TSA_presentation

advertisement
TimeStamp를
활용한 전자문서 진본성 확보
2010.10
고려대학교 컴퓨터 정보통신대학원
디지털정보 미디어공학과
30기 강혁
목차
1
시스템 개요
2
데이터 형식
3
타임스탬프 프로토콜
4
5
도입 사례
발전 방향
1
시스템 개요
1.1 타임스탬프 개요
1.2 타임스탬프 필요성
1.3 문서내의 타임스탬프
1.4 시스템 구성도
1. 시스템 개요
1. 타임스탬프 개요
타임스탬프 개요
 타임스탬프란 전자기록물의 진본성 및 유효성을 입증하기 위하여 전자기록물이 존재한 시점의 확인
정보를 기록물에 추가적으로 부여한 전자정보를 의미한다.
 전자문서로 저장된 데이터는 쉽게 수정 가능하므로, 데이터를 생성하거나 수정한 시점을 확인하는
방법에 대하여 이슈가 발생할 수 있다. 이럴 때 디지털 타임 스탬핑을 사용하면 시점에 대한 증거를
확보하는데 도움이 될 수 있다.
 타임스탬핑은 데이터의 해쉬값과 현재 시간값을 암호화하여 전자서명한 값으로 타임스탬프 정보를
저장함으로써 무결성과 신뢰성을 보장한다.
고려대학교 컴퓨터정보통신대학원 디지털정보미디어공학과 강혁
-4-
1. 시스템 개요
2. 타임스탬프 필요성
타임스탬프 필요성
 전자문서의 원본성을 증명하는 기술로써, 전자서명이 일반적으로 사용되고 있다. 그러나, 전자서명은
전자문서에 대해서 ‘누가’, ‘무엇을’ 작성했는가를 증명할 수는 있으나, ‘언제’ 작성되었는지는 증명하지
못한다.
 타임스탬프는 전자문서에 대하여 ‘언제’,’무엇을’을 증명할 수 있는 기술이다. 그러므로, 전자서명과
타임스탬프를 병용함으로써 전자문서의 원본성 확보가 가능하게 되는 것이다.
 타임스탬프는, 전자서명 생성 시각의 증거성을 보증하기 위해 병용되므로, 완전성 확보의 유력한
수단이 된다.
고려대학교 컴퓨터정보통신대학원 디지털정보미디어공학과 강혁
-5-
1. 시스템 개요
3. 문서내의 타임스탬프
문서 내의 타임스탬프
고려대학교 컴퓨터정보통신대학원 디지털정보미디어공학과 강혁
-6-
1 시스템 개요
4. 시스템 구성도
시스템 구성도
GPS
TSA Certificate
NTP Client
CA
LDAP
Directory Server
LDAP
CA (Certification Authority)
• TSA Certificate and CRL 발급 및 관리
HTTP
(TSA)
TSA Server
Internet
TSA Server
• 요청데이터에 대한 TimeStamp Token 발급
TSA Client
• 발급요청 및 검증 요청문 작성
• TSA Server 에 TimeStamp Token 발급/검증 요청
TSA Client( Users or Application)
고려대학교 컴퓨터정보통신대학원 디지털정보미디어공학과 강혁
-7-
2
서비스 흐름도 & 데이터 형식
2.1 TSA 서비스 흐름도
2.2 TSA Request
2.3 TSA Response
2. 서비스 흐름도 & 데이터 형식
1. TSA 서비스 흐름도
TSA 서비스 흐름도
TSA Client (API)
TSA Server
Generate TSA Request Message
Send TSA Request (by HTTP)
Send TSA Response(by HTTP)
No
Yes
Fail to request (timeNotAvailable)
Send TSA Response(by HTTP)
Is valid system time?
No
Fail to request (badRequest)
Is signature valid ?
Yes
Send TSA Response(by HTTP)
Fail to request (unAuthorized)
No
Is Signer Cert. valid ?
Yes
Generate TSA Response Message
Send TSA Response(by HTTP)
Verify Signature & TSA Cert validity
Extract Time-Stamp Token from TSA Response
Save Time-Stamp Token
고려대학교 컴퓨터정보통신대학원 디지털정보미디어공학과 강혁
-9-
2. 서비스 흐름도 & 데이터 형식
2. TSA Request
TSA Request Syntax
Field Name
ASN.1 Type
Note
TimeStampReq
version
INTEGER
v1
messageImprint
hashAlgorithm
hashedMessage
Hash algorithm OID and the hash value of the data to be
time-stamped
AlgorithmIdentifier
OCTET STRING
reqPolicy
OBJECT IDENTIFIER
TSA policy under which the TimeStampToken SHOULD be
provided
nonce
INTEGER
The same nonce value MUST be included in the response
certReq
BOOLEAN
TSA's public key certificate MUST be provided by the TSA
extensions
Extensions
• Time-Stamp request encapsulate signed data [CMS]
고려대학교 컴퓨터정보통신대학원 디지털정보미디어공학과 강혁
- 10 -
2. 서비스 흐름도 & 데이터 형식
3. TSA Response
TSA Response Syntax (1/2)
Field Name
ASN.1 Type
Note
TimeStampResp
status
status
statusString
failInfo
timeStampToken
eContentType
eContent
PKIStatus
PKIFreeText (Optional)
PKIFailureInfo (Optional)
ContentInfo
OBJECT IDENTIFIER
OCTET STRING
Field Name
ASN.1 Type
PKIStatus
granted (0),
grantedWithMods (1),
rejection (2), waiting (3), ….
