CODE SIGN #1 사설 CodeSign 개념

사설 인증서를 이용한 코드 서명 및 검증

1. 사설 인증서를 이용한 코드 서명 및 검증

개요: 사설 인증서를 사용해 폐쇄망에서 코드 서명(Code Signing)을 구현하는 방식입니다. 이때 인증서와 코드 서명을 통해 파일의 무결성과 신뢰성을 검증할 수 있습니다. 사설 인증서는 사설 인증 기관(CA)에서 발급되며, 이를 각 시스템에 배포하여 서명된 파일을 검증합니다.

주요 단계:

• 사설 인증서 발급 및 배포: 사설 인증 기관(CA)을 구축하여 인증서를 발급하고, 이를 시스템에 배포해 신뢰할 수 있는 루트 인증서로 설정합니다.
• 코드 서명 및 검증: 발급된 인증서를 사용해 파일이나 DLL에 디지털 서명을 합니다. 각 시스템은 해당 인증서를 기반으로 파일의 무결성을 검증합니다. 타임스탬프를 추가하여 인증서가 만료된 후에도 서명이 유효한지 확인할 수 있습니다.

2. 리소스에 인증서 보관 및 무결성, 기밀성 확보

개요: 인증서를 별도의 DLL의 리소스에 포함시켜, 파일 내부에서 관리할 수 있도록 합니다. 이때, DLL 파일 자체에 코드 서명을 적용하여 해당 DLL의 변조 여부를 확인할 수 있습니다.

장점:

• 무결성 확보: DLL에 코드 서명을 하면, 인증서를 포함한 DLL의 변조 여부를 확인할 수 있어 무결성을 보장할 수 있습니다.
• 기밀성 확보: 리소스에 포함된 인증서를 암호화하여 보호하면, 인증서의 기밀성을 유지할 수 있습니다. 이를 통해 외부에서 인증서를 탈취하거나 변경하지 못하도록 방지할 수 있습니다.

3. 인증서 갱신과 확장성 확보

개요: 연도별로 인증서를 추가함으로써 만료된 인증서나 서명도 계속해서 검증할 수 있도록 설계합니다. 이 방식은 시간이 지나면서 새로운 인증서를 추가하는 유연성을 제공하며, 장기적인 무결성 보장과 확장성을 제공합니다.

장점:

• 만료된 서명 검증 가능: 만료된 인증서가 포함된 서명도 타임스탬프를 통해 유효성을 확인할 수 있으며, 새로운 인증서를 추가하여 계속 검증할 수 있습니다.
• 확장성: 새로운 인증서가 발급될 때마다 리소스에 추가하여 연도별로 관리할 수 있어 시스템 확장성이 뛰어납니다.
• 과거 인증서 관리: 과거의 인증서를 리소스에 보관하면 오래된 파일도 계속해서 신뢰성을 유지할 수 있습니다.
• 보안 강화: 시간이 지나 보안 요구사항이 변화할 때, 새로운 인증서를 추가해 보안 수준을 점차적으로 강화할 수 있습니다.

4. 통합된 시스템 설계 개요

1. 사설 인증서를 이용한 코드 서명 프로세스

사설 인증서를 통해 각 파일을 서명하고, 시스템에 인증서를 배포하여 검증 환경을 구축합니다.

2. DLL 리소스를 통한 인증서 관리

인증서를 DLL의 리소스로 포함하고, 이 DLL에 서명을 적용하여 변조 여부를 확인합니다. 인증서를 암호화하여 기밀성을 확보합니다.

3. 확장성 및 연도별 인증서 관리

연도별로 인증서를 추가하여 만료된 인증서도 관리하고, 장기적으로 파일의 무결성을 유지합니다. 새로운 인증서를 추가하여 보안 강화를 도모하고, 시스템 확장성을 유지합니다.