Warehouse of PKI

PKCS#11 표준 라이브러리인 Cryptoki 라이브러리를 사용하는 기능을 개발 하기 위해서는 OASIS 에서 제공하는 헤더 파일을 사용해야 한다. PKCS#11은 모든 정의 값이 표준화 되어 있기 때문에 이에 대한 정의를 OASIS에서 만들어서 제공 하기 때문이다. 그럼 제공 하는 Header 파일은 다음 3가지 이다. 여기서는 현재 가장 많이 사용되고 있다고 생각 되는 PKCS#11 버전 2.4 를 기준으로 설명한다. 아래 주소로 가면 관련 내용을 참조 할 수 있다. http://docs.oasis-open.org/pkcs11/pkcs11-base/v2.40/pkcs11-base-v2.40.html PKCS #11 Cryptographic Token Interface Base Specificatio..

X.509 에서 CA 인증서의 필수 값인 Basic Constraints 에 대해서 알아보자. 보통 한글로는 기본 제한 이라고 표현한다. 아래 그림을 보면 X.509 CA 인증서에서 basicConstrains 값이 존재 한다. CA( RootCA 포함) 인증서에서는 필수로 이 값이 존재한다. 한마디로 CA 인증서를 만들려면 이 확장 필드가 필수 값이다. Basic Constrains ASN.1 정의 id-ce-basicConstraints OBJECT IDENTIFIER ::= { id-ce 19 } BasicConstraints ::= SEQUENCE { cA BOOLEAN DEFAULT FALSE, pathLenConstraint INTEGER (0..MAX) OPTIONAL } 위 ASN.1 정의..

DSA 키 쌍을 만들기를 하려면 우선 DSA 파라미터 생성 후 DSA 키 쌍을 만들 수 있다. 먼저 DSA 파라미터를 생성 하자 openssl dsaparam -out dsaparam.pem 2048 생성 된 DSA 파라미터 -----BEGIN DSA PARAMETERS----- MIICKQKCAQEAz3b/DxqaD6NWa0q23jg3SJ8B/IPycYm7YClyMEh7OIqUhr0cckxm +JosmcqD/S+vEHraQFCF05shdWVjDiY1eyxCo6S9NOgmkDsUTLHFI/5lw4Kf+cum dd4FkMljKmSDybymg1NOggwVMQjbJ4LYS+35nktjLwGIWxo06Jjzt20AYCWpRkJo JmLX1x2dtua1BFgdhhWinxlPNRNLVtLTcLtPgx16TuYP9N..

[이 기능은 라이선스 버전 기능입니다] 보통 인터넷에서 파일을 다운 받게 되면 해당 파일에 대한 해쉬 값을 제공한다. 그럼 제공한 해쉬값을 비교를 통해 해당 파일은 위변조가 되지 않은 것을 확인 하게 된다. 그럼 BerEditor 를 이용해 바이너리에 대한 해쉬값을 구해 보자 ( 파일에 대한 해쉬값 구하는 기능은 BerEditor Version 1.4.0 이상에서 지원합니다 ) 여기서 구해 볼 해쉬 값은 OpenSSL 패키지에 대한 해쉬 값을 구하는 방법을 설명 한다. 먼저 OpenSSL 다운로드 사이트를 방문하자 아래 그림에서 처럼 패키지와 (SHA256) (PGP Sign) (SHA1) 정보를 함께 볼 수 있다. SHA256과 SHA1 파일을 받아 보면 해당 tar.gz 파일에 대한 SHA256 해쉬..

일반적으로 BER과 DER 은 PKI 에서 많이 사용된다. 특히 DER 은 BER의 서브셋으로 좀더 명확히 값을 제한 하였다고 보면 된다. 그리고 DER 과 다른 또다른 BER 의 서브셋인 CER 이있다. 그럼 CER이 무엇인지 DER과 차이점을 알아보자 CER 특성 모든 유효한 CER 인코딩이 유효한 BER 인코딩이라는 점에서 BER과 유사하다. BER은 대부분의 값을 인코딩하는 여러 방법을 허용하는 반면, CER은 주어진 값에 대해 이러한 방법 중 하나만 허용한다고 규정합니다 (예: BER은 BOOLEAN의 경우 00 값이 FALSE이고 0이 아닌 값은 TRUE라고 말하지만 CER은 00은 FALSE이고 FF는 TRUE이며 값 01-FE는 거짓임을 나타내다) DER은 주어진 값을 인코딩하는 단일 방법..

