Warehouse of PKI

5월 12일 드뎌 오랫동안 기다리던 젤다 왕국의 눈물이 나오네요. 나이가 먹음에 따라 게임 불감증이 많았졌는데.. 젤다 야생의 숨결은 너무 재밌게 했었네요. 그리고 드디어 야숨의 후속인 왕국의 눈물 출시일이 오지 않을꺼 같더니 출시 하네요^^ 오늘은 퇴근 하면서 국전 들러서 사서 가야지 ㅎㅎ 설마 물량이 없는건 아니겠지.. 좋아하는 사람이 많다 보니 살짝 염려가.. 한동안 와이프랑 애들 눈치 보면서 그래도 즐겨야지 ..^^ 내블로그는 너무 딱딱해서 그냥 주절 주절 해봤네요 ㅎㅎ https://youtu.be/wJyWpcsNjVs

PKI 관련 개발을 하면서 여러가지 암호화 관련 라이브러리가 존재한다. 하지만 개인적으로 가장 많이 사용하고 참고 하는 것은 OpenSSL 과 MbedTLS 이다. 이 두가지를 주로 사용하면서 내가 생각하는 차이점에 대해 비교해 보자 OpenSSL 특징 TLS 1.3 이 지원 된다. FIPS 인증 기능 지원 다양한 ASN.1 포맷이 지원됨 ( CMP, OCSP, TSP 등등 ) 다양한 알고리즘이 제공 된다. ASN.1 인코드/디코드가 매크로를 사용한다. OpenSSL 명령어를 이용해 API 기능 테스트가 가능 하다. 기능이 많고 소스 코드가 많이 복잡하다. Apache V2 라이센스 (OpenSSL 3.0 해당) sm2 sm3 그리고 sm4 중국 알고리즘 지원 MbedTLS 특징 TLS 1.3 지원 된다..

메세지 인증 코드라는 MAC 기능을 OpenSSL 명령어를 사용해 구해 보자 사실 MAC 값을 구하기 위해 방식은 여러가지가 있다. 일반적으로는 Hash를 사용하는 HMAC과 Cipher-based MAC 인 CMAC이 가장 대표적이다. 그리고 블록 암호에서 사용되는 GCM 모드를 이용한 GMAC 등이 있다. 이 명령어에 대한 메뉴얼을 참고 하여 만들었다. HMAC-SHA1 MAC openssl mac -digest SHA1 -macopt hexkey:000102030405060708090A0B0C0D0E0F10111213 -in msg.bin HMAC HMAC 지원 목록 확인 openssl list -digest-commands HMAC 지원 목록 결과 화면 blake2b512 blake2s256 md..

ASN.1 정보를 가지고 개발 하기 위해서 ASN.1 컴파일러가 필요하다. 실제로 상용 버전의 컴파일러는 라이센스 비용이 비싸다 여기서는 현재 무료로 사용 가능한 오픈소스인 asn1c 기본 사용법이다. 해당 툴의 홈페이지에서 관련 설명과 GitHub 에서 소스를 다운 받을 수 있다. 그럼 asn1c 에 대해 사용법을 알아보자. ASN1C 설치 asn1c 를 소스파일을 풀어 보자 현재 다운 버전은 0.9.28 버전이다. tar zxvf asn1c-0.9.28.tar.gz cd asn1c-0.9.28 ./configure make make install 설치는 간단히 한다. 참고로 make install 은 root 권한이 필요하다. root 권한이 아니라면 sudo make install 을 해주면 된다...

[이 기능은 라이선스 버전 기능입니다] 보통 블록 암호 사용시 대칭키를 사용해야 하는데 사실 사람들이 기억할 수 있는 패스워드를 사용해 키를 만들어야 하는 경우가 있다. 패스워드를 사용해 키를 추출 할때 사용하는것이 PBKDF 이다. 예를 들면 우리가 인터넷 뱅키에서 인증서를 사용하는데 그때 사용자는 인증서 선택후 패스워드를 입력한다. 이때 입력한 패스워드를 가지고 해당 인증서의 개인키를 복호화 한다. 암호화된 개인키를 복호화는 대칭키 암호화 방식으로 사용하는 키는 패스워드를 직접 사용하는게 아닌 PBKDF 를 통해서 키를 만들어서 사용하는 것이다. 기본적으로 PBKDF 는 Password-Based Key Derivation Function 의 약자로 키 추출 함수이다. 그리고 PBKDF1과 PBKDF..

