Warehouse of PKI

OpenSSL 명령어를 사용해 ECDH 공유 키를 만들어 보자 ECDH 값을 생성 하기 위해서는 두 쌍의 ECDSA 용 키 쌍이 필요하다. 키 쌍의 이름을 alice 와 bob 이라는 이름 으로 만들어 보자 그럼 ECDH 공유 키를 만든는것은 alice 의 개인키와 Bob의 공유키를 이용해서 만들고 또 bob의 개인키와 alice 의 공유키를 가지고 만들게 되는데 이때 서로 만든 공유키 값이 같은 값이 나오게 되는 것이다. Alice ECDSA 용 키 쌍 만들기 // ECDSA 용 alice의 개인키 만들기 openssl genpkey -out alice.pem -algorithm EC -pkeyopt ec_paramgen_curve:P-256 -pkeyopt ec_param_enc:named_curve..

[이 기능은 라이선스 버전 기능입니다] 일반적 인증서에서는 사용 하지 않지만 우리 나라에서 사용하는 공동 인증서만의 고유 필드가 있는데 그것이 VID 값이다. 이 값은 인증서의 주체 대체 이름 필드에 들어 가는 값이다. VID 관련 기술 스펙은 [X509] 공동인증서 본인확인 식별번호 ( VID ) 란? 페이지를 참조 하면 된다. VID 생성 하기 BerEdior 에서 Cryptogram -> VID 메뉴를 선택 하면 아래 그림 처리 VID 창이 뜬다 VID 값을 생성 하기 SSN 값 입력 ( SSN 은 보통 주민번호 같은 고유 구별 값 ) Random 값 입력 ( VID 생성에 같이 사용 되어지는 랜덤 값 ) VID 생성 버튼 입력 ( 이때 VID 생성을 위해서는 해쉬가 사용 되는데 사용 해시를 선택 ..

CertMan 을 이용해 생성한 개인키 공개키를 내보내기 해보자 개인키 공개키 내보내기를 하기 위해서는 먼저 키 쌍을 만들어져 있어야 하는데 비대칭키 쌍 만들기는 [CertMan] 비대칭 키 쌍 ( RSA, ECDSA, SM2 ) 만들기 메뉴를 참조 하자 여기서는 이미 만들어진 쌍을 내보내기를 해보자 생성한 공개키 개인키를 내보내기 위해서는 CertMan 에서 DB파일을 읽어 온후 KeyPair 메뉴를 선택 하자 그럼 화면 우측편에 생성된 키 목록이 나온다. 내보내는 키를 선택후 마우스 우클릭을 해보자 그럼 다음 처럼 메뉴 화면을 볼 수 있다. 여기서 개인키 공개키를 내보내기 위해서는 Export PublicKey, Export PrivateKey Exprot EncryptedPrivate 키 3가지 메..

PKI 관련 기술을 하다 보면 주로 접하게 되는 파일이 있다. 즉 인증서, CRL(인증서 폐기 목록) 그리고 CSR( 인증서 서명 요청서 파일이다) BerEditor 에서는 이 3가지 파일 정보 기능을 제공한다. 이 기능은 BerEditor Version 1.6.0 이상에서 지원 한다. 인증서 보기 File -> Open Certficate 를 선택 한다. X.509 인증서에 상세 정보 값을 확인 할 수 있다. Save : 해당 인증서를 PEM 형식으로 저장 한다. 인증서 경로 검증은 라이선스 모드에서 지원 합니다. Path Validation 탭을 클릭해보면 위 화면 처럼 나온다. 어떤 경우는 아래 버튼들이 비활성화 상태로 나오는 경우도 있다. 사실 아래 모든 기능의 경우 Authority Info A..

[이 기능은 라이선스 버전 기능입니다] SSL 이나 TLS는 암호화 통신을 하기 위한 프로토콜이다. 일반적으로 많이 사용하는 SSL 통신이 웹서비스이며 웹서비스는 HTTP와 HTTPS 주소를 사용하다. 이때 HTTPS 경우가 SSL 또는 TLS 방식의 암호화 통신을 하는데 SSL 통신을 할 때 서버 인증서 기반의 핸드쉐이크 과정이 이루어 진다. 이 핸드쉐이크 과정에서 서버 인증이 되고 이때 인증서 경로 검증이 이루어지게 된다. BerEditor ( 버전 1.6.0 이상 ) 는 SSL 또는 TLS 핸드쉐이크 과정에서 보내오는 인증서 정보를 보여주는 기능을 제공한다. BerEditor 에서 SSL Verify 기능을 사용하기 위해서는 Cryptogram -> SSL Verify 메뉴를 선택 하면 된다. UR..