ASN.1(Abstract Syntax Notation One)은 데이터 표현 형식의 규칙을 정의하기 위한 표기법이다. ASN.1 인코딩은 일반적으로 바이트 스트림으로 표현되며 인코딩 형식은 데이터의 크기를 최소화하고, 다양한 플랫폼과 언어 간에 데이터를 상호 전환할 수 있도록 한다. ASN.1 인코딩에는 다양한 형식이 있는데 BER( Basic Encoding Rules ), PER (Packed Encoding Rules), CER (Canonical Encoding Rules) DER (Distingushed Encoding Rules ) OER, XER, JER 등이 있다. 그럼 각각의 인코딩 특징은 다음과 같다. 이글은 oss.com 에 있는 정보를 참고 하였다 [참고자료] BER DER CER..

X.509 인증서 필드 중에 KeyUsage 라는 필드가 있다. 이 필드는 해당 인증서에 있는 비대칭키의 사용 목적을 정의한 필드이다. 아래 그림은 RootCA 인증서의 KeyUsage 필드를 볼 수 있다. 이 인증서의 keyUsage 내용은 keyCertSign, cRLSign 으로 나오는데 인증서 서명 및 CRL 서명용이라는 뜻이다. 해당 필드의 ASN.1 형식은 다음과 같다. id-ce-keyUsage OBJECT IDENTIFIER ::= { id-ce 15 } KeyUsage ::= BIT STRING { digitalSignature (0), nonRepudiation (1), keyEncipherment (2), dataEncipherment (3), keyAgreement (4), keyC..

[이 기능은 라이선스 버전 기능입니다] C_WrapKey 와 C_UnwrapKey 기능은 HSM 장치에서 키를 암호화 하여 추출 하고 다시 암호화한 데이타에 대해서 복호화 하여 키를 HSM 에 주입하는 기능이다. WrapKey 기능 이 기능을 사용하기 위해서는 두가지 키가 사용 된다. 하나는 키 값을 암호화 하는 Wrapping 키 와 그리고 암호화 되는 키가 존재 한다. Wrapping 키는 CKA_WRAP 모드가 지원 되어야 하고 메커니즘에서 사용하는 키의 알고리즘과 동일 하여야 한다. 암호화 되는 키는 Extractable 하여야 한다. 이 키가 Sensitive 여도 WrapKey 기능으로 키를 뽑을 수 있다. 여기서 AES16 키는 CKA_WRAP, CKA_UNWRAP 속성을 지원 하고 키의 알..

[이 기능은 라이선스 버전 기능입니다] SM2 알고리즘은 비대칭키 암호화 방식으로 개인키와 공개키를 이용해 서명 및 검증을 할 수 있다. SM2 알고리즘은 ECC ( Ellipptic Curve Cryptography ) 기반으로 구현 되어 있고 공개키 암호화/복호화 기능을 제공한다. 사실 ECC 는 공개키 암호화 복호화를 제공 하지 않지만 SM2 는 이 기능을 제공한다. 그리고 SM2에서는 서명에 사용하는 해쉬 알고리즘은 SM3를 사용해야 한다. CertMan일 이용하여 SM2 알고리즘 SelfSign 인증서를 만들어 보자 사실 SelfSign이 아닌 일반 SM2로 발급도 가능하지만 우선 RootCA 인증서를 만들어 보자 SM2 인증서를 만들기 위해서 다음 순서로 진행 한다. SM2 용 키 쌍을 만들기..

PKCS#11 에서 HMAC의 기능을 사용하기 위해서 Sign/Verify 기능을 사용한다. 단지 Sign/Verify 에서 사용하는 키를 대칭키를 가지면 된다. 그리고 대칭키의 속성은 GENERIC 의 특성을 가져야 한다. HMAC 사용 키의 특성 CKA_SIGN CKA_VERIFY 속성이 있어야 한다. HMAC 을 생성 시 CKA_SIGN 속성이 필요하고 HMAC 검증시는 CKA_VERIFY 속성을 가져야 한다. 그리고 키 길이는 생성하는 Hash 결과 길이보다 크거나 같아야 함 HMAC 키 만들기 먼저 HMAC을 실행 하기 위해서 HMAC 키를 만들어 보자 CryptokiMan -> Objects -> GenerateKey 메뉴를 선택하자 그럼 아래 그림처럼 Mechanism 을 CKM_GENERI..