X.500
X.500X.500은 전자 디렉토리 서비스를 다루는 일련의 컴퓨터 네트워킹 표준입니다.X.500 시리즈는, 국제 전기 통신 연합(ITU-T)의 전기 통신 표준화 섹터에 의해서 개발되었습니다.ITU-T는 이전에는 CCITT(International Telephony and Telegraphy) 자문위원회로 알려져 있었습니다.X.500은 [1]1988년에 최초로 승인되었습니다.디렉토리 서비스는 X.400 전자 메일 교환 및 이름 검색 요건을 지원하기 위해 개발되었습니다.국제표준화기구(ISO)와 국제전기기술위원회(IEC)는 표준을 개발하는 데 있어 파트너로서 오픈 시스템 상호접속 프로토콜 스위트에 통합했습니다.ISO/IEC 9594는 대응하는 ISO/IEC 식별 정보입니다.
X.500 프로토콜
X.500에서 정의되는 프로토콜은 다음과 같습니다.
| 프로토콜 이름 | 묘사 | 사양의 정의* |
|---|---|---|
| 디렉토리 액세스 프로토콜(DAP) | "DUA와 DSA 간의 요청 및 결과 교환을 정의합니다." 이것은 클라이언트가 디렉토리 시스템과 대화하는 방법입니다. | ITU 권장 X.511 |
| DSP(Directory System Protocol) | "두 DSA 간의 요청 및 결과 교환을 정의합니다." 이것이 2개의 디렉토리 서버가 서로 대화하는 방법입니다. | ITU 권장 X.518 |
| Directory Information Shadowing Protocol (Directory Information Shadowing Protocol(DISP) | "섀도잉 계약을 맺은 두 DSA 간의 복제 정보 교환을 정의합니다." 이것은 디렉토리 서버가 정보를 복제하는 방법입니다. | ITU 권장 X.525 |
| DOP(Directory Operational Bindings Management Protocol) | "두 DSA 간의 관리 정보 교환을 정의하여 DSA 간의 운영 바인딩을 관리합니다." 이것은 디렉토리가 레플리케이션과 관련된 어그리먼트 등 서로간의 어그리먼트를 관리하는 방법입니다. | ITU 권장 X.51 |
| 인증국 서브스크립션 프로토콜(CASP) | ITU 권장 X.509 | |
| Authorization Validation Management Protocol(AVMP) | ITU 권장 X.509 | |
| Trust Broker Protocol(TBP) | ITU 권장 X.510 |
* 이러한 프로토콜은 일반적으로 여러 사양 및 ASN.1 모듈에서 단편적으로 정의됩니다.위의 "규격 정의" 열은 프로토콜에 가장 구체적으로 기여하는 규격을 주관적으로 나타냅니다.
이러한 프로토콜은 OSI 네트워킹 스택을 사용했기 때문에 인터넷 클라이언트가 TCP/IP 네트워킹 스택을 사용하여 X.500 디렉토리에 액세스할 수 있도록 하기 위해 DAP에 대한 많은 대안이 개발되었습니다.DAP의 가장 일반적인 대체 방법은 Lightweight Directory Access Protocol(LDAP)입니다.DAP 및 기타 X.500 프로토콜은 TCP/IP 네트워킹 스택을 사용할 수 있지만 LDAP는 여전히 인기 있는 디렉토리 액세스 프로토콜입니다.
전송 프로토콜
X.500 프로토콜은 전통적으로 OSI 네트워킹 스택을 사용합니다.다만, Lightweight Directory Access Protocol(LDAP)에서는, 전송에 TCP/IP 를 사용합니다.ITU 권장사항 X.519의 최신 버전에서는 IP/IP 스택을 통해 X.500 Protocol Data Unit(PDU)를 전송할 수 있도록 Internet Direct-Mapped(IDM) 프로토콜이 도입되었습니다.이 전송에는 ISO Transport over TCP와 프로토콜 데이터그램을 프레임하기 위한 간단한 레코드 기반 이진 프로토콜이 포함됩니다.
X.500 데이터 모델
X.500의 주요 개념은 Directory System Agents(DSA; 디렉토리 시스템에이전트)라고 불리는1개 이상의 서버에 분산되어 있는 엔트리의 계층형 조직인 단일 Directory Information Tree(DIT; 디렉토리 정보 트리)가 존재하는 것입니다.엔트리는 Atribute 세트로 구성됩니다.각 Atribute에는 1개 이상의 값이 있습니다.각 엔트리는 고유 고유 고유 이름을 가지며, Relative Distinguished Name(RDN; 상대 고유 이름), 엔트리 자체의 1개 이상의 속성 및 DIT 루트까지의 상위 엔트리의 RDN을 조합하여 형성됩니다.LDAP는 X.500과 매우 유사한 데이터 모델을 구현하고 있으므로 LDAP 관련 문서에 데이터 모델에 대한 자세한 설명이 있습니다.
