Warehouse of PKI

[자료 출처] https://www.keyfactor.com/blog/what-is-acme-protocol-and-how-does-it-work [RFC 8555] Automatic Certificate Management Environment (ACME) ACME 란 무엇인가? ACME( Automated Certificate Management Environment)는 사람의 개입 없이 인증서 발급 및 갱신을 자동화할 수 있는 프로토콜입니다. ISRG(인터넷 보안 연구 그룹)는 처음에 도메인 검증(DV) 인증서를 무료로 제공하는 무료 개방형 인증 기관(CA)인 자체 인증서 서비스인 Let's Encrypt를 위한 ACME 프로토콜을 설계했습니다. 오늘날 다양한 다른 CA, PKI 공급업체 및..

PKI 관련 개발을 하다 보면 가장 중요하게 관리 되어야 하는게 키 관리이다. 이 키 관리를 하기 위해서 키 관리 시스템이라고 부르는 KMS를 두고 키를 관리 한다. 키 관리 시스템경우 다양하게 만들어져 있다 보니 키 관리 시스템에 대한 표준이 필요하다고 생각하여서 알게 된것이 KMIP 이다. [자료 출처] https://stormagic.com/resources/beginners-guides/kmip-beginners-guide 아래 글은 위의 자료 출처의 글을 번역 한것이다. KMIP 란 무엇인가? 간단히 말해서, KMIP(Key Management Interoperability Protocol)는 플랫폼 전반에 걸쳐 안전한 데이터 관리를 위한 표준 프로토콜입니다. 이는 키 관리 시스템과 암호화 지원..

OpenSSL 명령어를 사용해 ECDH 공유 키를 만들어 보자 ECDH 값을 생성 하기 위해서는 두 쌍의 ECDSA 용 키 쌍이 필요하다. 키 쌍의 이름을 alice 와 bob 이라는 이름 으로 만들어 보자 그럼 ECDH 공유 키를 만든는것은 alice 의 개인키와 Bob의 공유키를 이용해서 만들고 또 bob의 개인키와 alice 의 공유키를 가지고 만들게 되는데 이때 서로 만든 공유키 값이 같은 값이 나오게 되는 것이다. Alice ECDSA 용 키 쌍 만들기 // ECDSA 용 alice의 개인키 만들기 openssl genpkey -out alice.pem -algorithm EC -pkeyopt ec_paramgen_curve:P-256 -pkeyopt ec_param_enc:named_curve..

[이 기능은 라이선스 버전 기능입니다] 일반적 인증서에서는 사용 하지 않지만 우리 나라에서 사용하는 공동 인증서만의 고유 필드가 있는데 그것이 VID 값이다. 이 값은 인증서의 주체 대체 이름 필드에 들어 가는 값이다. VID 관련 기술 스펙은 [X509] 공동인증서 본인확인 식별번호 ( VID ) 란? 페이지를 참조 하면 된다. VID 생성 하기 BerEdior 에서 Cryptogram -> VID 메뉴를 선택 하면 아래 그림 처리 VID 창이 뜬다 VID 값을 생성 하기 SSN 값 입력 ( SSN 은 보통 주민번호 같은 고유 구별 값 ) Random 값 입력 ( VID 생성에 같이 사용 되어지는 랜덤 값 ) VID 생성 버튼 입력 ( 이때 VID 생성을 위해서는 해쉬가 사용 되는데 사용 해시를 선택 ..

여기서 만든 내 프로그램들(BerEditor, CertMan, CryptokiMan) 은 오픈소스를 이용하여 만들었다. 오픈소스의 경우 소스를 자유롭게 참조 하고 사용 할 수 있지만 프로그램을 만들어서 배포하는 경우 해당 라이선스에 따라 지켜야 하는 의무 사항이 존재 하는 프로그램이다. (물론 개인적으로만 사용하는 경우는 의무 사항이 없다. 하지만 배포 하는 경우 지켜야 한다) 사이드 프로젝트로 만든 여기 프로그램 경우 일부 소스는 공개를 하였지만 전체 소스 공개를 요구하는 GPL 라이선스 모듈은 배포시 포함 하지 않았다. 즉 소스 공개에 대해서는 개인적으로 제한 받지 않기 위해서이다. ( 테스트 용도로만 GPL 라이브러리는 사용중이다^^) 그리고 자체 개발한 소스에 대해서는 저작권 표시를 해주는게 필요..

