PKCS#11 서명에서 C_SignUpdate C_SignFinal 사용 못하는 메커니즘

일반적으로 전자 서명은 원문에 대한 해쉬값을 개인키로 암호화 하게 된다.
그래서 PKCS#11 함수에서 C_SignInit -> C_SignUpdate (반복) C_SignFinal 과정을 사용하여 값을 구한다.
참고로 C_SignUpdate 경우에 본문을 여러개로 나누어서 보내 경우 반복을 하게 된다.

즉 C_SignInit 에서는 어떤 키와 메커니즘을 알려주고
C_SignUpdate 에서는 원문 내용을 받게 되고
C_SignFinal에서 원문에 대한 해쉬 값을 구하여 서명 값을 얻게 되는것이다.

그리고 원문을 한번에 보내는 C_SignInit 과 C_Sign 함수로 바로 구할 수도 있다.

하지만 다음 메커니즘 경우는 C_SignInit 다음 바로 C_Sign 함수 만 호출 해야 한다.
즉 C_SignUpdate 와 C_SignFinal 함수를 사용하면 안되는 메커니즘이다.

CKM_RSA_PKCS, CKM_RSA_PKCS_PSS, CKM_ECDSA, CKM_DSA

위의 메커니즘이다.
이 메커니즘 경우는 보통은 해쉬 된 값을 개인키로 암호화 형식에 맞게 만들어서 바로 암호화 하기 때문이다.

즉 원문 전체를 보내는 경우가 아닌 원문의 해쉬값을 사용하는 경우이다.
그러므로 C_SignInit -> C_Sign 함수로 바로 서명 값을 구하는 것이다.

마무리

보통 원문을 전체 다 보내게 되면 데이타 전송에 부담되는 경우가 많다.
이때는 원문에 대핸 해쉬 값을 구해서 이와 같은 메커니즘을 사용 하는 것이다.
물론 이 특성은 전자서명 검증에서도 동일한 것이다.