X.520과 X.521은 DIT 내의 엔트리로 사용자 및 조직을 표현하기 위해 사용되는 일련의 Atribut과 오브젝트클래스의 정의를 제공합니다.가장 널리 배포되는 화이트 페이지 스키마 중 하나입니다.
인증 프레임워크에 대한 표준 제공의 일부인 X.509는 현재 X.500 디렉토리 프로토콜 외부에서 널리 사용되고 있습니다.공개 키 증명서의 표준 형식을 지정합니다.
X.500 디렉토리와 X.509v3 디지털 증명서의 관계
Web 브라우저에 직접 로드된 디렉토리 구조 이외의 X.509v3 증명서를 현재 사용하고 있는 것은, X.500(1988년)의 디지털 증명서의 소스로서 X.500 디렉토리를 필요로 하지 않는 시큐어 Web 베이스(SSL/TLS) 통신을 가능하게 하는 것에 의해서, 전자 상거래가 발전하기 위해서 필요했습니다.X.509가 WWW 이전에 X.500을 업데이트하기 위한 안전한 접근 방식으로 설계되었지만 웹 브라우저가 보급되었을 때 웹 사이트에 대한 트랜스포트 레이어 연결을 암호화하는 간단한 방법이 필요했다는 점에서 X.500과 X.509의 관계를 이해하기 위해서는 X.509의 관계를 이해할 수 있습니다.따라서 지원되는 인증 기관의 신뢰할 수 있는 루트 인증서가 개인 컴퓨터 또는 장치의 인증서 저장소 영역에 미리 로드되었습니다.
보안 강화는 [2]사이버 공간의 디지털 ID를 보호하는 2-3년 프로젝트인 미국 사이버 공간의 신뢰할 수 있는 ID를 위한 국가 전략 2011-2014년 실시 예정으로 예정되어 있습니다.
X.509v3의 WWW 전자 상거래 실장은 바이패스되었지만 X.500 디렉토리의 인정자 이름을 바인딩하는 원래의 ISO 표준 인증 메커니즘은 대체되지 않았습니다.
이러한 증명서 패키지는 최종 사용자가 소프트웨어에서 추가 또는 삭제할 수 있지만 Microsoft 및 Mozilla에 의해 지속적인 신뢰성의 관점에서 검토됩니다.DigiNotar에서 발생한 문제 등 문제가 발생한 경우 브라우저 보안 전문가는 인증국을 신뢰할 수 없는 것으로 마킹하는 업데이트를 발행할 수 있지만 이는 사실상 해당 CA를 "인터넷 신뢰"에서 제거하는 것입니다.X.500에서는 제공된 번들 이외의 특정 루트 증명서를 요구하는 조직을 표시할 수 있습니다.이는 "신뢰의 4코너 모델"로 기능하며 루트 인증서가 손상되었는지 확인하기 위한 다른 검사를 추가할 수 있습니다.손상된 증명서를 취소하기 위한 Federal Bridge 정책을 관리하는 규칙은 www.idmanagement.gov에서 확인할 수 있습니다.
이 브라우저 번들 접근법의 대조를 이루는 것은 X.500 또는 LDAP에서는 "ca Certificate" 속성을 디렉토리 엔트리에 "바인드"하여 최종 사용자가 일반적으로 SSL 경고 메시지가 표시되지 않는 한 알아차리지 못하는 기본 프리 로드된 증명서 번들에 추가하여 체크할 수 있다는 점입니다.
예를 들어 SSL을 사용하는 웹 사이트(일반적으로 DNS 사이트 이름 "www.foobar.com")는 사용자에게 제공된 신뢰할 수 있는 루트 인증서 중 하나에 의해 인증서가 서명되었는지 확인하는 라이브러리를 사용하는 소프트웨어에 의해 브라우저에서 확인됩니다.
따라서 HTTPS를 통해 사용자가 올바른 웹 사이트에 도달했음을 신뢰합니다.
그러나 도메인 이름보다 더 많은 도메인 이름이 확인되었음을 나타내는 더 강력한 검사도 가능합니다.이를 X.500과 대조하기 위해 증명서는 엔트리의 여러 속성 중 하나이며, 엔트리는 특정 디렉토리 스키마에서 허용하는 모든 속성을 포함할 수 있습니다.따라서 X.500은 디지털 증명서를 저장하지만 물리 주소, 연락처 전화번호, 이메일 연락처 등 조직을 검증할 수 있는 많은 속성 중 하나입니다.
CA 증명서 또는 인증국 증명서는 브라우저(Microsoft 업데이트메커니즘의 경우) 또는 브라우저의 새 버전 업데이트로 자동으로 로드되며 사용자는 로드된 인증국과의 개별 신뢰 관계를 Import, 삭제 또는 개발할 수 있으며 브라우저의 동작 방식을 결정할 수 있습니다.OCSP 실효 서버에 도달할 수 없는 경우.