QT 설치 다운로드 : https://www.qt.io/download-open-source 이곳에서 화면 아래 "Download the Qt Online Installer" 를 클릭 후 OS 환경에 맞는 온라인 설치 파일을 다운 받아 설치 하면 된다. QT 설치시 오류가 나면 미러링 이용 설치 일반적으로 QT 설치 파일을 실행하여 가입 후 설치를 할 때 네트워크 오류가 나타나는 경우에는 아래 처럼 --mirror 옵션을 주어서 다운로드 사이트를 변경 하면 된다. 위와 같은 오류가 발생 하면 아래 처럼 --mirror 옵션을 통해 설치 하면 된다. ./qt-unified-linux-x64-4.5.1-online.exe --mirror https://qt.mirror.constant.com QT 인스톨 참..

PKI 시스템에서 사용하는 인증서는 인증서 마다 사용하는 용도가 있다. 그중에서 많이 사용하는 대표적인 인증서의 용도가 SSL 인증서와 코드 서명용 인증서가 있다. SSL 인증서는 일반적으로 웹서버에서 HTTPS 통신을 하기위해 사용하는 인증서이다. 코드서명 (Code Sign) 인증서는 앱이나 프로그램 또는 라이브러리 같은 바이너리 파일에 위변조를 방지 하기위해 전자 서명을 하기 위해 사용하는 인증서이다. 그럼 SSL 인증서와 코드 서명용 인증서가 맞는지 구별 하기 위해서는 인증서에는 용도별로 인증서가 가져야 하는 필드가 존재한다. 여기서 인증서 정보의 필드를 보기 위해서 BerEditor 를 사용하였다. 인증서 용도 구별 필드 SSL 인증서와 코드 서명 인증서 용도를 구별 하기 위해 확인이 필요한 주..

PKI 시스템에서 가장 중요하게 관리 되어야 하는것이 개인키이다. 그래서 개인키는 암호화를 해서 보관하는것이 일반적이다. 물론 좀더 안전하게 보관하기 위해 HSM 장치를 이용하는 방법도 있다. 그러면 이 개인키를 암호화에 사용되는 두가지 기술 표준이 있다. 그 두가지 기술 표준이 PKIX 에서 PKCS#8 과 PKCS#12 두가지 기술이 있다. 그럼 PKCS#8 과 PKCS#12 에 대해서 알아 보자 PKCS#8 PKCS#8 은 개인키 만을 암호화 하기 위해 사용 되는 표준 기술이다 [ RFC5208 ] 개인키 암호를 위해서 PrivateKeyInfo 와 EncryptedPrivateKeyInfo 두가지 ASN.1 형식이 사용된다. 먼저 개인키를 암호화 하기 전에 PrivateKeyInfo 형식으로 개인..

PKI 시스템을 접하다 보면 항상 듣게 된는 단어가 있다. PKI 시스템에서 전자 서명을 하기 위해서 주로 나오는 단어가 인증서, 공개키 그리고 개인키 이다. 물론 이 용어를 PKI 를 접하게 되면 기본적으로 이해를 하고 있다고 본다. 하지만 좀더 쉽게 이야기를을 해 보자. 사실 개인키 공개키와 그리고 인증서는 전자 서명을 위해서 사용하는 용어이다. 전자 서명값 만든는 키는 개인키 전자 서명값을 검증하는 키는 공개키 공개키에 대한 소유자에 대한 증명서가 인증서 이다. 전자 서명에 대한 개념은 [전자서명과 인증서 이야기] 부분을 참고하자. 개인키란? 개인키는 전자 서명값을 만들기 위한 키 이다. 그 말은 개인키가 절대 소유자가 아닌 다른 사람에게 전달 되어서는 안된다. PKI 시스템의 주요 핵심 보안 요소..

OpenSSL 에서 ASN.1 인코더 디코드 생성시 먼저 구조체를 정의하고 ASN.1 인코딩 디코딩을 사용한다. 이때 구조체 변수에서 포인트를 사용하면 ASN1_SIMPLE 를 사용하고 포인터가 아니면 ASN1_EMBED 를 사용 한다. 아래 예제를 를 보자 /* Signature ::= SEQUENCE { signatureAlgorithm AlgorithmIdentifier, signature BIT STRING, certs [0] EXPLICIT SEQUENCE OF Certificate OPTIONAL } */ struct ocsp_signature_st { X509_ALGOR signatureAlgorithm; ASN1_BIT_STRING *signature; STACK_OF(X509) *cert..