[OpenSSL] ECDH 키 유도 (Derive Key) 명령어

OpenSSL 명령어를 사용해 ECDH 공유 키를 만들어 보자

ECDH 값을 생성 하기 위해서는 두 쌍의 ECDSA 용 키 쌍이 필요하다.
키 쌍의 이름을 alice 와 bob 이라는 이름 으로 만들어 보자

그럼 ECDH 공유 키를 만든는것은 alice 의 개인키와 Bob의 공유키를 이용해서 만들고
또 bob의 개인키와 alice 의 공유키를 가지고 만들게 되는데
이때 서로 만든 공유키 값이 같은 값이 나오게 되는 것이다.

Alice ECDSA 용 키 쌍 만들기

// ECDSA 용 alice의 개인키 만들기
openssl genpkey -out alice.pem -algorithm EC -pkeyopt ec_paramgen_curve:P-256 -pkeyopt ec_param_enc:named_curve

// alice 의 개인키에서 공개키 구하기
openssl pkey -pubout -in alice.pem -out alice.pub

• algorithm : EC 알고리즘 사용
• ec_paramgen_curve : EC 커브 알고리즘 P-256 사용
• ec_param_enc : 파라미터의 네임드 방식의 인코딩

이렇게 하면 alice.pem 개인키 파일과 alice.pub 의 공개키가 PEM 형식으로 만들어 진다.

Bob ECDSA 용 키 쌍 만들기

// ECDSA 용 bob의 개인키 만들기
openssl genpkey -out bob.pem -algorithm EC -pkeyopt ec_paramgen_curve:P-256 -pkeyopt ec_param_enc:named_curve

// bob 의 개인키에서 공개키 구하기
openssl pkey -pubout -in bob.pem -out bob.pub

Alice 와 동일하게 bop.pem 개인키 파일과 bob.pub 공개키가 PEM 형식으로 만들어 진다.

Alice 공유키 계산하기

openssl pkeyutl -derive -out alicebob.key -inkey alice.pem -peerkey bob.pub  

alice 는 bob의 공개키와 alice 개인키를 이용하여
alicebob.key 파일이 바이너리로 공유 키 값이 생성 된다.

Bob 공유키 계산하기

openssl pkeyutl -derive -out bobalice.key -inkey bob.pem -peerkey alice.pub

bob 은 alice 의 공개키와 bob 개인키를 이용하여
bobalice.key 파일에 바이너리 공유 키 값이 생성 된다.

공유키 비교

cmp alicebob.key bobalice.key

두 파일을 비교시 동일한 내용의 바이너리 이므로 아무 표시가 없다.
만약 다른 점이 있다면 다른 부분에 대한 내용을 표시 하게 된다.

마무리

ECDH 알고리즘은 ECDSA용 키 쌍을 이용하여 공유키를 구하는 알고리즘이다.
보통은 이렇게 ECDH 공유 값을 구해서 KDF 를 이용해 서로의 비밀키를 만들어 사용된다.