[CryptokiMan] ECDH 를 이용 대칭키 생성 하기

Manual/CryptokiMan

[CryptokiMan] ECDH 를 이용 대칭키 생성 하기

JayKim🙂 2023. 10. 31. 12:03

[이 기능은 라이선스 버전 기능입니다]
라이선스가 필요한 분은 [프로그램 키 발급] 페이지에서 30일 라이선스 발급 가능합니다

PKCS#11 기능에서 ECDH 알고리즘을 이용한 대칭키 생성을 할 수 있다.
PKCS#11 에서 대칭키를 생성 하려면 ECDSA 용 키 쌍이 있어야 하고 이 키 쌍을 이용하여 C_DeriveKey 기능을 이용하여
ECDH 메커니즘을 실행 하면 된다.

이 때 생성한 대칭키는 결과 값으로 나오는 것이 아니라
HSM 장치내에 생성 및 되고 결과로 생성된 키의 핸들을 얻을 수 있다.

그럼 ECDH 생성을 위해서는 기본적으로 체크 사항이다.

ECDSA 키를 먼저 생성 하는데 이 키 의 속성에서 CKA_DERIVE 를 TRUE 로 설정 해 주어야 한다.
여기서 ECDSA 키를 생성 시 파라미터를 지정해 주어야 하는데 여기서는 prime256v1 파라 미터를 사용하자.
ECDH 값을 구하기 위해서는 C_DeriveKey 함수를 이용하는데 실제 키를 사용하기 위해
C_Initialize -> C_OpenSession -> C_Login 까지 먼저 이루어 져야 한다.
즉 라이브러리 호출과 로그인 까지의 과정은 여기 문서에서는 생략 하였지만 이 과정은 필수 이다.

이 문서 작성을 위하여 사용한 PKCS#11 라이브러리는 SoftHSM2 를 사용하였다.

ECDSA 키 쌍 생성

CryptokiMan에서 Objects -> Generate KeyPair 를 실행 하자

그럼 아래 그림 처럼 General 정보 창이 나온다.

Mechanism 을 CKM_ECDSA_KEY_PAIR_GEN 을 선택
NamedCurve 는 prime256v1 파라미터를 선택

그리고 Private Key 탭을 선택 하자

라벨명을 기억 하기 쉽게 적어 주면 된다.
Derive 속성을 필수로 TRUE 를 선택 해주어야 한다.

그리고 OK 를 누르면 ECDSA 키 쌍이 생성 된다. 생성된 키는 Objects 에서 Private Key 메뉴로 확인 가능 하다.
이 때 입력한 라벨명을 확인 하면 된다.

참고로 공개키 정보도 기록이 되는데 실제 사용은 개인키 이어서 특별히 설명을 하지 않았다.

ECDSA 공유 키를 생성 해보자

공유키를 생성 하기 위해서는 Tools -> Derive Key 를 선택 하자
ECDH 키를 생성 하기 위해서는 HSM 내에 생성한 개인키와 상대방의 ECDSA 공개키 값을 가지고 생성 하므로 상대방 공개키는 아래 예제 값을 사용하였다.

# ECDSA 상대방 공개키 예제
04CABF3F1100F2D2B2E7D7DC21DB96B3C8833AFD91AAA78A3C30F3E6EEC1963272B38C5933F65D927B2FCA0D8A226D4BEA8AA1F609312546D766CC6B3D9334F73C

참고로 ECDSA 공개키의 첫 바이트는 04 로 고정 값을 사용하여야 한다.
이 값은 특별히 공개키 값이 압축 되지 않았음을 알려주는 값이다.

그럼 아래 그림 처럼 General 탭을 설정 하자

기존에 생성한 ECDSA 용 라벨을 선택 한다.
CKM_ECDH1_DERIVE 를 선택한다. 이것이 ECDH 알고리즘 사용을 알려 주는 것이다.
기본 방식인 CKD_NULL 방식을 선택 한다.
Public Data 에 상대방 ECDSA 공개키 값을 넣어 준다.

참고로 EC_KDF_T 에서 CKD_SHA1_KDF 방식을 사용하면 이때에는 Shared Data 를 사용한다.
이것은 양쪽에 공유된 데이타의 해쉬값을 내부적으로 사용하는 방식이다.
여기서는 기본 방식인 CKD_NULL 을 사용하였다.

그리고 Key 탭을 설정 하자.
여기서 Key 탭을 추출된 키의 속성을 설정 하는 것이다.

기본적으로 디폴트 값에서 생성 키 길이랑 라벨명을 지정 해 주었다.
그리고 OK 를 누르면 키 생성이 된다.
생성 된 키를 확인 하기 위해서는 Secret Key 메뉴에서 생성에 사용한 라벨명을 확인 하면 된다.

마무리

PKCS#11 API 를 이용하여 ECDH 키 쌍 및 대칭키 추출을 해보았다.
ECDH 알고리즘은 대칭키를 추출 하기 위해서 사용 된다.
일반적으로 ECDH 는 키 값을 추출 하게 되지만 PKCS#11에서는 키가 생성이 되고 그에 대한 핸들을 얻는것이다.
즉 키는 장치에 저장이 되어서 실제 키 값을 알 수는 없고 그에 대한 핸들을 이용하여 사용 할 수 있는 것이다.

저작자표시

'Manual > CryptokiMan' 카테고리의 다른 글

[CryptokiMan] YubiHSM2 장치 테스트 ( Windows 환경 ) (0)	2023.11.22
[CryptokiMan] HSM 장치 지원 메크니즘 확인 하기 (0)	2023.10.24
[CryptokiMan] DH (Diffie Hellman) 로 키 생성 하기 (1)	2023.10.24
[CryptokiMan] WrapKey UnwrapKey 사용 하기 (0)	2023.06.27
[CryptokMan] HMAC 값 구하기 (0)	2023.06.23

현재글[CryptokiMan] ECDH 를 이용 대칭키 생성 하기

Warehouse of PKI