Warehouse of PKI

보통 RSA 개인키나 공개키 경우 2048 bit 키 경우 즉 256 바이트 이다. 하지만 DER 뷰어 같은 툴로 보게 되면 256 바이트인 경우도 있고 257 바이트 인 경우도 있다. 그 이유는 값이 INTEGER 형이기 때문이다. INTEGER 형의 최상위 비트는 부호(음수/양수) 비트이기 때문이다. RSA 키 2048 비트 정보 경우 INTEGER 형의 값으로서 02 82 01 00 xxxxxxxxxxx 이렇게 01 00 으로 256 Bytes 로 나오는 경우도 있고 02 82 01 01 xxxxxxxxxxx 이렇게 01 01 으로 257 Bytes 로 나오는 경우도 있다. 길이 값이 01 01 는 값의 첫번째는 항상 0x00 으로 나오게 된다. 그 이유는 아래 INTEGER 에서 BER 인코딩 방..

SoftHSM은 PKCS#11 기능을 소프트웨어로 구현한 오픈소스 프로그램이다. 일반적으로는 HSM은 하드웨어 장치 이구 이것을 사용하기 위해 PKCS#11 API를 제공한다. 그래서 해당 하드웨어 장치가 필요하다. 하지만 SoftHSM은 별도의 하드웨어 없이 소프트웨어만으로 구현되어서 쉽게 PKCS#11 을 사용 할 수 있다. 물론 별도의 하드웨어로 제공하지 않으므로 안전성에 대해서는 약하지만 프로그램 개발에서는 아주 유용하다. https://www.opendnssec.org/softhsm/ 여기서 관련 소프트웨어에 대한 정보를 얻을 수 있다. 그럼 윈도우 환경에서 설치 방법에 대해서 알아보자 윈도우 설치 파일 위치 https://sourceforge.net/projects/softhsm4windows..

PKI 관련 개발을 하면서 여러가지 암호화 관련 라이브러리가 존재한다. 하지만 개인적으로 가장 많이 사용하고 참고 하는 것은 OpenSSL 과 MbedTLS 이다. 이 두가지를 주로 사용하면서 내가 생각하는 차이점에 대해 비교해 보자 OpenSSL 특징 TLS 1.3 이 지원 된다. FIPS 인증 기능 지원 다양한 ASN.1 포맷이 지원됨 ( CMP, OCSP, TSP 등등 ) 다양한 알고리즘이 제공 된다. ASN.1 인코드/디코드가 매크로를 사용한다. OpenSSL 명령어를 이용해 API 기능 테스트가 가능 하다. 기능이 많고 소스 코드가 많이 복잡하다. Apache V2 라이센스 (OpenSSL 3.0 해당) sm2 sm3 그리고 sm4 중국 알고리즘 지원 MbedTLS 특징 TLS 1.3 지원 된다..

ASN.1 정보를 가지고 개발 하기 위해서 ASN.1 컴파일러가 필요하다. 실제로 상용 버전의 컴파일러는 라이센스 비용이 비싸다 여기서는 현재 무료로 사용 가능한 오픈소스인 asn1c 기본 사용법이다. 해당 툴의 홈페이지에서 관련 설명과 GitHub 에서 소스를 다운 받을 수 있다. 그럼 asn1c 에 대해 사용법을 알아보자. ASN1C 설치 asn1c 를 소스파일을 풀어 보자 현재 다운 버전은 0.9.28 버전이다. tar zxvf asn1c-0.9.28.tar.gz cd asn1c-0.9.28 ./configure make make install 설치는 간단히 한다. 참고로 make install 은 root 권한이 필요하다. root 권한이 아니라면 sudo make install 을 해주면 된다...

전자 서명과 인증서는 사실 PKI 분야에 상당히 기술적인 내용이다. 이 부분을 좀 더 쉬운 말로 설명을 해보자 실 생활에서 전자서명과 인증서를 비교 하기 가장 좋은게 "인감 증명서" 라고 생각한다. 인감 증명서는 오프라인상으로 어떤 서류를 작성하고 날인을 통해 그 날인이 유효한 도장인지 확인 해 주는 증명서이다. 이 과정이 사실 오프라인으로 사람 들이 직접 하게 된다. 오프라인 상에서 이루어진 이런 일들을 정보화 사회로 변하면서 디지털화와 온라인상으로 하게 되면서 어떤 서류 데이타에 대해 개인키를 사용해 전자 서명 하고 그 서명 값을 공개키를 이용해서 검증을 하게 된다. 그리고 그 공개키에 대한 증명서가 인증서이다. 사실 오프라인상에서는 해당 사람이 신원 확인과 서류를 가지고 직접 도장을 찍고 또한 그 ..

