Warehouse of PKI

YubiHSM2 하드웨어 장치는 PKCS#11 API 를 제공한다. 이 장치에 대한 정보는 Yubico 홈페이지를 참조 하면 된다. 현재 USB형식의 소형 하드웨어 HSM 장치로서는 가장 PKCS#11 을 잘 지원하는 장치로 보인다. 참고로 USB 형 HSM 장치인데 RSA 4096 키 생성이 지원 된다. 서버용 HSM 장치가 아닌 소형 USB 형 HSM에서 RSA 4096 키 생성 지원은 처음 본다. 그리고 Network HSM 기능도 지원한다. http 프로토콜을 이용하여 사용하는 앱과 HSM 이 네트워크로 연결 사용도 가능하다. 여기서 관련 드라이버 설치는 Yubico 홈페이지를 참조 하고 CryptokiMan 을 이용하여 PKCS#11 기능을 사용 해보자. 해당 PKCS11 파일은 yubihsm_..

[이 기능은 라이선스 버전 기능입니다] PKCS#11 기능에서 ECDH 알고리즘을 이용한 대칭키 생성을 할 수 있다. PKCS#11 에서 대칭키를 생성 하려면 ECDSA 용 키 쌍이 있어야 하고 이 키 쌍을 이용하여 C_DeriveKey 기능을 이용하여 ECDH 메커니즘을 실행 하면 된다. 이 때 생성한 대칭키는 결과 값으로 나오는 것이 아니라 HSM 장치내에 생성 및 되고 결과로 생성된 키의 핸들을 얻을 수 있다. 그럼 ECDH 생성을 위해서는 기본적으로 체크 사항이다. ECDSA 키를 먼저 생성 하는데 이 키 의 속성에서 CKA_DERIVE 를 TRUE 로 설정 해 주어야 한다. 여기서 ECDSA 키를 생성 시 파라미터를 지정해 주어야 하는데 여기서는 prime256v1 파라 미터를 사용하자. ECD..

HSM 장치에서 PKCS#11 API 를 이용하여 해당 장치가 지원 하는 메커니즘을 확인 할 수 있다. 지원 메커니즘의 정보를 제공하는 API 가 C_GetMechanismList 함수이다. 그리고 각각의 메커니즘에서 좀더 상세한 정보를 제공하는 API 가 C_GetMechanismInfo 함수이다. PKCS11 함수 정의 C_GetMechanismList CK_DEFINE_FUNCTION(CK_RV, C_GetMechanismList)( CK_SLOT_ID slotID, CK_MECHANISM_TYPE_PTR pMechanismList, CK_ULONG_PTR pulCount );이 함수는 지원 메커니즘을 리스트로 타입값을 모두 가져다 준다. C_GetMechanismInfo CK_DEFINE_FUNC..

[이 기능은 라이선스 버전 기능입니다] CryptokiMan 을 이용하여 PKCS#11 기능의 DH 키와 DeriveKey 기능을 이용하여 대칭키를 추출 해보자. 여기서 생성된 대칭키는 실제로 값을 얻는 것이 아니라 HSM 장치내에서 키가 생성이 되고 생성된 핸들 값을 얻게 된다. 일단 DH 기능을 하기 위해서는 다음 순서로 실행을 한다. DH 키 생성 이 때 키는 CKA_DERIVE 값이 TRUE 로 되어야 한다. 이때 DH 용 파라미터를 넣어 주어야 하는데 해당 값을 넣어 주거나 테스트를 위해 만들어서 사용한다. DH 값을 구하기 위해서는 PKCS#11 기능 중에 C_DeriveKey 기능을 사용하다. 참고로 이 DH 알고리즘을 사용하기 위해서는 C_Initialize -> C_OpenSession ..

[이 기능은 라이선스 버전 기능입니다] C_WrapKey 와 C_UnwrapKey 기능은 HSM 장치에서 키를 암호화 하여 추출 하고 다시 암호화한 데이타에 대해서 복호화 하여 키를 HSM 에 주입하는 기능이다. WrapKey 기능 이 기능을 사용하기 위해서는 두가지 키가 사용 된다. 하나는 키 값을 암호화 하는 Wrapping 키 와 그리고 암호화 되는 키가 존재 한다. Wrapping 키는 CKA_WRAP 모드가 지원 되어야 하고 메커니즘에서 사용하는 키의 알고리즘과 동일 하여야 한다. 암호화 되는 키는 Extractable 하여야 한다. 이 키가 Sensitive 여도 WrapKey 기능으로 키를 뽑을 수 있다. 여기서 AES16 키는 CKA_WRAP, CKA_UNWRAP 속성을 지원 하고 키의 알..