Message Digest는 임의의 길이를 단방향 해쉬 함수에 적용하여 일정한 길이로 생성된 비트열이다. 즉 해쉬의 결과 값으로 보면 된다. 해쉬 함수 즉 해쉬 라고 말하는 임의의 길이를 갖는 데이타에 대해 고정된 길이로 데이타를 매핑하는 단방향 함수를 말한다. OpenSSL 을 이용해 해쉬 함수 기능을 이용해 Message Digest 값을 구해 보자. 여기서 작성한 기능은 메뉴얼 문서를 참조 하여 만들었다. 먼저 지원 하는 메세지 다이제스트 목록을 확인 하자 openssl dgst -list Supported digests: -blake2b512 -blake2s256 -md5 -md5-sha1 -ripemd -ripemd160 -rmd160 -sha1 -sha224 -sha256 -sha3-224 -..

OpenSSL 명령어를 이용하여 암/복호화를 해보자 해당 명령어에 대한 메뉴얼을 참조 하였다. 먼자 사용 가능한 블럭 암호 목록을 확인 해보자 openssl enc -ciphers [RANIX@DESKTOP-VOGBKQM ~]$ openssl enc -ciphers Supported ciphers: -aes-128-cbc -aes-128-cfb -aes-128-cfb1 -aes-128-cfb8 -aes-128-ctr -aes-128-ecb -aes-128-ofb -aes-192-cbc -aes-192-cfb -aes-192-cfb1 -aes-192-cfb8 -aes-192-ctr -aes-192-ecb -aes-192-ofb -aes-256-cbc -aes-256-cfb -aes-256-cfb1 -aes..

전자 서명과 인증서는 사실 PKI 분야에 상당히 기술적인 내용이다. 이 부분을 좀 더 쉬운 말로 설명을 해보자 실 생활에서 전자서명과 인증서를 비교 하기 가장 좋은게 "인감 증명서" 라고 생각한다. 인감 증명서는 오프라인상으로 어떤 서류를 작성하고 날인을 통해 그 날인이 유효한 도장인지 확인 해 주는 증명서이다. 이 과정이 사실 오프라인으로 사람 들이 직접 하게 된다. 오프라인 상에서 이루어진 이런 일들을 정보화 사회로 변하면서 디지털화와 온라인상으로 하게 되면서 어떤 서류 데이타에 대해 개인키를 사용해 전자 서명 하고 그 서명 값을 공개키를 이용해서 검증을 하게 된다. 그리고 그 공개키에 대한 증명서가 인증서이다. 사실 오프라인상에서는 해당 사람이 신원 확인과 서류를 가지고 직접 도장을 찍고 또한 그 ..

일반적으로 블록 암호 경우 IV 값은 16바이트 길이를 사용한다. 물론 DES 알고리즘 경우는 8바이트이다. 여기서는 AES, ARIA와 같이 키 길이를 16 바이트 이상 사용하는 알고리즘에 대한 내용이다. 하지만 GCM 또는 CCM 모드 경우 IV 길이가 좀 더 다양하게 쓰인다. 그리고 인증 기능을 하는 Tag 값의 길이에도 제한이 있다. 물론 CTR 모드 경우 앞쪽 12바이트 사용하고 카운트 정보로 4바이트 사용하는 특성이 있지만 입력 IV길이는 16바이트 이다. 두 알고리즘에 대한 설명은 여기서 자세히 확인 할 수 있다. 이 문서에서는 실제 두가지 모드를 사용 시 값에 대한 특성에 대해 설명한다 GCM ( Galois/Counter Mode ) 와 CCM ( Counter with CBC-MAC )..

이번에는 ECDSA 알고리즘에서 사용하는 개인키 포맷에 대해 알아 보자 먼저 ECDSA 개인키 포맷은 RFC5915 에 정의 되어 있다. ASN.1 형식 ECPrivateKey { iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) id-mod-ecprivateKey(65) } DEFINITIONS EXPLICIT TAGS ::= BEGIN -- EXPORTS ALL; IMPORTS -- FROM New PKIX ASN.1 [RFC5912] ECParameters, NamedCurve FROM PKIXAlgs-2009 { iso(1) identified-organization(3) d..