Warehouse of PKI

[자료 출처] https://www.keyfactor.com/blog/what-is-acme-protocol-and-how-does-it-work [RFC 8555] Automatic Certificate Management Environment (ACME) ACME 란 무엇인가? ACME( Automated Certificate Management Environment)는 사람의 개입 없이 인증서 발급 및 갱신을 자동화할 수 있는 프로토콜입니다. ISRG(인터넷 보안 연구 그룹)는 처음에 도메인 검증(DV) 인증서를 무료로 제공하는 무료 개방형 인증 기관(CA)인 자체 인증서 서비스인 Let's Encrypt를 위한 ACME 프로토콜을 설계했습니다. 오늘날 다양한 다른 CA, PKI 공급업체 및..

PKI 관련 개발을 하다 보면 가장 중요하게 관리 되어야 하는게 키 관리이다. 이 키 관리를 하기 위해서 키 관리 시스템이라고 부르는 KMS를 두고 키를 관리 한다. 키 관리 시스템경우 다양하게 만들어져 있다 보니 키 관리 시스템에 대한 표준이 필요하다고 생각하여서 알게 된것이 KMIP 이다. [자료 출처] https://stormagic.com/resources/beginners-guides/kmip-beginners-guide 아래 글은 위의 자료 출처의 글을 번역 한것이다. KMIP 란 무엇인가? 간단히 말해서, KMIP(Key Management Interoperability Protocol)는 플랫폼 전반에 걸쳐 안전한 데이터 관리를 위한 표준 프로토콜입니다. 이는 키 관리 시스템과 암호화 지원..

PKI 시스템에서 사용하는 인증서는 인증서 마다 사용하는 용도가 있다. 그중에서 많이 사용하는 대표적인 인증서의 용도가 SSL 인증서와 코드 서명용 인증서가 있다. SSL 인증서는 일반적으로 웹서버에서 HTTPS 통신을 하기위해 사용하는 인증서이다. 코드서명 (Code Sign) 인증서는 앱이나 프로그램 또는 라이브러리 같은 바이너리 파일에 위변조를 방지 하기위해 전자 서명을 하기 위해 사용하는 인증서이다. 그럼 SSL 인증서와 코드 서명용 인증서가 맞는지 구별 하기 위해서는 인증서에는 용도별로 인증서가 가져야 하는 필드가 존재한다. 여기서 인증서 정보의 필드를 보기 위해서 BerEditor 를 사용하였다. 인증서 용도 구별 필드 SSL 인증서와 코드 서명 인증서 용도를 구별 하기 위해 확인이 필요한 주..

PKI 시스템에서 가장 중요하게 관리 되어야 하는것이 개인키이다. 그래서 개인키는 암호화를 해서 보관하는것이 일반적이다. 물론 좀더 안전하게 보관하기 위해 HSM 장치를 이용하는 방법도 있다. 그러면 이 개인키를 암호화에 사용되는 두가지 기술 표준이 있다. 그 두가지 기술 표준이 PKIX 에서 PKCS#8 과 PKCS#12 두가지 기술이 있다. 그럼 PKCS#8 과 PKCS#12 에 대해서 알아 보자 PKCS#8 PKCS#8 은 개인키 만을 암호화 하기 위해 사용 되는 표준 기술이다 [ RFC5208 ] 개인키 암호를 위해서 PrivateKeyInfo 와 EncryptedPrivateKeyInfo 두가지 ASN.1 형식이 사용된다. 먼저 개인키를 암호화 하기 전에 PrivateKeyInfo 형식으로 개인..

PKI 시스템을 접하다 보면 항상 듣게 된는 단어가 있다. PKI 시스템에서 전자 서명을 하기 위해서 주로 나오는 단어가 인증서, 공개키 그리고 개인키 이다. 물론 이 용어를 PKI 를 접하게 되면 기본적으로 이해를 하고 있다고 본다. 하지만 좀더 쉽게 이야기를을 해 보자. 사실 개인키 공개키와 그리고 인증서는 전자 서명을 위해서 사용하는 용어이다. 전자 서명값 만든는 키는 개인키 전자 서명값을 검증하는 키는 공개키 공개키에 대한 소유자에 대한 증명서가 인증서 이다. 전자 서명에 대한 개념은 [전자서명과 인증서 이야기] 부분을 참고하자. 개인키란? 개인키는 전자 서명값을 만들기 위한 키 이다. 그 말은 개인키가 절대 소유자가 아닌 다른 사람에게 전달 되어서는 안된다. PKI 시스템의 주요 핵심 보안 요소..

