[CryptokiMan] YubiHSM2 장치 테스트 ( Windows 환경 )

YubiHSM2 하드웨어 장치는 PKCS#11 API 를 제공한다.
이 장치에 대한 정보는 Yubico 홈페이지를 참조 하면 된다.

현재 USB형식의 소형 하드웨어 HSM 장치로서는 가장 PKCS#11 을 잘 지원하는 장치로 보인다.
참고로 USB 형 HSM 장치인데 RSA 4096 키 생성이 지원 된다.
서버용 HSM 장치가 아닌 소형 USB 형 HSM에서 RSA 4096 키 생성 지원은 처음 본다.
그리고 Network HSM 기능도 지원한다.
http 프로토콜을 이용하여 사용하는 앱과 HSM 이 네트워크로 연결 사용도 가능하다.

여기서 관련 드라이버 설치는 Yubico 홈페이지를 참조 하고 CryptokiMan 을 이용하여 PKCS#11 기능을 사용 해보자.
해당 PKCS11 파일은 yubihsm_pcks11.dll 파일이다.

환경 설정

이 장치를 윈도우즈 환경에서 사용하기 위해서는 다음 환경 변수를 잡아주고
YUBIHSM_PKCS11_CONF 를 yubihsm_pkcs11.conf 파일 위치로 설정 해주어야 한다.
윈도우 시스템 설정에서 다음 그림 참조 하면 된다.

• yubihsm_pkcs11.conf 예제

# URL of the connector to use. This can be a comma-separated list
connector = http://127.0.0.1:12345    
# Enables general debug output in the module
debug
# Enables function tracing (ingress/egress) debug output in the module
dinout
# Enables libyubihsm debug output in the module
libdebug
# Redirects the debug output to a specific file. The file is created
# if it does not exist. The content is appended
#  
debug-file = hsm_dbg.txt

실제 작동에 필요한 부분은 connector 부분만 설정하면 정상 작동 한다.

관련 YubiHSM 라이브러리를 CryptokiMan 실행 파일에 있는 경로에 추가해 주어야 작동 한다.
처음에는 yubihsm_pkcs11.dll 을 읽어 오기 조차 안되어서
관련 라이브러리른 yubihsm_pkcs11.dll 위치로 가져왔지만 장애가 나서
CryptokiMan 실행 파일 위치로 관련 라이브러리를 넣어 주니 정상 작동 했다.

작동 테스트

다음 화면이 YubiHSM2 장치를 실행하여 캡쳐 한 화면이다.
이 장치를 처음 설치하고 실행 했을 시 이미 장치에 대한 초기화화 패스워드가 설정 되어 있다.

YubiHSM2 실행 화면

이 화면은 YubiHSM2 장치를 PKCS#11 함수를 이용하여 작동 시킨 화면이다.

YubiHSM2 펌웨어 버전 2.3 이상에서만 AES 키 생성, 암/복호화를 지원하니 가능한 펌웨어 2.3 이상을 사용하는게 좋다.

마무리

YubiHSM2 장치는 PKCS#11 기능을 USB 장치로 지원하는 작은 HSM 장치로서는 가장 좋은 장치로 보인다.
다양한 OS 지원 뿐만아니라 KSP 등 윈도우 표준 포맷도 지원한다.
그리고 자체 명령어 및 API도 제공한다.

주로 CryptokiMan 을 가지고 개발 테스트는 SoftHSM2 를 이용하였는데
YubiHSM2 하드웨어 장치로 테스트 하는게 진정한 HSM 테스트라고 생각한다.

개인적으로 하나 가지고 사용하고 싶지만 가격이 너무 비싸네 ..