Warehouse of PKI

이 명령어는 공개키 알고리즘 실행 명령어이다. 이 문서는 https://www.openssl.org/docs/man3.0/man1/openssl-pkeyutl.html 참조 하여 만들었다. 개인키를 이용 전자 서명 생성 이때 입력 값은 해쉬 값이어야 한다( 원문 아님 ) openssl pkeyutl -sign in data.txt -inkey rsa_key.pem -out sig생성된 sig 값은 전자 서명 바이너리 값이다. (ASN.1 디코딩 안됨 ) 서명 데이타 검증 입력된 서명 검증 openssl pkeyutl -verify -in data.txt -sigfile sig -inkey rsa_key.pem 복구 서명 검증 이 기능은 서명 검증하고 서명에 사용된 해쉬 값을 복구 해주는 명령어 이다. o..

[이 기능은 라이선스 버전 기능입니다] SoftHSM 처음 설치 하면 초기 셋팅이 필요하다. 이번에는 softhsm2-util 을 이용해서가 아니라 CryptokiMan 을 이용해서 초기화를 해보자 초기 셋팅을 위해 SoftHSM 에서 제공하는 Cryptoki Library 의 PKCS#11 API를 CryptokiMan 에서 사용해 초기화를 한다. SoftHSM 처음 설치는 오픈소스 SoftHSM 사용법 ( Windows 환경 ) 문서를 참조하자 해당 문서에서 SoftHSM 처음 상태 확인 까지만 진행을 하자 이번에는 SoftHSM 처음 설치를 하고 상태확인을 해보면 다음 처럼 나온다. softhsm2-util.exe --show-slots Available slots: Slot 0 Slot info:..

CryptokiMan 은 cryptoki 동적 라이브러리를 읽어서 PKCS#11 API 기능을 수행하고 테스트 해보기 위한 프로그램이다. 보통 HSM 장치는 하드웨어 장치이지만 여기서는 테스트를 위해 SoftHSM 을 이용한다. 그럼 어떻게 사용하는지 기본 과정은 다음과 같다 라이브러리 불러오기 초기화 하기 세션 열기 로그인 HSM 기능 사용하기 일반적으로 HSM 장치를 사용 할때 초기화를 해야 한다. 보통 HSM 장치 경우 초기화 툴을 제공한다 여기서는 기본적인 설명을 위해서 장치 초기화가 된 상태로 설명을 한다. 1. 라이브러리 불러오기 처음 HSM 에서 제공하는 라이브러리를 호출 하는 과정이다. 현재 테스트 툴이 64비트 윈도우용이라면 64비트 윈도우용 라이브러리를 불러 주어야 한다. 그림 처럼 열..

OpenSSL 에서 asn1 인코딩 디코딩 명령어 사용법을 알아 보자 해당 기능에 대한 문서 페이지는 메뉴얼을 참고 하여 만들었다. asn1parse 명령어로 간단히 문자 인코딩/디코딩을 할수 있고 복잡한 데이타는 설정을 이용해 만들 수 있다. 기본적으로 ASN.1 PEM 형식 파싱 해서 보기 openssl asn1parse -in file.pem ASN1 DER 형식 파일 보기 openssl asn1parse -inform DER -in file.der UTF8String 문자 생성하기 openssl asn1parse -genstr "UTF8:Hello world" 결과 값 0:d=0 hl=2 l= 11 prim: UTF8STRING :Hello world UTF8String DER 파일로 생성하기 o..

메세지 인증 코드라는 MAC 기능을 OpenSSL 명령어를 사용해 구해 보자 사실 MAC 값을 구하기 위해 방식은 여러가지가 있다. 일반적으로는 Hash를 사용하는 HMAC과 Cipher-based MAC 인 CMAC이 가장 대표적이다. 그리고 블록 암호에서 사용되는 GCM 모드를 이용한 GMAC 등이 있다. 이 명령어에 대한 메뉴얼을 참고 하여 만들었다. HMAC-SHA1 MAC openssl mac -digest SHA1 -macopt hexkey:000102030405060708090A0B0C0D0E0F10111213 -in msg.bin HMAC HMAC 지원 목록 확인 openssl list -digest-commands HMAC 지원 목록 결과 화면 blake2b512 blake2s256 md..