일반적으로 블록 암호 경우 IV 값은 16바이트 길이를 사용한다. 물론 DES 알고리즘 경우는 8바이트이다. 여기서는 AES, ARIA와 같이 키 길이를 16 바이트 이상 사용하는 알고리즘에 대한 내용이다. 하지만 GCM 또는 CCM 모드 경우 IV 길이가 좀 더 다양하게 쓰인다. 그리고 인증 기능을 하는 Tag 값의 길이에도 제한이 있다. 물론 CTR 모드 경우 앞쪽 12바이트 사용하고 카운트 정보로 4바이트 사용하는 특성이 있지만 입력 IV길이는 16바이트 이다. 두 알고리즘에 대한 설명은 여기서 자세히 확인 할 수 있다. 이 문서에서는 실제 두가지 모드를 사용 시 값에 대한 특성에 대해 설명한다 GCM ( Galois/Counter Mode ) 와 CCM ( Counter with CBC-MAC )..

이번에는 ECDSA 알고리즘에서 사용하는 개인키 포맷에 대해 알아 보자 먼저 ECDSA 개인키 포맷은 RFC5915 에 정의 되어 있다. ASN.1 형식 ECPrivateKey { iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) id-mod-ecprivateKey(65) } DEFINITIONS EXPLICIT TAGS ::= BEGIN -- EXPORTS ALL; IMPORTS -- FROM New PKIX ASN.1 [RFC5912] ECParameters, NamedCurve FROM PKIXAlgs-2009 { iso(1) identified-organization(3) d..

PKI 및 비대칭키 암호화에서 주로 사용 되는 알고리즘이 RSA 와 ECDSA 알고리즘이다.여기서는 RSA와 ECDSA 수학적인 내용 보다는 업무에서 알게 된 내용이다.실제로 두개의 알고리즘 자료는 검색해 보면 아주 많이 존재한지만 나만의 생각을 정리를 해보았다.1. RSA 알고리즘Ron Rivest, Adi Shamir 그리고 Leonard Adleman 의 연구실에서 1978년도에 세 사람의 이름의 약자를 따서 만들어 졌다.RSA 안정성은 큰 숫자를 소인수 분해가 어렵다는것에 기반을 둔 비 대칭키 알고리즘 이다.큰 수의 소인수 분해를 빠르게 할 수 있다면 RSA는 무너진다.( 양자 암호에서는 빠르게 분해 방법 발표 함 )2. ECDSA 알고리즘Neal Koblitz 와 Victor Miller 가 1..

요즘 많은 분야에서 PKI 라는 용어가 사용 된다. 오랫동안 이 분야에 관한 업무를 하다 보니 PKI 는 사실 많은 시스템에 약방의 감초 같은 역활을 하는거 같다. 사실 PKI는 독립적으로만 쓸 수는 없어도 어디서든 쓰이는 정말 감초가 아닐까 한다. 그래서 이번에 PKI 개념 정리를 해 보자. 1. PKI 정의 PKI ( Public Key Infrastructure) 는 사용자 또는 장치들을 인증하기 위해 공개 키 암호화를 사용을 지원하는 기능, 정책 및 서비스 시스템을 말한다. 사실 이 시스템의 구성 요소에 대한 정의 표준은 없지만 일반적으로 인증기관인 CA, 등록기관인 RA을 구성하고 이 CA에서 발행하는인증서를 이용해 사용자 또는 장치를 인증하는 기반 시스템을 말한다. 일반적 비대칭키과 암호화 시..

사실 e 메일은 보낸 사람의 신뢰성에 취약한 점이 있다. 그것을 보완하기 위해 GnuPG 를 이용해 송신자의 전자 서명 및 암호화 기능을 사용할 수 있어서 윈도우 환경에서 사용법을 기록해 두었다. 현재 GnuPG 경우 사용자의 공개키 공유가 우선 이루어 져야 하는데 특정 서버를 통해 공유 할 수 없어서 메일이나 다른 방법으로 우선 공유 되어야 한다. 1. GnuPG 개요 Gnu Privacy Guard 의 약자로 PGP의 오픈소스로 구현한 것이다. 표준 문서는 RFC 4880 이다. GnuPG는 Free Software Foundation에서 OpenPGP 표준에 따라 개발한 프로그램이며 윈도우용 이름은 Gpg4win 이다 GPL(GNU General Public License) 라이센스 정책하에서 무료..