Warehouse of PKI

OpenSSL 에서 asn1 인코딩 디코딩 명령어 사용법을 알아 보자 해당 기능에 대한 문서 페이지는 메뉴얼을 참고 하여 만들었다. asn1parse 명령어로 간단히 문자 인코딩/디코딩을 할수 있고 복잡한 데이타는 설정을 이용해 만들 수 있다. 기본적으로 ASN.1 PEM 형식 파싱 해서 보기 openssl asn1parse -in file.pem ASN1 DER 형식 파일 보기 openssl asn1parse -inform DER -in file.der UTF8String 문자 생성하기 openssl asn1parse -genstr "UTF8:Hello world" 결과 값 0:d=0 hl=2 l= 11 prim: UTF8STRING :Hello world UTF8String DER 파일로 생성하기 o..

메세지 인증 코드라는 MAC 기능을 OpenSSL 명령어를 사용해 구해 보자 사실 MAC 값을 구하기 위해 방식은 여러가지가 있다. 일반적으로는 Hash를 사용하는 HMAC과 Cipher-based MAC 인 CMAC이 가장 대표적이다. 그리고 블록 암호에서 사용되는 GCM 모드를 이용한 GMAC 등이 있다. 이 명령어에 대한 메뉴얼을 참고 하여 만들었다. HMAC-SHA1 MAC openssl mac -digest SHA1 -macopt hexkey:000102030405060708090A0B0C0D0E0F10111213 -in msg.bin HMAC HMAC 지원 목록 확인 openssl list -digest-commands HMAC 지원 목록 결과 화면 blake2b512 blake2s256 md..

Message Digest는 임의의 길이를 단방향 해쉬 함수에 적용하여 일정한 길이로 생성된 비트열이다. 즉 해쉬의 결과 값으로 보면 된다. 해쉬 함수 즉 해쉬 라고 말하는 임의의 길이를 갖는 데이타에 대해 고정된 길이로 데이타를 매핑하는 단방향 함수를 말한다. OpenSSL 을 이용해 해쉬 함수 기능을 이용해 Message Digest 값을 구해 보자. 여기서 작성한 기능은 메뉴얼 문서를 참조 하여 만들었다. 먼저 지원 하는 메세지 다이제스트 목록을 확인 하자 openssl dgst -list Supported digests: -blake2b512 -blake2s256 -md5 -md5-sha1 -ripemd -ripemd160 -rmd160 -sha1 -sha224 -sha256 -sha3-224 -..

OpenSSL 명령어를 이용하여 암/복호화를 해보자 해당 명령어에 대한 메뉴얼을 참조 하였다. 먼자 사용 가능한 블럭 암호 목록을 확인 해보자 openssl enc -ciphers [RANIX@DESKTOP-VOGBKQM ~]$ openssl enc -ciphers Supported ciphers: -aes-128-cbc -aes-128-cfb -aes-128-cfb1 -aes-128-cfb8 -aes-128-ctr -aes-128-ecb -aes-128-ofb -aes-192-cbc -aes-192-cfb -aes-192-cfb1 -aes-192-cfb8 -aes-192-ctr -aes-192-ecb -aes-192-ofb -aes-256-cbc -aes-256-cfb -aes-256-cfb1 -aes..

OpenSSL 에서 간단히 CA 인증서와 인증서 발급 및 CRL 을 생성하는 Perl 명령어가 CA.pl 이다. OpenSSL 을 이용해서 인증서 및 CRL 생성을 위해서는 이 툴이 가장 쉽게 할 수 있다. 이 파일은 openssl/ssl/misc 폴더에 존재 한다. 물론 이 명령어를 실행 하기 위해서는 perl 이 설치 되어 있어야 한다. 이 문서는 명령어 메뉴얼 페이지를 참조 해서 만들었다. 이 명령어 테스트는 리눅스 환경이다. (윈도우 환경은 터미널 입력에 문제가 있어서 리눅스나 맥에서 하는걸 추천 함 ) 초기 인증서를 만들려면 루트 CA이면서 CA인증서를 먼저 만들어 주어야 한다. 1. CA 인증서 만들기 먼저 CA인증서를 만들려면 CA.pl -newca 명령어를 실행 한다. 이때 이미 명령어를 ..