이는 caCertificate 속성을 나열된 인증 기관과 연결하는 디렉토리 모델과 대조됩니다.
따라서 브라우저는 승인된 증명서의 로드된 그룹에 의해 웹사이트의 SSL 증명서를 확인할 수 있습니다.또는 루트 증명서를 X.500 또는 LDAP 디렉토리(또는 HTTP/S 경유)에서 검색하여 신뢰할 수 있는 인증국 목록으로 Import할 수 있습니다.
"바운드" 고유 이름은 디렉토리 항목과 일치하는 인증서의 제목 필드에 있습니다.X.509v3에는 국제 도메인 이름 이외의 관심 커뮤니티에 따라 다른 확장자를 포함할 수 있습니다.RFC-5280 PKIX 에서는, 인터넷을 폭넓게 사용하기 위해서, 암호화된 전자 메일등의 애플리케이션에 도움이 되는 필드의 프로파일에 대해 설명하고 있습니다.
브라우저 또는 이메일에 제시되는 증명서의 신빙성에 의존하는 최종 사용자는 제시된 위조 증명서와 유효한 증명서를 비교할 수 있는 간단한 방법이 없습니다(브라우저 경고를 트리거할 수 있습니다).또한 DN 또는 인정자 이름을 검증할 기회도 주어지지 않고X.500 DIT
증명서 자체는 공개되어 있어 허가할 수 없는 것으로 간주되기 때문에 어떤 방법으로도 배포할 수 있지만 ID에 대한 바인딩은 디렉토리에서 발생합니다.바인딩은 증명서를 사용하고 있다고 주장하는 아이덴티티에 증명서를 링크하는 것입니다.예를 들어 Federal Bridge를 실행하는 X.500 소프트웨어에는 인증 기관 간의 신뢰를 가능하게 하는 교차 인증서가 있습니다.
도메인 이름의 단순한 호모그래픽 일치로 인해 도메인이 합법적인 것처럼 보일 수 있지만 그렇지 않은 피싱 공격이 발생했습니다.
X.509v3 증명서가 디렉토리내의 유효한 조직의 식별명에 바인드 되어 있는 경우는, 증명서의 신뢰성에 관해서, 브라우저에 표시되는 것과 디렉토리에 존재하는 것을 비교하는 것으로 간단하게 확인할 수 있습니다.
일부 옵션은 증명서가 최근에만 표시되었는지 여부를 확인하기 위해 알림을 검사하기 위해 존재하며,[3] 따라서 더 많이 손상되었을 수 있습니다.도메인 이름이 약간 일치하지 않아 증명서가 신뢰될 가능성이 높고 실패할 경우 처음에는 브라우저에서 실패하지만 그 후 공증 신뢰의 대상이 되고 브라우저 경고를 무시할 수 있습니다.
o=FoobarWidgets와 같은 유효한 조직 엔트리는 연관된 영숫자 OID도 가지며 ANSI에 의해 "확정"되어 증명서를 ID에 바인딩하는 데 대한 또 다른 보증 계층을 제공합니다.
최근 사건(2011년)은 증명서를 위조한 국가별 무명 행위자들의 위협을 시사하고 있다.이는 웹을 통해 페이스북에 접속하는 시리아의 정치 활동가들에 대한 MITM 공격을 유발하기 위한 것이다.이로 인해 보통 브라우저 경고가 트리거되지만 브라우저 또는 기타 소프트웨어에서 이미 신뢰받고 있는 유효한 인증국에 의해 MITM 증명서가 발급된 경우에는 발생하지 않습니다.Stuxnet에서도 유사한 공격이 사용되었으며 이를 통해 소프트웨어가 신뢰할 수 있는 코드를 가장할 수 있습니다.증명서의 투과성은 최종 사용자가 증명서가 실제로 유효한지 여부를 간단한 절차를 사용하여 판단할 수 있도록 하는 것입니다.디폴트 증명서 번들에 대해 체크하는 것만으로는 충분치 않을 수 있으므로 추가 체크가 필요합니다.인증서 투명성에 대한 다른 제안도 제시되었습니다.[4]
인증기관인 코모도에 대해 다른 공격이 가해져 유명 통신 사이트를 향한 위조 증명서가 만들어졌다.이 때문에 주요 브라우저에 긴급 패치가 필요했습니다.이들 증명서는 실제로 신뢰할 수 있는 인증기관에서 발급된 것이므로 Alto Palo를 Palo Alto로 대체하는 등 증명서가 조잡하게 위조된 시리아의 사건 및 잘못된 일련번호와 대조적으로 위조된 웹사이트에 접속했다면 사용자는 경고를 받지 않았을 것입니다.
