Warehouse of PKI

TLS 프로토콜은 암호화 통신이다. 이 때 서버와 클라이언트 간에 키에 대한 합의가 이루어 져야 하는데 이 때 PRF를 통해 키를 생성한다. 현재 설명은 ECDH 를 통한 키 생성에 대한 내용이다. 참고로 아래 설명 하는 내용은 RFC5246 을 내용을 분석한 것이다. P_hash(secret, seed) = HMAC_hash(secret, A(1) + seed) + HMAC_hash(secret, A(2) + seed) + HMAC_hash(secret, A(3) + seed) + ... A() is defined as: A(0) = seed A(i) = HMAC_hash(secret, A(i-1)) PRF(secret, label, seed) = P_(secret, label + seed) 간단히 말..

BerEditor는 ASN.1 파일을 즉 DER 또는 BER 로 인코딩 된 파일을 디코딩 해서 보기 위한 툴이다. 실제로 BerEditor 툴을 사용은 주로 X.509 인증서 또는 CRL 파일을 보거나 아님 RSA 또는 ECDSA 개인키 파일에 대해서 디코딩을 통해서 상세 값을 확인 해 볼 수 있다. 하지만 나열 된 형식 뿐만 아니라 사실 아주 많은 곳에서 다양한 형식의 ASN.1 데이타는 존재 하는데 BerEditor 이용해 열어 보면 된다. (혹시 안되는 파일 또는 데이타가 있으면 알려주세요 ^^ ) 아래 예제 화면은 인증서를 열어 본 화면이다. 인코딩된 ASN.1 파일을 보기 위해서는 BerEditor에서는 4가지 정도 방식으로 볼 수 있다. 열기 마우스 드래그 앤 드랍 BER 데이타 입력 URI ..

이 글은 내가 ECDSA 기반 TLS 1.2 와 DTLS 1.2 스펙을 구현 하면서 알게 된 내용이다. 그러다 보니 알게 된 메모글이라 수시로 업데이트 할 예정이다. 기존에 TLS 관련 지식은 다음 링크를 참조 하면 된다. 여기서는 단지 개발 하면서 파악된 내용을 간단히 기록 하였다. 만약에 TLS에 관한 기본 지식을 파악하고 싶으면 아래 링크를 참조 하세요. TLS 에 관한 정보 링크 https://dokydoky.tistory.com/462 https://dokydoky.tistory.com/463 https://dokydoky.tistory.com/464 DTLS 특성 DTLS ( Datagram Transformt Layer ) 는 UDP 환경에서 TLS 전송을 하기 위한 프로토콜이다. 그리고 D..

CMP (Certificate Management Protocol) 프로토콜은 OpenSSL 3.0 버전에서 지원되는 프로토콜이다. CMP 를 사용하기 위해서는 OpenSSL 3.0 이상 사용해야 한다. https://www.openssl.org/docs/man3.0/man1/openssl-cmp.html 사실 OpenSSL CMP 명령어는 인증서와 사실 개인키가 미리 만들어 놓고 CMP 프로토콜로 전송 하기 위한 테스트 명령어이다. 그러니 openssl.cnf 파일과 미리 인증서와 개인키 들 모두 준비 가 되어야 한다. 여기 예제로 사용 된 인증서와 개인키는 아래 "테스트용 인증서 및 개인키 PEM" 부분의 내용을 파일로 만들어 쓰면 된다. CMP 에서 cmd 옵션에 관하여 ir - Initializa..

RSA 용 SSL 인증서를 만들기를 해보자 먼저 최상위 인증서인 RootCA 인증서를 먼저 만들어야 한다. 최상위 인증서는 Self Signed 인증서 이다. 즉 자신의 개인키로 서명한 인증서가 Self Signed 인증서 이다. 사실 자체적으로 만든 인증서는 기본 브라우저에 등록이 되어 있지 않아 경고를 보여 주지만 테스트용으로 사용하기 위함이다. 아래 명령어를 사용하다 보면 OpenSSL 자체가 기본적으로 사용하는 설정 파일(openssl.cnf) 파일이 있는데 이 설정이 확인이 안된다면 " -config test_openssl.cnf" 이렇게 직접 지정해서 사용 하면 된다. RootCA 용 RSA 키 쌍 생성 CA 가 사용할 RSA 2048 bits Key Pair 생성openssl genrsa -..