[이 기능은 라이선스 버전 기능입니다] 보통 블록 암호 사용시 대칭키를 사용해야 하는데 사실 사람들이 기억할 수 있는 패스워드를 사용해 키를 만들어야 하는 경우가 있다. 패스워드를 사용해 키를 추출 할때 사용하는것이 PBKDF 이다. 예를 들면 우리가 인터넷 뱅키에서 인증서를 사용하는데 그때 사용자는 인증서 선택후 패스워드를 입력한다. 이때 입력한 패스워드를 가지고 해당 인증서의 개인키를 복호화 한다. 암호화된 개인키를 복호화는 대칭키 암호화 방식으로 사용하는 키는 패스워드를 직접 사용하는게 아닌 PBKDF 를 통해서 키를 만들어서 사용하는 것이다. 기본적으로 PBKDF 는 Password-Based Key Derivation Function 의 약자로 키 추출 함수이다. 그리고 PBKDF1과 PBKDF..

Message Digest는 임의의 길이를 단방향 해쉬 함수에 적용하여 일정한 길이로 생성된 비트열이다. 즉 해쉬의 결과 값으로 보면 된다. 해쉬 함수 즉 해쉬 라고 말하는 임의의 길이를 갖는 데이타에 대해 고정된 길이로 데이타를 매핑하는 단방향 함수를 말한다. OpenSSL 을 이용해 해쉬 함수 기능을 이용해 Message Digest 값을 구해 보자. 여기서 작성한 기능은 메뉴얼 문서를 참조 하여 만들었다. 먼저 지원 하는 메세지 다이제스트 목록을 확인 하자 openssl dgst -list Supported digests: -blake2b512 -blake2s256 -md5 -md5-sha1 -ripemd -ripemd160 -rmd160 -sha1 -sha224 -sha256 -sha3-224 -..

OpenSSL 명령어를 이용하여 암/복호화를 해보자 해당 명령어에 대한 메뉴얼을 참조 하였다. 먼자 사용 가능한 블럭 암호 목록을 확인 해보자 openssl enc -ciphers [RANIX@DESKTOP-VOGBKQM ~]$ openssl enc -ciphers Supported ciphers: -aes-128-cbc -aes-128-cfb -aes-128-cfb1 -aes-128-cfb8 -aes-128-ctr -aes-128-ecb -aes-128-ofb -aes-192-cbc -aes-192-cfb -aes-192-cfb1 -aes-192-cfb8 -aes-192-ctr -aes-192-ecb -aes-192-ofb -aes-256-cbc -aes-256-cfb -aes-256-cfb1 -aes..

OpenSSL 에서 간단히 CA 인증서와 인증서 발급 및 CRL 을 생성하는 Perl 명령어가 CA.pl 이다. OpenSSL 을 이용해서 인증서 및 CRL 생성을 위해서는 이 툴이 가장 쉽게 할 수 있다. 이 파일은 openssl/ssl/misc 폴더에 존재 한다. 물론 이 명령어를 실행 하기 위해서는 perl 이 설치 되어 있어야 한다. 이 문서는 명령어 메뉴얼 페이지를 참조 해서 만들었다. 이 명령어 테스트는 리눅스 환경이다. (윈도우 환경은 터미널 입력에 문제가 있어서 리눅스나 맥에서 하는걸 추천 함 ) 초기 인증서를 만들려면 루트 CA이면서 CA인증서를 먼저 만들어 주어야 한다. 1. CA 인증서 만들기 먼저 CA인증서를 만들려면 CA.pl -newca 명령어를 실행 한다. 이때 이미 명령어를 ..

ASN.1 관련 정보를 보다 보면 OID 에 대해서 자주 접하게 된다. 실제 OID에 대한 인코딩 포맷은 여기서 확인이 가능 하다. OID 정의를 확인 해 보면 다음 과 같다. OID (Object Identifier) 이라? ㅇ 지속성있는 유무형의 객체를, 전세계적으로 유일하게 식별하기 위한 ID 체계 ㅇ 여기서, 객체(Object)에 대한 일반적 정의는, - 실세계는 물론 전기,전자,통신 분야에서, 어떤 식별을 위한 응용 개체들을 지칭함 - 개략적으로, 각각 또는 동일 유형 객체들의 그룹핑 전체를 총칭함 - 추상적인 정의로서, 이 세상에 식별될 필요가 있는 그 어떤 것도 대상이 됨 ㅇ 공동 표준 : ITU-T X.680 & ISO/IEC 8824-1 영문으로 된 부분을 찾아서 인용 하면 다음 과 같다..