Re: Web Certificate API 및 인감 인터페이스 등에 대한 자료 질문

안녕하세요.
페이게이트 이동산입니다.

Web Cert API 관련 제일 최신 자료는
https://www.w3.org/2012/webcrypto/wiki/Deliverable_web_certificate_API 에
있습니다.

WebCrypto API에서 한국 실정과 다른점은

키의 소유권 관련한 이슈가 있습니다.

Web Crypto API에서 사용되는 키의 소유권은 Key Provisioner (즉 서버측)에 있다는 철학이 반영되어 있습니다.
이론적으로는 사용자가 인지하지 못하고 조용하게 전자서명을 생성하는것도 가능합니다.

한국이나 유럽쪽 멤버들은 키 소유권이 이용자에게 있다고 주장하였습니다.

그것은

웹의 보안 기본 철학인 Same Origin Policy와도 밀접한 관계가 있습니다.

Web Crypto API에서 사용되는 Key는 SOP제한을 그대로 받습니다.
구글에 접속해서 생성된 키는 구글 도메인내에서만 사용가능하고
네이버 도메인에 접속해서 생성된 키는 네이버에서는 사용가능합니다.

만일 키소유권이 유저에게 있다면
어느 사이트에서든 사용가능해야하는 논리가 성립되고 SOP 원칙과 달라지게 됩니다.

(최근 W3C 내에서 SOP에 대해서 격렬한 논쟁이 벌어지고 있기는 합니다.)

참고하세요.


2015-10-02 10:33 GMT+09:00 .컴포지트 <ukjinplant@msn.com>:

> 오랜만입니다. 자바 하다 닷넷 하니 감회가 새롭지만 옛날보다 적게 받으니 슬프군요.
> 어찌됐던, 작년까지 HTML5 방식의 공인인증서 표준에 희망을 달아주려는 Web Certificate API나 이외 기술에 대한 자료,
> 그리고 현황에 대해 묻고 싶어서 그렇습니다.
>
> 제가 알기로는 이미 오래전에 W3C 멤버들이 필요성 미비로 반려된 것으로 알고 있습니다.
> 하긴... 일본과 중국도 안쓰는 인감제도가 한국에만 있으니 한국 외에는 참...
>
> 그래서 지금 어떻게 대체기술이 있나 여러가지 자료를 보고 있습니다.
> 물론 암호화 핵심 기술인 WebCrypto API를 기초하여 보고 있습니다.
>
> 제가 왜 이걸 눈여겨 보고 있냐면 2단계 인증 기술을 보고 있거든요.
> 물론 아직까지 신뢰할 수 있는 환경
> (HTTPS와 Service Worker, Crypto 기술 등이 재대로 정착되기 전까지는 신뢰 불가)
> 이다 보니 아직은 엄두를 못내고 있긴 하지만.
> 하지만 2단계 인증은 이미 오래전부터 부각됐고,
> 여러 인터넷 기반 새로운 기술이 나오는 만큼
> 인증 기술이 중요하다고 보기 때문입니다.
>
> 뭐... 국민은행이 지금 HTML5 공인인증서를 통해 이미 선보이고 있잖습니까.
>
> 정보를 구하려고 하는데 도움을 구합니다.
>
> 감사합니다.
>



-- 
Mountie Lee

PayGate
CTO, CISSP
Tel : +82 2 2140 2700
E-Mail : mountie@paygate.net

Received on Friday, 2 October 2015 01:55:50 UTC