ITPE * JackerLab

개요Certificate Transparency(CT)는 잘못 발급된 인증서나 악의적 인증서를 탐지하기 위해 공개 로그를 기반으로 한 인증서 투명성 관리 체계이다. Google이 주도적으로 개발한 CT는 모든 SSL/TLS 인증서의 발급 내역을 투명하게 공개함으로써, 신뢰할 수 있는 인증서 인프라(PKI)의 감시와 검증을 가능하게 한다.1. 개념 및 정의 항목 내용 비교 개념SSL/TLS 인증서 발급 내역을 공개 로그에 기록하는 시스템전통적 PKI는 중앙집중 검증목적잘못 발급된 인증서 탐지 및 투명성 확보신뢰 체계 강화필요성인증서 위조·오발급 사건 증가DigiNotar, Symantec 사례 대응2. 특징특징설명비교공개 로그 기반모든 인증서 발급 내역을 전 세계적으로 검증 가능중앙 기관 검증 대비 신..

개요Key Transparency는 공개키 인프라(PKI)에서 사용자 공개키의 무결성과 투명한 변경 기록을 보장하기 위한 구조화된 투명 로그 시스템입니다. 사용자 ID ↔ 공개키의 매핑을 안전하게 저장하고 검증할 수 있도록 하며, 위변조 감지 및 키 변경 이력 추적을 가능하게 해주는 보안 메커니즘으로, Google, Open Whisper Systems(현재 Signal) 등에서 개발되었습니다.1. 개념 및 정의 항목 설명 비고 정의공개키와 사용자 식별자 매핑을 위한 검증 가능하고 감사 가능한 데이터 구조Merkle Tree 기반 로그 사용목적사용자 키 위조/변경 탐지, PKI 보안 강화키 백도어 방지유사 개념Certificate Transparency(CT), Blockchain 기반 로그개인정보 ..

개요SCITT(Supply Chain Integrity, Transparency, and Trust)는 IETF(Internet Engineering Task Force)에서 추진하는 디지털 공급망의 무결성, 투명성, 신뢰성을 확보하기 위한 표준 프레임워크입니다. 소프트웨어 및 디지털 아티팩트(artifacts)에 대한 메타데이터, 서명, 증명 등을 안전하게 저장하고 검증할 수 있는 구조를 제공하여, 오픈소스와 상용 소프트웨어 모두에 적용 가능한 보안 메커니즘을 제안합니다.본 포스트에서는 SCITT의 개념, 필요성, 구성 요소, 기술 메커니즘, 활용 사례, 도입 시 고려사항을 중심으로 디지털 공급망 보안을 위한 최신 표준의 흐름을 살펴봅니다.1. 개념 및 정의 항목 설명 정의SCITT는 다양한 발행자(..