Warehouse of PKI

PKI 관련 개발을 하다 보면 가장 중요하게 관리 되어야 하는게 키 관리이다. 이 키 관리를 하기 위해서 키 관리 시스템이라고 부르는 KMS를 두고 키를 관리 한다. 키 관리 시스템경우 다양하게 만들어져 있다 보니 키 관리 시스템에 대한 표준이 필요하다고 생각하여서 알게 된것이 KMIP 이다. [자료 출처] https://stormagic.com/resources/beginners-guides/kmip-beginners-guide 아래 글은 위의 자료 출처의 글을 번역 한것이다. KMIP 란 무엇인가? 간단히 말해서, KMIP(Key Management Interoperability Protocol)는 플랫폼 전반에 걸쳐 안전한 데이터 관리를 위한 표준 프로토콜입니다. 이는 키 관리 시스템과 암호화 지원..

PKI 시스템에서 사용하는 인증서는 인증서 마다 사용하는 용도가 있다. 그중에서 많이 사용하는 대표적인 인증서의 용도가 SSL 인증서와 코드 서명용 인증서가 있다. SSL 인증서는 일반적으로 웹서버에서 HTTPS 통신을 하기위해 사용하는 인증서이다. 코드서명 (Code Sign) 인증서는 앱이나 프로그램 또는 라이브러리 같은 바이너리 파일에 위변조를 방지 하기위해 전자 서명을 하기 위해 사용하는 인증서이다. 그럼 SSL 인증서와 코드 서명용 인증서가 맞는지 구별 하기 위해서는 인증서에는 용도별로 인증서가 가져야 하는 필드가 존재한다. 여기서 인증서 정보의 필드를 보기 위해서 BerEditor 를 사용하였다. 인증서 용도 구별 필드 SSL 인증서와 코드 서명 인증서 용도를 구별 하기 위해 확인이 필요한 주..

PKI 시스템에서 가장 중요하게 관리 되어야 하는것이 개인키이다. 그래서 개인키는 암호화를 해서 보관하는것이 일반적이다. 물론 좀더 안전하게 보관하기 위해 HSM 장치를 이용하는 방법도 있다. 그러면 이 개인키를 암호화에 사용되는 두가지 기술 표준이 있다. 그 두가지 기술 표준이 PKIX 에서 PKCS#8 과 PKCS#12 두가지 기술이 있다. 그럼 PKCS#8 과 PKCS#12 에 대해서 알아 보자 PKCS#8 PKCS#8 은 개인키 만을 암호화 하기 위해 사용 되는 표준 기술이다 [ RFC5208 ] 개인키 암호를 위해서 PrivateKeyInfo 와 EncryptedPrivateKeyInfo 두가지 ASN.1 형식이 사용된다. 먼저 개인키를 암호화 하기 전에 PrivateKeyInfo 형식으로 개인..

PKI 시스템을 접하다 보면 항상 듣게 된는 단어가 있다. PKI 시스템에서 전자 서명을 하기 위해서 주로 나오는 단어가 인증서, 공개키 그리고 개인키 이다. 물론 이 용어를 PKI 를 접하게 되면 기본적으로 이해를 하고 있다고 본다. 하지만 좀더 쉽게 이야기를을 해 보자. 사실 개인키 공개키와 그리고 인증서는 전자 서명을 위해서 사용하는 용어이다. 전자 서명값 만든는 키는 개인키 전자 서명값을 검증하는 키는 공개키 공개키에 대한 소유자에 대한 증명서가 인증서 이다. 전자 서명에 대한 개념은 [전자서명과 인증서 이야기] 부분을 참고하자. 개인키란? 개인키는 전자 서명값을 만들기 위한 키 이다. 그 말은 개인키가 절대 소유자가 아닌 다른 사람에게 전달 되어서는 안된다. PKI 시스템의 주요 핵심 보안 요소..

PKI 관련 개발을 하면서 여러가지 암호화 관련 라이브러리가 존재한다. 하지만 개인적으로 가장 많이 사용하고 참고 하는 것은 OpenSSL 과 MbedTLS 이다. 이 두가지를 주로 사용하면서 내가 생각하는 차이점에 대해 비교해 보자 OpenSSL 특징 TLS 1.3 이 지원 된다. FIPS 인증 기능 지원 다양한 ASN.1 포맷이 지원됨 ( CMP, OCSP, TSP 등등 ) 다양한 알고리즘이 제공 된다. ASN.1 인코드/디코드가 매크로를 사용한다. OpenSSL 명령어를 이용해 API 기능 테스트가 가능 하다. 기능이 많고 소스 코드가 많이 복잡하다. Apache V2 라이센스 (OpenSSL 3.0 해당) sm2 sm3 그리고 sm4 중국 알고리즘 지원 MbedTLS 특징 TLS 1.3 지원 된다..

