개인키 암호화하는 두가지 표준 기술( PKCS#8, PKCS#12)

PKI/Geneal Infomation

개인키 암호화하는 두가지 표준 기술( PKCS#8, PKCS#12)

JayKim🙂 2024. 1. 29. 11:45

PKI 시스템에서 가장 중요하게 관리 되어야 하는것이 개인키이다.
그래서 개인키는 암호화를 해서 보관하는것이 일반적이다.
물론 좀더 안전하게 보관하기 위해 HSM 장치를 이용하는 방법도 있다.

그러면 이 개인키를 암호화에 사용되는 두가지 기술 표준이 있다.
그 두가지 기술 표준이 PKIX 에서 PKCS#8 과 PKCS#12 두가지 기술이 있다.

그럼 PKCS#8 과 PKCS#12 에 대해서 알아 보자

PKCS#8

PKCS#8 은 개인키 만을 암호화 하기 위해 사용 되는 표준 기술이다 [ RFC5208 ]
개인키 암호를 위해서 PrivateKeyInfo 와 EncryptedPrivateKeyInfo 두가지 ASN.1 형식이 사용된다.
먼저 개인키를 암호화 하기 전에 PrivateKeyInfo 형식으로 개인키 값을 만들고 이 값을 PKCS#5 의 암호화 방식을 사용하여
암호화 한후 저장하는것이 EncryptedPrivateKeyInfo 형식으로 저장을 하는 것이다.

즉 EncryptedPrivateKeyInfo 에서 EncryptedData 값으로 사용되는것이 PrivateKeyInfo 의 값을 암호화 하여 만들어지는 값이다.
일반적으로 저장하여 사용하는 개인키 암호화는 EncryptedPrivateKeyInfo 형식을 사용한다.

Private-Key Information Syntax

      PrivateKeyInfo ::= SEQUENCE {
        version                   Version,
        privateKeyAlgorithm       PrivateKeyAlgorithmIdentifier,
        privateKey                PrivateKey,
        attributes           [0]  IMPLICIT Attributes OPTIONAL }

      Version ::= INTEGER

      PrivateKeyAlgorithmIdentifier ::= AlgorithmIdentifier

      PrivateKey ::= OCTET STRING

      Attributes ::= SET OF Attribute

Encrypted Private-Key Information Syntax

      EncryptedPrivateKeyInfo ::= SEQUENCE {
        encryptionAlgorithm  EncryptionAlgorithmIdentifier,
        encryptedData        EncryptedData }

      EncryptionAlgorithmIdentifier ::= AlgorithmIdentifier

      EncryptedData ::= OCTET STRING

PEM 에서 Encrypted Private Key 는 "BEGIN ENCRYPTED PRIVATE KEY" 를 사용하여 저장이 되니 이렇게 헤더가 있는 개인키는 PKCS#8 의 암호화된 키로 보면 된다.

아래 그림에서 보면 OctetString 영역의 값이 PrivateKeyInfo 의 암호화된 데이타 값이다.

그럼 PKCS#8 형식의 RSA 파일을 OpenSSL 명령어로 만들기 위해서는 아래 글을 참조 하자

[OpenSSL] RSA 개인키 (PrivateKey) 생성 명령어

PKCS#12

PKCS#12는 사실 개인키 만을 위한것이 아니리 보통 인증서와 인증서 경로검증에 필요한 체인 까지 모두 저장을 위한 기술 표준이다[RFC7292].
즉 CA, Root 인증서등 신뢰 체인을 만들기 위한 모든 요소를 하나의 파일로 저장하기 위한 형식인 것이다.

PKCS#12 는 Personal Information Exchange Syntax 로서 확장자를 PFX 또는 p12 를 사용하는 것이다.
즉 PFX 는 Personal Information Exchange 의 약자이다.

일반적으로는 많이 사용하는것은 개인키와 개인키에 맞는 인증서를 같이 하나의 파일로 저장하기 위해 사용한다.

PFX PDU Syntax

   PFX ::= SEQUENCE {
       version     INTEGER {v3(3)}(v3,...),
       authSafe    ContentInfo,
       macData     MacData OPTIONAL
   }

   MacData ::= SEQUENCE {
       mac         DigestInfo,
       macSalt     OCTET STRING,
       iterations  INTEGER DEFAULT 1
       -- Note: The default is for historical reasons and its
       --       use is deprecated.
   }

   AuthenticatedSafe ::= SEQUENCE OF ContentInfo
       -- Data if unencrypted
       -- EncryptedData if password-encrypted
       -- EnvelopedData if public key-encrypted

아래 그림을 보면 Content-specific[0] 영역에 개인키와 인증서 정보들이 저장이 된다.

그럼 PKCS#12 형식의 파일을 OpenSSL 명령어로 만들기 위해서는 아래 글을 참조 하자

[OpenSSL] PKCS#12 (PFX) 파일 만들기 명령어

마무리

보통 개인키를 안전하게 저장하고 사용할 때는 PKCS#8 의 암호화 방식을 사용하여 저장을 하고
개인키와 인증서를 같이 전달 하거나 가져올때 사용하는 기술이 PKCS#12 이다. 즉 PFX 파일을 사용하면 된다.

저작자표시

'PKI > Geneal Infomation' 카테고리의 다른 글

KMIP 프로토콜에 관하여 (0)	2024.04.04
SSL 인증서 및 코드 서명 인증서 용도 확인 방법 (1)	2024.01.30
개인키, 공개키 그리고 인증서 (0)	2024.01.24
OpenSSL vs MbedTLS 비교 (4)	2023.05.11
전자서명과 인증서 이야기 (0)	2023.05.03

현재글개인키 암호화하는 두가지 표준 기술( PKCS#8, PKCS#12)

Warehouse of PKI