YubiHSM2 하드웨어 장치는 PKCS#11 API 를 제공한다. 이 장치에 대한 정보는 Yubico 홈페이지를 참조 하면 된다. 현재 USB형식의 소형 하드웨어 HSM 장치로서는 가장 PKCS#11 을 잘 지원하는 장치로 보인다. 참고로 USB 형 HSM 장치인데 RSA 4096 키 생성이 지원 된다. 서버용 HSM 장치가 아닌 소형 USB 형 HSM에서 RSA 4096 키 생성 지원은 처음 본다. 그리고 Network HSM 기능도 지원한다. http 프로토콜을 이용하여 사용하는 앱과 HSM 이 네트워크로 연결 사용도 가능하다. 여기서 관련 드라이버 설치는 Yubico 홈페이지를 참조 하고 CryptokiMan 을 이용하여 PKCS#11 기능을 사용 해보자. 해당 PKCS11 파일은 yubihsm_..

프로그램을 짜다 보변 숫자를 표시 하고 처리 하는 경우가 자주 만나게 된다. 일반적으로 사람들이 쉽게 사용하는 것은 10 진수 이다. 하지만 메모리를 직접 보거나 컴퓨터가 이해 하기 위한 숫자는 16진수 2진수이다. 그리고 이 16진수나 2진수를 10진수로 변환을 해야 하는 경우가 있다. 이 변환을 해보기 위해서 BerEdior 에서 Number Transmission 을 사용하면 된다. 먼저 각각의 진법에 대한 간다히 개요이다. 2, 10, 16 진법 개요 2진법 0과 1이라는 두 개의 숫자만을 사용하여 수를 나타내는 진법을 말한다 10진법 10을 기수로 쓰는 실수의 진법이다. 10개의 숫자를 가지고 수를 표현하며, 열배마다 자릿수가 하나씩 올라간다 16진법 자릿수 하나가 0부터 15까지 표현할 수 있..

[이 기능은 라이선스 버전 기능입니다] PKCS#11 기능에서 ECDH 알고리즘을 이용한 대칭키 생성을 할 수 있다. PKCS#11 에서 대칭키를 생성 하려면 ECDSA 용 키 쌍이 있어야 하고 이 키 쌍을 이용하여 C_DeriveKey 기능을 이용하여 ECDH 메커니즘을 실행 하면 된다. 이 때 생성한 대칭키는 결과 값으로 나오는 것이 아니라 HSM 장치내에 생성 및 되고 결과로 생성된 키의 핸들을 얻을 수 있다. 그럼 ECDH 생성을 위해서는 기본적으로 체크 사항이다. ECDSA 키를 먼저 생성 하는데 이 키 의 속성에서 CKA_DERIVE 를 TRUE 로 설정 해 주어야 한다. 여기서 ECDSA 키를 생성 시 파라미터를 지정해 주어야 하는데 여기서는 prime256v1 파라 미터를 사용하자. ECD..

HSM 장치에서 PKCS#11 API 를 이용하여 해당 장치가 지원 하는 메커니즘을 확인 할 수 있다. 지원 메커니즘의 정보를 제공하는 API 가 C_GetMechanismList 함수이다. 그리고 각각의 메커니즘에서 좀더 상세한 정보를 제공하는 API 가 C_GetMechanismInfo 함수이다. PKCS11 함수 정의 C_GetMechanismList CK_DEFINE_FUNCTION(CK_RV, C_GetMechanismList)( CK_SLOT_ID slotID, CK_MECHANISM_TYPE_PTR pMechanismList, CK_ULONG_PTR pulCount );이 함수는 지원 메커니즘을 리스트로 타입값을 모두 가져다 준다. C_GetMechanismInfo CK_DEFINE_FUNC..

[이 기능은 라이선스 버전 기능입니다] CryptokiMan 을 이용하여 PKCS#11 기능의 DH 키와 DeriveKey 기능을 이용하여 대칭키를 추출 해보자. 여기서 생성된 대칭키는 실제로 값을 얻는 것이 아니라 HSM 장치내에서 키가 생성이 되고 생성된 핸들 값을 얻게 된다. 일단 DH 기능을 하기 위해서는 다음 순서로 실행을 한다. DH 키 생성 이 때 키는 CKA_DERIVE 값이 TRUE 로 되어야 한다. 이때 DH 용 파라미터를 넣어 주어야 하는데 해당 값을 넣어 주거나 테스트를 위해 만들어서 사용한다. DH 값을 구하기 위해서는 PKCS#11 기능 중에 C_DeriveKey 기능을 사용하다. 참고로 이 DH 알고리즘을 사용하기 위해서는 C_Initialize -> C_OpenSession ..