CMP (Certificate Management Protocol) 프로토콜은 OpenSSL 3.0 버전에서 지원되는 프로토콜이다. CMP 를 사용하기 위해서는 OpenSSL 3.0 이상 사용해야 한다. https://www.openssl.org/docs/man3.0/man1/openssl-cmp.html 사실 OpenSSL CMP 명령어는 인증서와 사실 개인키가 미리 만들어 놓고 CMP 프로토콜로 전송 하기 위한 테스트 명령어이다. 그러니 openssl.cnf 파일과 미리 인증서와 개인키 들 모두 준비 가 되어야 한다. 여기 예제로 사용 된 인증서와 개인키는 아래 "테스트용 인증서 및 개인키 PEM" 부분의 내용을 파일로 만들어 쓰면 된다. CMP 에서 cmd 옵션에 관하여 ir - Initializa..

RSA 용 SSL 인증서를 만들기를 해보자 먼저 최상위 인증서인 RootCA 인증서를 먼저 만들어야 한다. 최상위 인증서는 Self Signed 인증서 이다. 즉 자신의 개인키로 서명한 인증서가 Self Signed 인증서 이다. 사실 자체적으로 만든 인증서는 기본 브라우저에 등록이 되어 있지 않아 경고를 보여 주지만 테스트용으로 사용하기 위함이다. 아래 명령어를 사용하다 보면 OpenSSL 자체가 기본적으로 사용하는 설정 파일(openssl.cnf) 파일이 있는데 이 설정이 확인이 안된다면 " -config test_openssl.cnf" 이렇게 직접 지정해서 사용 하면 된다. RootCA 용 RSA 키 쌍 생성 CA 가 사용할 RSA 2048 bits Key Pair 생성openssl genrsa -..

OCSP 는 RFC2560 에서 정의 된 Online Certificate Status Protocol 의 약자이다. TSP 는 RFC3161 에서 정의 된 Time Stamp Protocol 의 약자이다. OpenSSL 에서 인증서 상태 정보 프로토콜인 OCSP 관련 메뉴얼 https://www.openssl.org/docs/man3.0/man1/openssl-ocsp.html 타임스탬프 관련 메뉴얼 https://www.openssl.org/docs/man3.0/man1/openssl-ts.html OCSP ( Online Certificate Status Protocol ) OCSP Request 생성 openssl ocsp -issuer ECDSA_CA.crt -cert CMS_Signer.crt..

PKCS#12 는 Personal Information Exchange Syntax 로서 RFC7292 에 정의 된 표준 포맷이다. P12 확장자 또는 pfx 확장자 파일 처리에 대한 OpenSSL 명령어 사용법이다. 이 명령어에 대한 Man 파일 링크는 아래와 같다 https://www.openssl.org/docs/man3.0/man1/openssl-pkcs12.html PKCS#12 파일 생성 openssl pkcs12 -export -in ecdsa_cert.pem -inkey ecdsa_private_key.pem -out file.p12 -name "My Certfiicate" -passout pass:asdf 윈도우 경우에는 -passout pass:암호 값을 주입을 이렇게 주어야 하지만 윈..

CMS 는 Cryptographic Message Syntax 의 약자로 RFC5652 에 정의 된 표준이다. CMS 명령어는 데이타 서명이나 데이타 암호화를 위한 표준 데이타 형식이다. 이 데이타는 PKCS#7 형식의 데이타 이다. 자세한 명령어 설명 주소이다. https://www.openssl.org/docs/man3.0/man1/openssl-cms.html CMS 메세지 ASN.1 형식 아래 ASN.1 형식의 CMS 메세지에 대한 일 부분의 형식 내용을 보여 준다. ContentInfo ::= SEQUENCE { contentType ContentType, content [0] EXPLICIT ANY DEFINED BY contentType } ContentType ::= OBJECT IDENT..