OCSP 는 RFC2560 에서 정의 된 Online Certificate Status Protocol 의 약자이다. TSP 는 RFC3161 에서 정의 된 Time Stamp Protocol 의 약자이다. OpenSSL 에서 인증서 상태 정보 프로토콜인 OCSP 관련 메뉴얼 https://www.openssl.org/docs/man3.0/man1/openssl-ocsp.html 타임스탬프 관련 메뉴얼 https://www.openssl.org/docs/man3.0/man1/openssl-ts.html OCSP ( Online Certificate Status Protocol ) OCSP Request 생성 openssl ocsp -issuer ECDSA_CA.crt -cert CMS_Signer.crt..

PKCS#12 는 Personal Information Exchange Syntax 로서 RFC7292 에 정의 된 표준 포맷이다. P12 확장자 또는 pfx 확장자 파일 처리에 대한 OpenSSL 명령어 사용법이다. 이 명령어에 대한 Man 파일 링크는 아래와 같다 https://www.openssl.org/docs/man3.0/man1/openssl-pkcs12.html PKCS#12 파일 생성 openssl pkcs12 -export -in ecdsa_cert.pem -inkey ecdsa_private_key.pem -out file.p12 -name "My Certfiicate" -passout pass:asdf 윈도우 경우에는 -passout pass:암호 값을 주입을 이렇게 주어야 하지만 윈..

CMS 는 Cryptographic Message Syntax 의 약자로 RFC5652 에 정의 된 표준이다. CMS 명령어는 데이타 서명이나 데이타 암호화를 위한 표준 데이타 형식이다. 이 데이타는 PKCS#7 형식의 데이타 이다. 자세한 명령어 설명 주소이다. https://www.openssl.org/docs/man3.0/man1/openssl-cms.html CMS 메세지 ASN.1 형식 아래 ASN.1 형식의 CMS 메세지에 대한 일 부분의 형식 내용을 보여 준다. ContentInfo ::= SEQUENCE { contentType ContentType, content [0] EXPLICIT ANY DEFINED BY contentType } ContentType ::= OBJECT IDENT..

RSA 개인키에 대한 스펙 문서는 PKCS#1 이다. 이 문서에 RSA 관련 표준이 자세히 나와 있다. 여기서는 RSA 개인키를 만들기 위한 OpenSSL 명령어를 설명 한다. RSA 2048 개인키 생성 openssl genrsa -out rsa_private.pem 2048 RSA 개인키 에서 공개키 추촐 openssl rsa -in rsa_private.pem -pubout -out rsa_pub.pem 이 명령어를 생성 하면 rsa_private.pem 파일에 RSA 개인키 값이 저장이 된다. 이 파일은 순수하게 개인키의 값들이라 이대로 사용하게 되면 보안상 문제가 된다. 참고로 결과 값은 PEM 형식의 데이타이다. -----BEGIN RSA PRIVATE KEY----- MIIEowIBAAKCA..

ECDSA 인증서를 만들려먼 우선 Named Curve를 선택 해야 한다. 다음 명령어를 통해서 구할 수 있다. openssl ecparam -list_curves 여기서는 일반적으로 많이 사용하는 prime256v1 ( secp256r1 ) 을 설명 한다. 우선 개인키를 생성 하자 openssl ecparam -name prime256v1 -genkey -noout -out ecdsa_private_key.pem 생성된 PEM 파일은 다음과 같다 -----BEGIN EC PRIVATE KEY----- MHcCAQEEIGT2Um3gW//u0sWCDZQ/XuD6Qizge3mLOZWXPLJrso9XoAoGCCqGSM49 AwEHoUQDQgAEowFoZg9qlBEGZJ46iWBeLV38Xy2P2FQWOMdNQ..