Warehouse of PKI

소유자 대체 명칭 확장 필드는 소유자에 대한 추가적인 명칭을 나타낸다. 즉 Subject DN의 추가 명칭 정보를 나타낸다. 참고로 소유자 대체 명칭과 같은 형식을 사용하는 발급자 대체 명칭 (Issuer Alternative Name) 도 존재 하는데 이 값은 발급자 즉 인증기관의 추가 적인 명칭을 나타낸다. 아래 그림은 Subject Alternative Name 을 사용한 인증서 예제 이다. 이 그림에서는 DNS 이름 정보를 소유자 대체 명칭으로 사용 되었다. 소유자 대체 명칭의 종류 소유자 대체 명칭의 타입에는 9가지 형식이 지원 된다. rfc822Name : 인터넷 전자 메일 dNSName : DNS 이름 iPAddress : IP 주소 uniformResourceIdentifier : URL ..

인증서 유효 기간 (Validty) 이란? 인증서 유효 기간은 CA 인증서가 발급한 인증서 정보에 대한 유효한 상태를 나타내는 시간의 간격을 말한다. 즉 해당 인증서의 유효한 기간을 말하는 것이다. 이 필드는 두개의 날짜를 SEQUENCE 형식으로 값이 표현 된다. ASN.1 형식 Validity ::= SEQUENCE { notBefore Time, notAfter Time } Time ::= CHOICE { utcTime UTCTime, generalTime GeneralizedTime } 유효 기간의 정보에는 두가지 필드가 존재 하는데 notBefore 필드와 notAfter 필드이다. 아래 그림 참조 이 예제 그림의 인증서의 유효 기간은 2022년 5월 23일 09시 부터 2023년 6월 8일 0..

인증서 정책 (Certificate Policies ) 용도 인증서 정책은 X.509 인증서의 확장 필드이다. 이 필드는 인증서를 발급하는 CA에서 해당 발급된 인증서 정책을 나타내는 것이다. 즉 한마디로 해당 인증서의 용도를 알려 주는 확장 필드 이다. 인증서 정책 예제 아래 그림은 SSL 인증서에서 인증서 정책 필드에 대한 예제이다. 해당 그림에서 처럼 인증서 정책 OID 정보와 CPS ( Certificate Practice Statement ) 정보가 나온다. 여기서 CPS 는 URI 형식의 정보이다. 해당 CPS 정보의 URI 주소를 참조 하면 해당 인증서 용도에 대한 내용을 확인 할 수 있다. 그리고 인증서 정책 정보에는 User Notice 정보도 존재 하는데 이 정보는 신뢰 당사자에게 인증..

X.509 인증서 기본 프로파일에서 주체키 식별자와 기관키 식별자 값이 존재한다. 이 식별자는 인증서의 경로 구성을 하기 위하여 공개키에 대한 구별 값으로 사용되는 값이다. 이 필드는 X.509 v3 에서 확장 필드의 값이다. 주체키 식별자 (Subject Key Identifier) 주체키 식별자는 해당 인증서의 공개키를 구별하기 위한 값이다. 주체키 식별자 ASN.1 id-ce-subjectKeyIdentifier OBJECT IDENTIFIER ::= { id-ce 14 } SubjectKeyIdentifier ::= KeyIdentifier이렇게 KeyIdentifier 값 하나를 사용한다. 아래 인증서 그림에서 파란색 부분이 주체키 식별자(Subject Key Identifier) 값이다 이 값..

X.509 에서 CA 인증서의 필수 값인 Basic Constraints 에 대해서 알아보자. 보통 한글로는 기본 제한 이라고 표현한다. 아래 그림을 보면 X.509 CA 인증서에서 basicConstrains 값이 존재 한다. CA( RootCA 포함) 인증서에서는 필수로 이 값이 존재한다. 한마디로 CA 인증서를 만들려면 이 확장 필드가 필수 값이다. Basic Constrains ASN.1 정의 id-ce-basicConstraints OBJECT IDENTIFIER ::= { id-ce 19 } BasicConstraints ::= SEQUENCE { cA BOOLEAN DEFAULT FALSE, pathLenConstraint INTEGER (0..MAX) OPTIONAL } 위 ASN.1 정의..