전자 서명과 인증서는 사실 PKI 분야에 상당히 기술적인 내용이다. 이 부분을 좀 더 쉬운 말로 설명을 해보자 실 생활에서 전자서명과 인증서를 비교 하기 가장 좋은게 "인감 증명서" 라고 생각한다. 인감 증명서는 오프라인상으로 어떤 서류를 작성하고 날인을 통해 그 날인이 유효한 도장인지 확인 해 주는 증명서이다. 이 과정이 사실 오프라인으로 사람 들이 직접 하게 된다. 오프라인 상에서 이루어진 이런 일들을 정보화 사회로 변하면서 디지털화와 온라인상으로 하게 되면서 어떤 서류 데이타에 대해 개인키를 사용해 전자 서명 하고 그 서명 값을 공개키를 이용해서 검증을 하게 된다. 그리고 그 공개키에 대한 증명서가 인증서이다. 사실 오프라인상에서는 해당 사람이 신원 확인과 서류를 가지고 직접 도장을 찍고 또한 그 ..

요즘 많은 분야에서 PKI 라는 용어가 사용 된다. 오랫동안 이 분야에 관한 업무를 하다 보니 PKI 는 사실 많은 시스템에 약방의 감초 같은 역활을 하는거 같다. 사실 PKI는 독립적으로만 쓸 수는 없어도 어디서든 쓰이는 정말 감초가 아닐까 한다. 그래서 이번에 PKI 개념 정리를 해 보자. 1. PKI 정의 PKI ( Public Key Infrastructure) 는 사용자 또는 장치들을 인증하기 위해 공개 키 암호화를 사용을 지원하는 기능, 정책 및 서비스 시스템을 말한다. 사실 이 시스템의 구성 요소에 대한 정의 표준은 없지만 일반적으로 인증기관인 CA, 등록기관인 RA을 구성하고 이 CA에서 발행하는인증서를 이용해 사용자 또는 장치를 인증하는 기반 시스템을 말한다. 일반적 비대칭키과 암호화 시..

사실 e 메일은 보낸 사람의 신뢰성에 취약한 점이 있다. 그것을 보완하기 위해 GnuPG 를 이용해 송신자의 전자 서명 및 암호화 기능을 사용할 수 있어서 윈도우 환경에서 사용법을 기록해 두었다. 현재 GnuPG 경우 사용자의 공개키 공유가 우선 이루어 져야 하는데 특정 서버를 통해 공유 할 수 없어서 메일이나 다른 방법으로 우선 공유 되어야 한다. 1. GnuPG 개요 Gnu Privacy Guard 의 약자로 PGP의 오픈소스로 구현한 것이다. 표준 문서는 RFC 4880 이다. GnuPG는 Free Software Foundation에서 OpenPGP 표준에 따라 개발한 프로그램이며 윈도우용 이름은 Gpg4win 이다 GPL(GNU General Public License) 라이센스 정책하에서 무료..

OpenSSL 은 0.9.xx 에서 그리고 1.1.1x 버전에서 3.0 버전(출시일: 2021-09-07) 으로 나왔다. 현재 3.0 버전에서는 FIPS모듈의 사용과 새로운 기능을 활용해야 하는 경우 3.0 으로 변경을 해야 한다. 글을 쓰는 이 시점에는 3.1 버전 (출시일: 2023-03-14) 까지 나와 있다. 그럼 주요 변경 사항에 대해 알아 보자. 이 글은 OpenSSL 3.0 위키를 참조 하였다. 1. 라이센스 변경 - 기존 openssl 은 OpenSSL 과 SSLeay 라이센스에서 Apache License v2 로 변경 되었다. 이 부분은 GPL 라이센스와의 문제를 해결하기 위해 변경 되었다. 2. FIPS 인증 모듈 포함 - Openssl 1.1.1 에서는 FIPS 모듈을 따로 패키지 ..

PKI 관련 일을 하면 인증서나 개인키를 다루게 되는 데 이때 이들의 파일마다 다양한 확장자를 다루게 된다. 이때 주로 만나게 되는 확장자가 pem, cer, der, crt, csr, pfx, p12 또는 key 이다. 이런 확장자에 대해서 한번 정리를 해 보면 다음과 같다. PEM PEM (Privacy Enhanced Mail)은 Base64 로 인코딩한 텍스트 형식의 파일입니다. Binary 형식의 파일을 전송할 때 손상될 수 있으므로 TEXT 로 변환하며 소스 파일은 모든 바이너리가 가능하지만 주로 인증서나 개인키가 됩니다. 실제로 Base64 인코딩된 데이타에 포맷에 처음과 끝 부분에 -----BEGIN, -----END 에 파일에 대한 타입 정보가 들어가는데 어떤 바이너리 파일을 PEM 으로..