[CryptokiMan] DH (Diffie Hellman) 로 키 생성 하기

[이 기능은 라이선스 버전 기능입니다]

CryptokiMan 을 이용하여 PKCS#11 기능의 DH 키와 DeriveKey 기능을 이용하여
대칭키를 추출 해보자.
여기서 생성된 대칭키는 실제로 값을 얻는 것이 아니라 HSM 장치내에서 키가 생성이 되고 생성된 핸들 값을 얻게 된다.

일단 DH 기능을 하기 위해서는 다음 순서로 실행을 한다.

1. DH 키 생성 이 때 키는 CKA_DERIVE 값이 TRUE 로 되어야 한다.
   이때 DH 용 파라미터를 넣어 주어야 하는데 해당 값을 넣어 주거나 테스트를 위해 만들어서 사용한다.
2. DH 값을 구하기 위해서는 PKCS#11 기능 중에 C_DeriveKey 기능을 사용하다.
   참고로 이 DH 알고리즘을 사용하기 위해서는 C_Initialize -> C_OpenSession -> C_Login 이 되어 있는 상태에서 진행 해야 한다.

이 문서 작성을 위하여 사용한 PKCS#11 라이브러리는 SoftHSM2 를 사용하였다.

DH 키 쌍 생성

CryptokiMan -> Objects -> Generate KeyPair 를 실행 하자

그럼 아래 그림 처럼 General 정보 창이 나온다.

• Mechanism 을 CKM_DH_PKCS_KEY_PAIR_GEN 을 선택
• 파라미터 키 길이 : 1024 를 선택 ( 이 값은 512, 2048 선택 해도 된다.)
• Gen DH Param 클릭 하면 아래 파라미터 값인 g 와 p 가 표신 된다. 물론 이 값은 기존의 값을 넣어 주어도 된다.

그리고 Private Key 탭을 선택 하자

• Label 은 기억하기 쉽게 적으면 된다.
• 여기서 Derive 값을 체크 하고 true 를 필히 선택 한다.

그리고 OK 를 누르면 DH 키 쌍이 생성 된다 키 쌍은 PrivateKey 와 Public Key 에서 확인 할 수 있다.

DH 공유 키를 생성

공유키를 생성 하기 위해서는 Tools -> Derive Key 를 선택 하자

• 앞에서 만든 키인 DH Test 를 라벨에서 선택 하자
• Method 는 CKM_DH_PKCS_DERIVE 를 선택해서 DH 알고리즘을 지정한다.
• Parameter 에서는 상대방 공개 키 값을 넣어 주자

그리고 Key 탭을 선택 한다.

키 탭에서 생성 될 키는 CKO_SECRET_KEY 를 선택
그리고 CKK_GENERIC_SECRET 키를 디폴트로 선택 한다.( 참고로 CKK_AES 를 사용 해도 된다 )
그리고 생성 할 키 길이를 입력 하자 여기서는 16 바이트를 입력 하였다.
그리고 확인을 위해 라벨을 기록 하자 예제는 "Derived Key" 를 입력 하고 "OK"를 누른다.

그럼 아래 그림 처럼 DH 를 이용한 Secret Key 를 확인 할 수 있다.

마무리

PKCS#11 API 를 이용하여 DH 키 쌍 및 대칭키 추출을 해보았다.
DH 알고리즘은 대칭키를 추출 하기 위해서 사용 된다.
일반적으로 DH 는 키 값을 추출 하게 되지만 PKCS#11에서는 키가 생성이 되고 그에 대한 핸들을 얻는것이다.
즉 키는 장치에 저장이 되어서 실제 키 값을 알 수는 없고 그에 대한 핸들을 이용하여 사용 할 수 있는 것이다.