일반적으로 BER과 DER 은 PKI 에서 많이 사용된다. 특히 DER 은 BER의 서브셋으로 좀더 명확히 값을 제한 하였다고 보면 된다. 그리고 DER 과 다른 또다른 BER 의 서브셋인 CER 이있다. 그럼 CER이 무엇인지 DER과 차이점을 알아보자 CER 특성 모든 유효한 CER 인코딩이 유효한 BER 인코딩이라는 점에서 BER과 유사하다. BER은 대부분의 값을 인코딩하는 여러 방법을 허용하는 반면, CER은 주어진 값에 대해 이러한 방법 중 하나만 허용한다고 규정합니다 (예: BER은 BOOLEAN의 경우 00 값이 FALSE이고 0이 아닌 값은 TRUE라고 말하지만 CER은 00은 FALSE이고 FF는 TRUE이며 값 01-FE는 거짓임을 나타내다) DER은 주어진 값을 인코딩하는 단일 방법..

ASN.1(Abstract Syntax Notation One)은 데이터 표현 형식의 규칙을 정의하기 위한 표기법이다. ASN.1 인코딩은 일반적으로 바이트 스트림으로 표현되며 인코딩 형식은 데이터의 크기를 최소화하고, 다양한 플랫폼과 언어 간에 데이터를 상호 전환할 수 있도록 한다. ASN.1 인코딩에는 다양한 형식이 있는데 BER( Basic Encoding Rules ), PER (Packed Encoding Rules), CER (Canonical Encoding Rules) DER (Distingushed Encoding Rules ) OER, XER, JER 등이 있다. 그럼 각각의 인코딩 특징은 다음과 같다. 이글은 oss.com 에 있는 정보를 참고 하였다 [참고자료] BER DER CER..

X.509 인증서 필드 중에 KeyUsage 라는 필드가 있다. 이 필드는 해당 인증서에 있는 비대칭키의 사용 목적을 정의한 필드이다. 아래 그림은 RootCA 인증서의 KeyUsage 필드를 볼 수 있다. 이 인증서의 keyUsage 내용은 keyCertSign, cRLSign 으로 나오는데 인증서 서명 및 CRL 서명용이라는 뜻이다. 해당 필드의 ASN.1 형식은 다음과 같다. id-ce-keyUsage OBJECT IDENTIFIER ::= { id-ce 15 } KeyUsage ::= BIT STRING { digitalSignature (0), nonRepudiation (1), keyEncipherment (2), dataEncipherment (3), keyAgreement (4), keyC..

이글은 Pratical Cryptograpy for developers 에 있는 내용을 번역한 글입니다.[원문] 현대 암호화 개요 ( Overview of Modern Cryptography ) 암호화는 최초의 시도(수천년 전)에서 시작 되어서 개발자를 위한 최초의 성공적인 암호화 알고리즘(현재는 은퇴한 MD5 및 DES와 같은)을 통해 최신 암호화 알고리즘(SHA-3, Argon2 및 ChaCha20과 같은)으로 발전했습니다. 먼저 간단히 소개 하면 암호화 해시 기능(SHA-256, SHA3, RIPEMD 등), HMAC(해시 메시지 인증 코드), 키 파생 기능에 대한 암호(예: Scrypt), Diffie-Hellman 키 교환 프로토콜, 대칭 키 암호화 체계(예: CBC 및 CTR 블록 모드를 사용..

이 글은 [출처] Practical Cryptographiy for Developer 에서 나오는 EdDSA 와 Ed25519 에 관한글을 번역 한 것이다. EdDSA(Edwards-curve Digital Signature Algorithm)는 255비트 곡선 및 448비트 곡선과 같은 성능 최적화 타원 곡선을 기반으로 하는 현대적이고 안전한 디지털 서명 알고리즘입니다. EdDSA 서명은 각각 edwards25519 및 edwards448인 타원 곡선의 Edwards 형식(성능상의 이유로)을 사용합니다. EdDSA 알고리즘은 ECDLP 문제의 난이도를 기반으로 하며 이에 의존합니다. EdDSA 서명 알고리즘과 그 변형인 Ed25519 및 Ed448은 RFC8032 에 기술적으로 설명되어 있습니다. Ed..