PKCS#11 에서 HMAC의 기능을 사용하기 위해서 Sign/Verify 기능을 사용한다. 단지 Sign/Verify 에서 사용하는 키를 대칭키를 가지면 된다. 그리고 대칭키의 속성은 GENERIC 의 특성을 가져야 한다. HMAC 사용 키의 특성 CKA_SIGN CKA_VERIFY 속성이 있어야 한다. HMAC 을 생성 시 CKA_SIGN 속성이 필요하고 HMAC 검증시는 CKA_VERIFY 속성을 가져야 한다. 그리고 키 길이는 생성하는 Hash 결과 길이보다 크거나 같아야 함 HMAC 키 만들기 먼저 HMAC을 실행 하기 위해서 HMAC 키를 만들어 보자 CryptokiMan -> Objects -> GenerateKey 메뉴를 선택하자 그럼 아래 그림처럼 Mechanism 을 CKM_GENERI..

CryptokiMan 을 이용하여 PKCS#11 Digest 값을 생성 해보자 먼저 해당 PKCS#11 에서 지원 하는 Digest 알고리즘을 확인 해보자 해당 Mechanism 을 확인 하기 위해서는 해당 슬롯의 C_OpenSession 까지 이루어져야 한다. 그리고 슬롯 선택 후 Mechanism 을 눌러 보면 아래 화면 처럼 지원 하는 Digest 목록을 확인 할 수 있다. 현재 테스트 라이브러리는 SoftHSM2 인데 MD5, SHA1, SHA224, SHA256, SHA384, SHA512 가 지원 되는 것을 확인 할 수 있다. Digest 함수를 실행 하기 위해서는 C_OpenSession 만 하면 된다. C_Login 인증은 없어도 된다. Digest 자체는 키를 사용하지 않기 때문에 특별히..

이번에는 PKCS#11 에서 제공 하는 Random 기능을 CryptokiMan 툴을 이용해 구해 보자 PKCS#11 기능을 테스트 하기 위해 여기서는 SoftHSM2 라이브러리를 이용하였다. Random 함수를 사용하는 이유는 예측할 수 없는 값을 만들기 위해서 보통 대칭키나 비대칭키를 만들 때 사용이된다. 사실 PKCS#11 에서는 Random 기능과 관련한 함수는 두가지 이다. C_SeedRandom 과 C_GenerateRandom 함수이다. 이 두 함수를 사용하기 위해서는 PKCS#11 에서 C_OpenSession 까지 진행이 되어 있어야 한다. 하지만 랜덤 관련 함수를 사용하기 위해서는 특별히 C_Login 은 하지 않아도 된다. 사실 Random 값 자체의 기능은 보안상 안전성이 없어도 되..

[이 기능은 라이선스 버전 기능입니다] SoftHSM 처음 설치 하면 초기 셋팅이 필요하다. 이번에는 softhsm2-util 을 이용해서가 아니라 CryptokiMan 을 이용해서 초기화를 해보자 초기 셋팅을 위해 SoftHSM 에서 제공하는 Cryptoki Library 의 PKCS#11 API를 CryptokiMan 에서 사용해 초기화를 한다. SoftHSM 처음 설치는 오픈소스 SoftHSM 사용법 ( Windows 환경 ) 문서를 참조하자 해당 문서에서 SoftHSM 처음 상태 확인 까지만 진행을 하자 이번에는 SoftHSM 처음 설치를 하고 상태확인을 해보면 다음 처럼 나온다. softhsm2-util.exe --show-slots Available slots: Slot 0 Slot info:..

CryptokiMan 은 cryptoki 동적 라이브러리를 읽어서 PKCS#11 API 기능을 수행하고 테스트 해보기 위한 프로그램이다. 보통 HSM 장치는 하드웨어 장치이지만 여기서는 테스트를 위해 SoftHSM 을 이용한다. 그럼 어떻게 사용하는지 기본 과정은 다음과 같다 라이브러리 불러오기 초기화 하기 세션 열기 로그인 HSM 기능 사용하기 일반적으로 HSM 장치를 사용 할때 초기화를 해야 한다. 보통 HSM 장치 경우 초기화 툴을 제공한다 여기서는 기본적인 설명을 위해서 장치 초기화가 된 상태로 설명을 한다. 1. 라이브러리 불러오기 처음 HSM 에서 제공하는 라이브러리를 호출 하는 과정이다. 현재 테스트 툴이 64비트 윈도우용이라면 64비트 윈도우용 라이브러리를 불러 주어야 한다. 그림 처럼 열..