오픈소스 SoftHSM 사용법 ( Windows 환경 )

SoftHSM은 PKCS#11 기능을 소프트웨어로 구현한 오픈소스 프로그램이다.

일반적으로는 HSM은 하드웨어 장치 이구 이것을 사용하기 위해 PKCS#11 API를 제공한다.
그래서 해당 하드웨어 장치가 필요하다.
하지만 SoftHSM은 별도의 하드웨어 없이 소프트웨어만으로 구현되어서 쉽게 PKCS#11 을 사용 할 수 있다.

물론 별도의 하드웨어로 제공하지 않으므로 안전성에 대해서는 약하지만 프로그램 개발에서는 아주 유용하다.
https://www.opendnssec.org/softhsm/ 여기서 관련 소프트웨어에 대한 정보를 얻을 수 있다.

그럼 윈도우 환경에서 설치 방법에 대해서 알아보자

윈도우 설치 파일 위치
https://sourceforge.net/projects/softhsm4windows/
먼저 설치 파일을 가지고 설치 해 주어야 한다.

SoftHSM 환경 설정

먼저 SoftHSM 을 사용하기 위해서는 설정 파일 경로를 그림 처럼 환경변수로 잡아주어야 한다.

참고로 설치 경로 softhsm2.conf 파일은 다음 처럼 기록 된다.
여기서는 D:\SoftHSM2 경로에 설치 하였다.

# SoftHSM v2 configuration file
directories.tokendir = D:\SoftHSM2\var\softhsm2\tokens\
objectstore.backend = file
log.level = INFO
slots.removable = false

• direcories.tokendir : 관련 데이타가 저장 되는 위치
  처음 설치 하면 tokendir 폴더에 데이타가 없다.
  만약 다시 설치 하거나 할때 이 폴더를 백업해서 다시 복사해주면 기존 데이타를 사용 가능 하다.

SoftHSM 처음 상태 확인

softhsm2-util.exe --show-slots

Available slots:
Slot 0
    Slot info:
        Description:      SoftHSM slot ID 0x0
        Manufacturer ID:  SoftHSM project
        Hardware version: 2.5
        Firmware version: 2.5
        Token present:    yes
    Token info:
        Manufacturer ID:  SoftHSM project
        Model:            SoftHSM v2
        Hardware version: 2.5
        Firmware version: 2.5
        Serial number:
        Initialized:      no
        User PIN init.:   no
        Label:

이렇게 초기화가 없는 상태로 나온다.

SoftHSM 초기화

softhsm2-util.exe --init-token --slot 0 --label "jykim74 token"

명령어로 초기화 화면

=== SO PIN (4-255 characters) ===
Please enter SO PIN: ****
Please reenter SO PIN: ****
=== User PIN (4-255 characters) ===
Please enter user PIN: ****
Please reenter user PIN: ****
The token has been initialized and is reassigned to slot 1804819021

SO랑 User 에 PIN 설정을 해주어야 한다. ( 이 PIN 번호는 로그인에 사용 되니 기억 해 두어야 한다 )
참고로 SO 는 User PIN 설정등 관리자 계정으로 보면 되고 User는 일반 HSM을 사용하는 사용자 이다.

이렇게 초기화를 하고 상태 확인을 해보자

softhsm2-util.exe --show-slots
Available slots:
Slot 1804819021
    Slot info:
        Description:      SoftHSM slot ID 0x6b935a4d
        Manufacturer ID:  SoftHSM project
        Hardware version: 2.5
        Firmware version: 2.5
        Token present:    yes
    Token info:
        Manufacturer ID:  SoftHSM project
        Model:            SoftHSM v2
        Hardware version: 2.5
        Firmware version: 2.5
        Serial number:    b70e9af7eb935a4d
        Initialized:      yes
        User PIN init.:   yes
        Label:            jykim74 token
Slot 1
    Slot info:
        Description:      SoftHSM slot ID 0x1
        Manufacturer ID:  SoftHSM project
        Hardware version: 2.5
        Firmware version: 2.5
        Token present:    yes
    Token info:
        Manufacturer ID:  SoftHSM project
        Model:            SoftHSM v2
        Hardware version: 2.5
        Firmware version: 2.5
        Serial number:
        Initialized:      no
        User PIN init.:   no
        Label:

이렇게 Slot 0 번에 초기화 및 PIN 설정이 된걸루 나온다.
현재 SoftHSM2 경우 slot을 초기화 하고 나면 추가로 할 수 있도록 자동으로 slot 이 새로 추가 된다.(이건 SoftHSM2 의 특성이다)

slot 1번도 초기화를 하려면 --slot 0 을 --slot 1 로 바꾸어서 설정 하면 slot 1 도 사용 할 수 있다.
slot 의 경우 독립된 영역으로 분리 되어 있는 논리적 개념으로 보면 된다.

Linux 환경 설정

환경 변수로
export SOFTHSM2_CONF="$HOME/SoftHSM2/softhsm2.conf"
설정 하고 softhsm2.conf 를 아래 처럼 잡았다.

# SoftHSM v2 configuration file
directories.tokendir = /home/jykim/SoftHSM2/tokens
objectstore.backend = file
log.level = INFO
slots.removable = false

이때 /home/jykim/SoftHSM2/tokens 폴더를 생성 해 놓아야 한다.

SoftHSM 사용

이렇게 초기화를 하고 나면 동적 라이브러리를 호출해서 PKCS#11 API에 정의 된 함수를 이용해서 사용하면 된다.
설치 폴더의 lib 에 보면 32 비트와 64 비트 라이브러리가 있다.

• softhsm2.dll : 32bit crytoki library
• softhsm2-x64.dll : 64bit cryptoki library

실행 환경에 맞게 softhsm2 dll 을 동적 호출 해서 사용 하면 된다.
CryptokiMan 을 이용해 PKCS#11 API를 이용한 모습이다.

이 화면에서는 softhsm2-x64.dll 을 로드 하여서 C_Initialize 한수 C_GetTokenInfo 함수를 호출하여 보여주는 화면이다.

사실 SoftHSM 에서는 초기화 기능을 softhsm2-util 명령어를 제공하지만
PKCS#11 API를 이용해서 초기화도 가능하다.
다음에 CryptokiMan 을 사용 해 PKCS#11 API를 통해서 초기화 하는 법을 별도로 다루어 보겠다.