PHI, 보호된 상태 정보(HIPAA에 매우 민감한 것으로 간주됨)를 교환하도록 설계된 일부 프로젝트에서는 CERT DNS 리소스 레코드 또는 X.500[2008] 디렉토리에 대한 LDAP를 통해 X.509v3 인증을 취득할 수 있습니다.권한 있는 바인드의 문제는 DNSSEC를 사용하여 루트에서 서명함으로써 보호되는 DNS 정보의 정확성과 관련된 RFC에 자세히 설명되어 있습니다.
루트 네임서버의 개념은 인터넷 커뮤니티에서 큰 경합이 되고 있습니다만, DNS에 대해서는 대체로 해결되고 있습니다.X.500과 관련된 이름 공간은 전통적으로 국가 이름 지정 기관으로 시작된다고 여겨져 왔습니다. 이는 국가 대표성을 가진 글로벌 시스템에 대한 ISO/ITU 접근방식을 반영합니다.따라서 국가마다 고유한 X.500 서비스를 만들 수 있습니다.미국 X.500은 미국 정부가 더 이상 알려진 정부 기관 밖에서 X.500이나 DNS 등록을 제공하지 않았던 1998년에 민영화되었다.
X.500 파일럿 프로젝트는 상업용 공간에서 개발되고 있으며, 이 테크놀로지는 기업 데이터센터 내 및 미국 정부 내 수백만 명의 대규모 사용자 설치에 계속 사용되고 있습니다.
X.500 시리즈 표준 목록
| ITU-T 번호 | ISO/IEC 번호 | 표준 제목 |
|---|---|---|
| X.500 | ISO/IEC 9594-1 | 디렉토리:개념, 모델 및 서비스의 개요 |
| X.51 | ISO/IEC 9594-2 | 디렉토리: 모델 |
| X.509 | ISO/IEC 9594-8 | 디렉토리: 공개키 및 속성 증명서 프레임워크 |
| X.511 | ISO/IEC 9594-3 | 디렉토리: 추상 서비스 정의 |
| X.518 | ISO/IEC 9594-4 | 디렉토리: 분산 조작 순서 |
| X.519 | ISO/IEC 9594-5 | 디렉토리: 프로토콜 사양 |
| X.520 | ISO/IEC 9594-6 | 디렉토리: 선택한 속성 유형 |
| X.521 | ISO/IEC 9594-7 | 디렉토리: 선택한 개체 클래스 |
| X.525 | ISO/IEC 9594-9 | 디렉토리: 레플리케이션 |
| X.530 | ISO/IEC 9594-10 | 디렉토리:디렉토리 관리를 위한 시스템 관리 사용 |
비판
RFC 2693(SPKI에 관한)의 저자에 의하면, 「원래의 X.500 계획이 실현될 가능성은 거의 없습니다.디렉터리 항목 모음...는, 리스트의 소유자에 의해서 가치 있는 것으로 간주되거나 기밀로 간주되어 X.500 디렉토리 서브 트리의 형태로 세상에 공개되지 않을 가능성이 높아집니다.또, 인정자명(모든 사람이 엔티티를 참조할 때 사용할 수 있는 단일 글로벌 일의명)에 대한 X.500 아이디어도 실현될 가능성이 높지 않습니다.
「X.500은, 데스크탑이나 인터넷을 개입시켜 서포트하기에는 너무 복잡하기 때문에, LDAP 는 「나머지에게」[5]이 서비스를 제공하기 위해서 작성되었습니다.」
「 」를 참조해 주세요.
레퍼런스
- ^ http://www.collectionscanada.gc.ca/iso/ill/document/ill_directory/X_500andLDAP.pdf[베어 URL PDF]
- ^ "National Strategy for Trusted Identities in Cyberspace".
- ^ Wendlandt, Dan; Andersen, David G.; Perrig, Adrian (June 2008). "Perspectives: Improving SSH-style Host Authentication with Multi-Path Probing" (PDF). Proceedings of the 2008 USENIX Annual Technical Conference: 321–334.
- ^ "Certificate Transparency". www.certificate-transparency.org.
- ^ LDAP란?Gracion.com 를 참조해 주세요.2013-07-17에 회수.
외부 링크
- "RFC1485: A String Representation of Distinguished Names". 1993. Retrieved 2021-02-10.
Many OSI Applications make use of Distinguished Names (DN) as defined in the OSI Directory, commonly known as X.500 [CCI88]. This specification assumes familiarity with X.500, and the concept of Distinguished Name.
- Chadwick, D W (1994). "Understanding X.500 - The Directory". Retrieved 2017-12-06.
- X500Standard.com – X.500 표준에 대한 가이드이자 표준으로 수행 중인 기존 및 신규 작업의 저장소인 X.500 커뮤니티 사이트.Wayback Machine (2019년 1월 4일 아카이브 완료)