Warehouse of PKI

DSA 키 쌍을 만들기를 하려면 우선 DSA 파라미터 생성 후 DSA 키 쌍을 만들 수 있다. 먼저 DSA 파라미터를 생성 하자 openssl dsaparam -out dsaparam.pem 2048 생성 된 DSA 파라미터 -----BEGIN DSA PARAMETERS----- MIICKQKCAQEAz3b/DxqaD6NWa0q23jg3SJ8B/IPycYm7YClyMEh7OIqUhr0cckxm +JosmcqD/S+vEHraQFCF05shdWVjDiY1eyxCo6S9NOgmkDsUTLHFI/5lw4Kf+cum dd4FkMljKmSDybymg1NOggwVMQjbJ4LYS+35nktjLwGIWxo06Jjzt20AYCWpRkJo JmLX1x2dtua1BFgdhhWinxlPNRNLVtLTcLtPgx16TuYP9N..

[이 기능은 라이선스 버전 기능입니다] 보통 인터넷에서 파일을 다운 받게 되면 해당 파일에 대한 해쉬 값을 제공한다. 그럼 제공한 해쉬값을 비교를 통해 해당 파일은 위변조가 되지 않은 것을 확인 하게 된다. 그럼 BerEditor 를 이용해 바이너리에 대한 해쉬값을 구해 보자 ( 파일에 대한 해쉬값 구하는 기능은 BerEditor Version 1.4.0 이상에서 지원합니다 ) 여기서 구해 볼 해쉬 값은 OpenSSL 패키지에 대한 해쉬 값을 구하는 방법을 설명 한다. 먼저 OpenSSL 다운로드 사이트를 방문하자 아래 그림에서 처럼 패키지와 (SHA256) (PGP Sign) (SHA1) 정보를 함께 볼 수 있다. SHA256과 SHA1 파일을 받아 보면 해당 tar.gz 파일에 대한 SHA256 해쉬..

[이 기능은 라이선스 버전 기능입니다] C_WrapKey 와 C_UnwrapKey 기능은 HSM 장치에서 키를 암호화 하여 추출 하고 다시 암호화한 데이타에 대해서 복호화 하여 키를 HSM 에 주입하는 기능이다. WrapKey 기능 이 기능을 사용하기 위해서는 두가지 키가 사용 된다. 하나는 키 값을 암호화 하는 Wrapping 키 와 그리고 암호화 되는 키가 존재 한다. Wrapping 키는 CKA_WRAP 모드가 지원 되어야 하고 메커니즘에서 사용하는 키의 알고리즘과 동일 하여야 한다. 암호화 되는 키는 Extractable 하여야 한다. 이 키가 Sensitive 여도 WrapKey 기능으로 키를 뽑을 수 있다. 여기서 AES16 키는 CKA_WRAP, CKA_UNWRAP 속성을 지원 하고 키의 알..

[이 기능은 라이선스 버전 기능입니다] SM2 알고리즘은 비대칭키 암호화 방식으로 개인키와 공개키를 이용해 서명 및 검증을 할 수 있다. SM2 알고리즘은 ECC ( Ellipptic Curve Cryptography ) 기반으로 구현 되어 있고 공개키 암호화/복호화 기능을 제공한다. 사실 ECC 는 공개키 암호화 복호화를 제공 하지 않지만 SM2 는 이 기능을 제공한다. 그리고 SM2에서는 서명에 사용하는 해쉬 알고리즘은 SM3를 사용해야 한다. CertMan일 이용하여 SM2 알고리즘 SelfSign 인증서를 만들어 보자 사실 SelfSign이 아닌 일반 SM2로 발급도 가능하지만 우선 RootCA 인증서를 만들어 보자 SM2 인증서를 만들기 위해서 다음 순서로 진행 한다. SM2 용 키 쌍을 만들기..

PKCS#11 에서 HMAC의 기능을 사용하기 위해서 Sign/Verify 기능을 사용한다. 단지 Sign/Verify 에서 사용하는 키를 대칭키를 가지면 된다. 그리고 대칭키의 속성은 GENERIC 의 특성을 가져야 한다. HMAC 사용 키의 특성 CKA_SIGN CKA_VERIFY 속성이 있어야 한다. HMAC 을 생성 시 CKA_SIGN 속성이 필요하고 HMAC 검증시는 CKA_VERIFY 속성을 가져야 한다. 그리고 키 길이는 생성하는 Hash 결과 길이보다 크거나 같아야 함 HMAC 키 만들기 먼저 HMAC을 실행 하기 위해서 HMAC 키를 만들어 보자 CryptokiMan -> Objects -> GenerateKey 메뉴를 선택하자 그럼 아래 그림처럼 Mechanism 을 CKM_GENERI..

