TLS 에서 ECDH 키 합의 경우 PRF (PseudoRandom Function) 방식

PKI/TLS

TLS 에서 ECDH 키 합의 경우 PRF (PseudoRandom Function) 방식

JayKim🙂 2023. 4. 14. 09:50

TLS 프로토콜은 암호화 통신이다.
이 때 서버와 클라이언트 간에 키에 대한 합의가 이루어 져야 하는데 이 때 PRF를 통해 키를 생성한다.
현재 설명은 ECDH 를 통한 키 생성에 대한 내용이다.
참고로 아래 설명 하는 내용은 RFC5246 을 내용을 분석한 것이다.

P_hash(secret, seed) = HMAC_hash(secret, A(1) + seed) +
                             HMAC_hash(secret, A(2) + seed) +
                             HMAC_hash(secret, A(3) + seed) + ...

   A() is defined as:

   A(0) = seed
   A(i) = HMAC_hash(secret, A(i-1))

PRF(secret, label, seed) = P_<hash>(secret, label + seed)

간단히 말하면 seed 값을 입력으로 hmac 값을 구한 A(1)이 나오고
이 후 원하는 결과 값 길이 이상이 나올 때 까지 반복 하면 된다.

이 PRE 함수를 통해 key_block 값을 생성 한다.

pre_master_secret = ECDH_Compute( my_private, other_pub_x, other_pub_y );

master_secret = PRF( pre_master_secret
                      "key expansion",
                      client_random + server_random);

key_block = PRF( master_secret,
                      "key expansion",
                      server_random + client_random);

// 생성된 키 key_block ( client_write_MAC_key || server_write_MAC_key || client_write_key || server_write_key || client_write_IV || server_write_IV )

client_write_MAC_key[mac_key_length]
server_write_MAC_key[mac_key_length]
client_write_key[enc_key_length]
server_write_key[enc_key_length]
client_write_IV[fixed_iv_length]
server_write_IV[fixed_iv_length]

verify_data = PRF(master_secret, 
                "finished", 
                Hash(handshake_messages))
                [0..verify_data_length-1];

PRF 함수 경우 KeyBlock 을 생성 시와 Finished 메세지를 보낼때 사용 된다.

ECDH 알고리즘 경우

상대방 공개키 값과 자신의 개인키로 Secret 키가 생성 된다. 이 생성 된 키가 pre_master_secret 값이 된다.
그리고 master_sercret 는 PRF를 이용한 48 바이트의 고정 값을 만든다.
이 때 server 와 client 랜덤 값은 위치가 바꿔어야 한다.

참고로 GCM 또는 CCM 을 사용 시 아래 값은 없다.

client_write_MAC_key[mac_key_length]
server_write_MAC_key[mac_key_length]

이렇게 4개의 값을 사용 하면 된다.

      client_write_key[enc_key_length]
      server_write_key[enc_key_length]
      client_write_IV[fixed_iv_length]
      server_write_IV[fixed_iv_length]

참고로 ECDH GCM 사용 시 fixed_iv_length 값은 4 Bytes 이다.
IV 값의 나머지 길이는 TLS 패킷 정보의 일부분과 함께 사용하므로 4 Bytes 길이가 정해 졌다.

ECDH 와 AES256 키 길의 사용 시

대칭키 길이 경우 256 bits 를 사용하는 경우
서명 값 검증 시 SHA-384 를 사용한다.
그러므로 대칭키 길이다 256을 쓸때는 ECDSA_SHA384 도 지원 어야 된다.

'PKI > TLS' 카테고리의 다른 글

SSL 인증서와 https 도메인 주소 연관성 (0)	2023.06.08
TLS 핸드쉐이크 기능 간단 설명 (0)	2023.06.08
TLS 와 DTLS 버전 1.2 에 관한 특성 (0)	2023.04.11

현재글TLS 에서 ECDH 키 합의 경우 PRF (PseudoRandom Function) 방식

Warehouse of PKI