Warehouse of PKI

이번에는 ECDSA 알고리즘에서 사용하는 개인키 포맷에 대해 알아 보자 먼저 ECDSA 개인키 포맷은 RFC5915 에 정의 되어 있다. ASN.1 형식 ECPrivateKey { iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) id-mod-ecprivateKey(65) } DEFINITIONS EXPLICIT TAGS ::= BEGIN -- EXPORTS ALL; IMPORTS -- FROM New PKIX ASN.1 [RFC5912] ECParameters, NamedCurve FROM PKIXAlgs-2009 { iso(1) identified-organization(3) d..

PKI 및 비대칭키 암호화에서 주로 사용 되는 알고리즘이 RSA 와 ECDSA 알고리즘이다. 여기서는 RSA와 ECDSA 수학적인 내용 보다는 업무에서 알게 된 내용이다. 실제로 두개의 알고리즘 자료는 검색해 보면 아주 많이 존재한지만 나만의 생각을 정리를 해보았다. 1. RSA 알고리즘 Ron Rivest, Adi Shamir 그리고 Leonard Adleman 의 연구실에서 1978년도에 세 사람의 이름의 약자를 따서 만들어 졌다. RSA 안정성은 큰 숫자를 소인수 분해가 어렵다는것에 기반을 둔 비 대칭키 알고리즘 이다. 큰 수의 소인수 분해를 빠르게 할 수 있다면 RSA는 무너진다.( 양자 암호에서는 빠르게 분해 방법 발표 함 ) 2. ECDSA 알고리즘 Neal Koblitz 와 Victor Mi..

요즘 많은 분야에서 PKI 라는 용어가 사용 된다. 오랫동안 이 분야에 관한 업무를 하다 보니 PKI 는 사실 많은 시스템에 약방의 감초 같은 역활을 하는거 같다. 사실 PKI는 독립적으로만 쓸 수는 없어도 어디서든 쓰이는 정말 감초가 아닐까 한다. 그래서 이번에 PKI 개념 정리를 해 보자. 1. PKI 정의 PKI ( Public Key Infrastructure) 는 사용자 또는 장치들을 인증하기 위해 공개 키 암호화를 사용을 지원하는 기능, 정책 및 서비스 시스템을 말한다. 사실 이 시스템의 구성 요소에 대한 정의 표준은 없지만 일반적으로 인증기관인 CA, 등록기관인 RA을 구성하고 이 CA에서 발행하는인증서를 이용해 사용자 또는 장치를 인증하는 기반 시스템을 말한다. 일반적 비대칭키과 암호화 시..

사실 e 메일은 보낸 사람의 신뢰성에 취약한 점이 있다. 그것을 보완하기 위해 GnuPG 를 이용해 송신자의 전자 서명 및 암호화 기능을 사용할 수 있어서 윈도우 환경에서 사용법을 기록해 두었다. 현재 GnuPG 경우 사용자의 공개키 공유가 우선 이루어 져야 하는데 특정 서버를 통해 공유 할 수 없어서 메일이나 다른 방법으로 우선 공유 되어야 한다. 1. GnuPG 개요 Gnu Privacy Guard 의 약자로 PGP의 오픈소스로 구현한 것이다. 표준 문서는 RFC 4880 이다. GnuPG는 Free Software Foundation에서 OpenPGP 표준에 따라 개발한 프로그램이며 윈도우용 이름은 Gpg4win 이다 GPL(GNU General Public License) 라이센스 정책하에서 무료..

OpenSSL 은 0.9.xx 에서 그리고 1.1.1x 버전에서 3.0 버전(출시일: 2021-09-07) 으로 나왔다. 현재 3.0 버전에서는 FIPS모듈의 사용과 새로운 기능을 활용해야 하는 경우 3.0 으로 변경을 해야 한다. 글을 쓰는 이 시점에는 3.1 버전 (출시일: 2023-03-14) 까지 나와 있다. 그럼 주요 변경 사항에 대해 알아 보자. 이 글은 OpenSSL 3.0 위키를 참조 하였다. 1. 라이센스 변경 - 기존 openssl 은 OpenSSL 과 SSLeay 라이센스에서 Apache License v2 로 변경 되었다. 이 부분은 GPL 라이센스와의 문제를 해결하기 위해 변경 되었다. 2. FIPS 인증 모듈 포함 - Openssl 1.1.1 에서는 FIPS 모듈을 따로 패키지 ..

