP PKI 문제를 해결하기 위한 표준도 공개키 기반구조의 응용 영역을 확대하기 위한 매우 중요한 프로토콜이므로, 주의 깊은 관찰과 표준화 동향파악이 요구된다.

서울특별시 중구 새문안로22
☎ 02) 3701-5500
등록번호 : 서울 아01699
등록일자 : 2011.07.15
발행일 : 2000.03.03
발행인/편집인 : 박학용

[e리포트-TTA 보고서] DPD/DPV 프로토콜 표준

이 시간 핫클릭

핫 이슈!