PKCS#11 API 를 사용에서 현재 연결 상태 정보를 확인 하기 위한 구조체가 있다. 즉 현재 세션에 대한 구조체 정보를 확인 하기 위한 구조체가 CK_SESSION_INFO 구조체 이다. CK_SESSION_INFO 정의 typedef struct CK_SESSION_INFO { CK_SLOT_ID slotID; CK_STATE state; CK_FLAGS flags; CK_ULONG ulDeviceError; } CK_SESSION_INFO; 이 정보를 얻기 위한 API 가 C_GetSessionInfo 함수를 이용한다. 각각의 구조체 정보의 정의를 보면 slotID : 토컨 인터페이스 슬롯의 ID state : 세션에 대한 상태 flags : 비트 플래그로 CKF_RW_SESSION 과 CKF_..

일반적으로 전자 서명은 원문에 대한 해쉬값을 개인키로 암호화 하게 된다. 그래서 PKCS#11 함수에서 C_SignInit -> C_SignUpdate (반복) C_SignFinal 과정을 사용하여 값을 구한다. 참고로 C_SignUpdate 경우에 본문을 여러개로 나누어서 보내 경우 반복을 하게 된다. 즉 C_SignInit 에서는 어떤 키와 메커니즘을 알려주고 C_SignUpdate 에서는 원문 내용을 받게 되고 C_SignFinal에서 원문에 대한 해쉬 값을 구하여 서명 값을 얻게 되는것이다. 그리고 원문을 한번에 보내는 C_SignInit 과 C_Sign 함수로 바로 구할 수도 있다. 하지만 다음 메커니즘 경우는 C_SignInit 다음 바로 C_Sign 함수 만 호출 해야 한다. 즉 C_Sign..

일반적으로 ECDSA 공개키를 인증서에서 값을 읽어 보면 항상 첫 바이트가 0x04 값으로 시작 한다. 그리고 ECDSA 공개키 경우 보통 P-256 파라미터를 사용하면 64 바이트 길이어야 하는데 0x04 가 붙음으로 65 바이트가 된다. 위 그림에서 03 42 00 04 ... 이렇게 진행 하는데 03 은 BitString 이구 42 는 66 바이트이구 00 은 사용하지 않는 비트 개수이구 04 부터 공개키 값이다 즉 이렇게 04 부터 시작하는 것을 알 수 있다. 그럼 이 0x04 값의 의미는 무엇인가? 이 내용에 대해서는 RFC5480 문서에서 다음과 같은 내용이 나온다. o The first octet of the OCTET STRING indicates whether the key is comp..

우리나라에서 사용하는 공동 인증서에서 사용하는 본인 확인 식별 번호인 VID 인증서 규격이 있다. 이 규격은 현재 공동 인증서에서 사용된다. 대한민국 국민이라면 누구나 가지고 있는 주민번호가 있는데 이 정보와의 연결 값이 VID 이다 이 값은 인증서에 있는 시리얼 번호랑 다른 것이다. 실제로 VID 값은 주민번호를 바로 사용하는 것이 아니라 해당 주민번호를 변형하여 변형 된 값으로 들어가 있다. 이 값은 실제 주민번호를 알면 VID 정보와 맞는지 확인만 가능한 정보이다. 인증서는 누구에게나 공개된 정보라 VID 때문에 주민 번호가 노출 될 염려는 없다. 이 값은 인증서 프로파일 중 주체 대체 이름( Subject Alternative Name ) 에서 other Name 형식을 사용하여 기록 된다. 아래..

X.509 인증서의 기본 개념은 공개키를 CA가 보증 하는 증명서 역활이다. 인증서는 이 공개키 값과 이를 증명하기 위한 전자 서명 값이 들어간다. 즉 인증서의 핵심 기능이 이것이다. 주체자 공개키 정보 공개키 정보는 해당 인증서에서 사용하는 공개키 정보인데 두가지 값이 들어 있다 algorithm : 해당 공개키가 사용하는 RSA ECC DSA 같은 알고리즘이다. subjectPublicKey : 실제 공개키 값이 들어 있다. 보통 subjectPublicKey 값의 SHA1 해쉬가 KeyIdentifier 값으로 사용 된다. RSA 공개키 값에 대한 예제 화면이다 위 예제에서는 RSA 공개키 알고리즘을 사용하는 공개키 값이다. 공개키 정보 ASN.1 SubjectPublicKeyInfo ::= SEQ..