INTEGER
PKIFailureInfo
badAlg (0),
badRequest (1),
badDataFormat (5),
timeNotAvailable (14),
unacceptedPolicy (15),
unacceptedExtension (16),
addInfoNotAvailable (17),
systemFailure (25)
BIT STRING
고려대학교 컴퓨터정보통신대학원 디지털정보미디어공학과 강혁
SignedData [CMS]
id-ct-TSTInfo
DER-encoded value of TSTInfo
Note
unrecognized or unsupported Algorithm Identifier
transaction not permitted or supported
the data submitted has the wrong format
the TSA's time source is not available
the requested TSA policy is not supported by the TSA
the requested extension is not supported by the TSA
the additional information requested is not available
the request cannot be handled due to system failure
- 11 -
2. 서비스 흐름도 & 데이터 형식
3. TSA Response
TSA Response Syntax (2/2)
Field Name
ASN.1 Type
Note
TSTInfo
version
policy
messageImprint
serialNumber
genTime
accuracy
seconds
millis
micros
ordering
nonce
tsa
extensions
INTEGER
TSAPolicy
INTEGER
GeneralizedTime
SEQUENCE
INTEGER
INTEGER
INTEGER
BOOLEAN
INTEGER
(Optional)
GeneralName
(Optional)
Extensions
(Optional)
고려대학교 컴퓨터정보통신대학원 디지털정보미디어공학과 강혁
v1
If a similar field was present in the TimeStampReq, then it MUST
have the same value.
MUST have the same value as the similar field in TimeStampReq
Unique integer assigned by the TSA to each TimeStampToken.
The time at which the time-stamp token has been created by the
TSA
The time deviation around the UTC time contained in
GeneralizedTime
The nonce field MUST be present if it was present in the
TimeStampReq
The purpose of the tsa field is to give a hint in identifying the name
of the TSA
- 12 -
4
도입 사례
4.1 국내사례
4.2 해외사례
4. 도입 사례
1. 국내 사례
국내 사례
 국가기록원
국가기록원은 공공기관의 업무수행과 관련하여 생산된 문서나 국가적으로 보존할 가치가 높은 민간보유
기록물을 국가기록물로 지정/관리하여 기록물의 훼손/멸실 방지와 보존을 수행하는 기관이다. 기록물을
항구적으로 보존하기 위하여 기록관리 기술 및 기법을 연구하고 표준화하고 있으며, 보존 영구기록을
정리하여 열람 활용할 수 있도록 국민에게 필요한 정보를 제공하고 있다.
 행정정보공유 (GTSA)
행정정보공유서비스는 정부가 보유한 행정정보를 공무원 및 공공금융기관 담당자들이 직접
전자적으로 열람하는 서비스이다. 열람을 위해서는 공무원 뿐만 아니라 공공금융기관
담당자들도 행정전자서명(GPKI)을 반드시 가지고 있어야 이용가능하며 행정정보 특성상
통신 내용을 암호화하여 보안기능을 강화한 서비스이다.
고려대학교 컴퓨터정보통신대학원 디지털정보미디어공학과 강혁
- 14 -
4. 도입 사례
2. 해외 사례
해외 사례
고려대학교 컴퓨터정보통신대학원 디지털정보미디어공학과 강혁
- 15 -
5
발전 방향
5.1 발전 방향
5. 발전 방향
1. 발전 방향
발전 방향
 공공기관에서 전자문서 진본성을 위한 일반 기업으로의 확대 방법 제시 필요
 다양한 문서형식에 대한 타임스탬프 토큰 저장방식 효율성 방안 연구 필요
 타임스탬프 토큰 링크 토큰 및 체인, Aggregation 연구 및 활용 방안 연구 필요
 전자문서 진본성에 대한 서비스 활성화를 위한 법제화 연구 및 적용 필요
고려대학교 컴퓨터정보통신대학원 디지털정보미디어공학과 강혁
- 17 -
참고 문서
국외 참고 표준문서
 l ISO/IEC 18014-1 (2008), Information technology -- Security techniques -- Time-stamping
services -- Part 1: Framework
 l ISO/IEC 18014-2 (2002), Information technology -- Security techniques --Time-stamping
services -- Part 2: Mechanisms producing independent tokens
 l IETF RFC 3161 (2001), Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP)
 l IETF RFC 1305 (1992), Network Time Protocol (Version 3) Specification, Implementation and
Analysis
 l IETF RFC 3280 (2002), Internet X.509 Public Key Infrastructure Certificate and Certificate
Revocation List(CRL) Profile
 l IETF RFC 3281 (2002), An Internet Attribute Certificate Profile for Authorization
 l ITU-T Recommendation X.509(1997) | ISO/IEC 9594-8 :1998, Information technology – Open
Systems Interconnection – The Directory : Authentication Framework
고려대학교 컴퓨터정보통신대학원 디지털정보미디어공학과 강혁
- 18 -
참고 문서
국내 참고 표준문서
 KS X ISO IEC 18014-1 (2008), 정보기술 – 보안기술 – 타임 스탬핑 서비스 – 제 1 부 : 기본 틀
 l KS X ISO IEC 18014-2 (2004), 정보기술 – 보안기술 – 타임 스탬핑 서비스 – 제 2 부 : 독립토큰을
생성하는 메커니즘
고려대학교 컴퓨터정보통신대학원 디지털정보미디어공학과 강혁
- 19 -
감사합니다
고려대학교 컴퓨터정보통신대학원 디지털정보미디어공학과 강혁
- 20 -
Download