CryptokiMan 을 이용하여 PKCS#11 Digest 값을 생성 해보자 먼저 해당 PKCS#11 에서 지원 하는 Digest 알고리즘을 확인 해보자 해당 Mechanism 을 확인 하기 위해서는 해당 슬롯의 C_OpenSession 까지 이루어져야 한다. 그리고 슬롯 선택 후 Mechanism 을 눌러 보면 아래 화면 처럼 지원 하는 Digest 목록을 확인 할 수 있다. 현재 테스트 라이브러리는 SoftHSM2 인데 MD5, SHA1, SHA224, SHA256, SHA384, SHA512 가 지원 되는 것을 확인 할 수 있다. Digest 함수를 실행 하기 위해서는 C_OpenSession 만 하면 된다. C_Login 인증은 없어도 된다. Digest 자체는 키를 사용하지 않기 때문에 특별히..

이번에는 PKCS#11 에서 제공 하는 Random 기능을 CryptokiMan 툴을 이용해 구해 보자 PKCS#11 기능을 테스트 하기 위해 여기서는 SoftHSM2 라이브러리를 이용하였다. Random 함수를 사용하는 이유는 예측할 수 없는 값을 만들기 위해서 보통 대칭키나 비대칭키를 만들 때 사용이된다. 사실 PKCS#11 에서는 Random 기능과 관련한 함수는 두가지 이다. C_SeedRandom 과 C_GenerateRandom 함수이다. 이 두 함수를 사용하기 위해서는 PKCS#11 에서 C_OpenSession 까지 진행이 되어 있어야 한다. 하지만 랜덤 관련 함수를 사용하기 위해서는 특별히 C_Login 은 하지 않아도 된다. 사실 Random 값 자체의 기능은 보안상 안전성이 없어도 되..

[이 기능은 라이선스 버전 기능입니다] 비대칭키 알고리즘인 RSA 경우 상대방의 공개키를 가지고 암호화를 하면 암호화 데이타를 받은 수신자는 자신의 개인키로 복호화를 해서 평문을 얻는 기능을 제공한다. 참고로 ECDSA 는 전자 서명만을 위한 알고리즘이라 공개키 암호화를 지원 하지 않는다. 단 중국 알고리즘인 SM2 경우는 공개키 알고리즘을 지원 한다. 여기서는 RSA 알고리즘을 이용한 공개키 암호화를 해보자 RSA 암호화에서 선택 사항은 V15와 V21 패딩 옵션이다. 간단히 V15는 일반적으로 랜덤값으로 패딩을 하는것이고 V21 은 OAEP 를 적용한 좀더 안전한 패딩으로 보면 된다. RSA 공개키 암호화 하기 BerEditor -> 암호 -> 공개키 암/복호화 메뉴를 누른다. 그림에서 V15 패딩 ..

라이선스가 없는 버전은 RSA 만 지원 합니다. CertMan 을 이용하여 비대칭키를 만들어 보자 현재 CertMan 에서 지원 하는 비대칭키 알고리즘은 RSA, ECDSA 와 SM2이다. 사실 SM2 의 경우는 OpenSSL 에서 별도로 알고리즘 타입을 제공하기 보다는 ECC 알고리즘의 파라미터로 중에 SM2 인식이 되므로 기본적으로는 ECDSA 와 사용이 동일하다. 각 알고리즘 별로 키 쌍을 만들려면 Tools -> NewKey 메뉴를 선택 하거나 왼쪽 KeyPair 에서 마우스 우클릭 후 New Key를 선택 하면 된다. RSA 키 쌍 만들기 Mechanism : 사용할 알고리즘 RSA 선택 Exponent : RSA Exponent 로 사용 할 값으로 5, 7, 17 등 소수로 입력 현재 6553..

EdDSA ( Edwards-Curve Digital Signature Algorithm ) 의 약자로 ECC 처럼 디지털 서명용 알고리즘이다. ECDSA에 비하면 연산 속도가 ECDSA 보다는 조금 빠른 알고리즘이다. 현재 EdDSA 알고리즘은 ECDSA 보다는 널리 사용되지는 않지만 점점 늘어나고 있다고 한다. EdDSA 에서 주로 사용하는 Curve 가 Ed25519 와 Ed448 이다. 그럼 OpenSSL 명령어로 ed25519와 ed448 키 쌍을 만들어 보자. ed25519 개인키 생성 openssl genpkey -algorithm ed25519 -out private.pem ed25519 개인키 결과 -----BEGIN PRIVATE KEY----- MC4CAQAwBQYDK2VwBCIEIJ..