이제 PKCS#11 에 정의 된 C API 에 대한 설명과 사용에 대한 예시를 설명한다. PKCS#11 Functions 일반 목적의 함수 Initialize, GetInfo, Fianlize, GetFuctionList 슬롯 및 토큰 관리 GetSlotList, GetSlotInfo , InitToken, InitPIN, SetPIN, WaitForSlotEvent, GetTokenInfo, GetMechanismList, GetMechanismInfo 객체 관리 CreateObject, CopyObject, DestrotyObject, GetObjectSize, GetAttributeValue, SetAttributeValue, FindObjectInit, FindObject, FindObjectFi..

PKCS#11 에 정의 된 기술적으로 좀 더 구체적으로 분석해 보자 PKCS#11 객체 모델(Object Model) 다음 그림이 객체에 대한 모델 구조도 이다. Cryptoki 라이브러리에서는 데이타, 인증서 그리고 키에 대해 정의 한다. 속성(Attributes)은 객체를 구별 하는 특성이다. PKCS#11 객체 특성에 대한 구조도 PKCS#11 객체 특성 각각의 객체에 대해서는 그림 처럼 특성을 가지고 있다. 여기서 보여주는 특성의 주요한 특성의 일부분을 표현 했다. Cryptoki 에서는 두가지 유저 타입이 존재한다. Securyt Officer( SO ) : 보안토큰 초기화 및 사용자 PIN 설정 역활하는 타입 Normal User : 일반 보안토큰 실제 사용자 타입 Cryptoki 는 읽기/쓰..

PKI 기술에서 중요한 암호화와 키 사용을 하다 보면 키에 대해 안전한 보관과 암호기능을 제공하는 보안토큰을 사용하게 된다. 이 보안토큰을 사용할때 언급되는 만나게 되는 용어가 PKCS#11 이다. PKCS#11 소개 PKCS#11 은 Cryptographic Token Interface Standard 로 암호 서비스를 제공 하는 표준 API 정의를 말한다. 이 표준은 C 프로그래밍 언어를 사용하는 ANSI C 함수의 정의다. 이 정의 된 함수들을 Cryptoki 이름으로 동적 라이브러리에 만드는것에 대한 표준 기술이다. PKCS#11 장점 표준화된 라이브러리와 API 정의를 통하여 다양한 보안토큰에 대해 이를 사용하는 애플리케이션에서 상호 독립성을 만들어 준다. 즉 다양한 장치에 대한 애플리케이션 단..

TLS 프로토콜은 암호화 통신이다. 이 때 서버와 클라이언트 간에 키에 대한 합의가 이루어 져야 하는데 이 때 PRF를 통해 키를 생성한다. 현재 설명은 ECDH 를 통한 키 생성에 대한 내용이다. 참고로 아래 설명 하는 내용은 RFC5246 을 내용을 분석한 것이다. P_hash(secret, seed) = HMAC_hash(secret, A(1) + seed) + HMAC_hash(secret, A(2) + seed) + HMAC_hash(secret, A(3) + seed) + ... A() is defined as: A(0) = seed A(i) = HMAC_hash(secret, A(i-1)) PRF(secret, label, seed) = P_(secret, label + seed) 간단히 말..

이 글은 내가 ECDSA 기반 TLS 1.2 와 DTLS 1.2 스펙을 구현 하면서 알게 된 내용이다. 그러다 보니 알게 된 메모글이라 수시로 업데이트 할 예정이다. 기존에 TLS 관련 지식은 다음 링크를 참조 하면 된다. 여기서는 단지 개발 하면서 파악된 내용을 간단히 기록 하였다. 만약에 TLS에 관한 기본 지식을 파악하고 싶으면 아래 링크를 참조 하세요. TLS 에 관한 정보 링크 https://dokydoky.tistory.com/462 https://dokydoky.tistory.com/463 https://dokydoky.tistory.com/464 DTLS 특성 DTLS ( Datagram Transformt Layer ) 는 UDP 환경에서 TLS 전송을 하기 위한 프로토콜이다. 그리고 D..