Warehouse of PKI

PKI 관련 일을 하면 인증서나 개인키를 다루게 되는 데 이때 이들의 파일마다 다양한 확장자를 다루게 된다. 이때 주로 만나게 되는 확장자가 pem, cer, der, crt, csr, pfx, p12 또는 key 이다. 이런 확장자에 대해서 한번 정리를 해 보면 다음과 같다. PEM PEM (Privacy Enhanced Mail)은 Base64 로 인코딩한 텍스트 형식의 파일입니다. Binary 형식의 파일을 전송할 때 손상될 수 있으므로 TEXT 로 변환하며 소스 파일은 모든 바이너리가 가능하지만 주로 인증서나 개인키가 됩니다. 실제로 Base64 인코딩된 데이타에 포맷에 처음과 끝 부분에 -----BEGIN, -----END 에 파일에 대한 타입 정보가 들어가는데 어떤 바이너리 파일을 PEM 으로..

* 인증서 검증이란? 신뢰당사자가 자신이 신뢰하는 TrustAnchor의 공개키를 기본으로 검증하고자 하는 대상 인증서의 소유자 명과 공개키의 연결이 올바른가를 검증하는 것 용어 정의 가) 대상 인증서 : 검증 대상이 되는 인증서 나) 신뢰 당사자 : 대상 인증서의 신뢰성을 확인 하기 위해 인증서 검증을 수행 하는자 다) TrustAnchor : 신뢰당사자의 최상위 인증기관 ( 신뢰의 출발 점 ) Self-Sign 인증서 * 인증서 확장 필드 critical의 처리 * 인증서 검증 절차 1) 인증서 경로 구축 인증서 경로 검증 과정을 수행하기 위해 필요한 인증서 경로 및 인증서 상태 정보를 획득하는 과정 2) 인증서 경로 검증 인증서 경로 구축 과정을 통해 획득된 정보를 이용해 대상 인증서를 검증 하는 ..

패딩에는 여러가지 방식이 있지만 주로 대칭키 암호화에 사용 되는 패딩 방식이 PKCS#7 방식이다. PKCS#7 은 RFC 5652 을 참조 하면 된다. 대칭키 암호는 원문을 블록 단위를 사용해야 한다. 하지만 원문 사이즈가 블록 사이즈 보다 작을 시 블록 사이즈를 만들어 주기 위해 패딩을 해야 한다. 이때 주로 사용하는 패딩 방법이 PKCS#7 에 나오는 방식이다. * 패딩에 사용하는 값은 추가 되는 패딩의 수가 입력 된다. N 바이트의 패딩을 하려면 N바이트의 값이 N번 추가 한다. 패딩은 다음의 값 처럼 된다. 01 ( 1byte 패딩 ) 02 02 ( 2byte 패딩 ) 03 03 03 ( 3byte 패딩 ) 04 04 04 04 05 05 05 05 05 06 06 06 06 06 06 etc...

* ECIES(Elliptic Curve Integreated Encryption Scheme) : 통합 암호화 방식(Public Key로 암호화하고 Private Key로 복호화) ECIES 는 ECC 키를 사용해 ECDH 를 이용하여 키 교환 후 대칭키 암호화를 하는것이다. Receiver loads the EC key (public/private/curve) Receiver sends its public key and curve to the Transmitter Transmitter generates a new ephemeral EC key on the curve Transmitter generates the shared symmetric key Transmitter encrypts the data..

RSA 설명 youtube 영상 https://www.youtube.com/watch?v=kGUlfVpIfaQ PKI 관련 개발 하면서 수학이 항상 어려웠는데 그래도 이 유튜브 영상이 RSA 에 사용되는 수학을 쉽게 잘 설명을 해주네요. RSA 위키 페이지 https://ko.wikipedia.org/wiki/RSA_%EC%95%94%ED%98%B8 RSA 암호 - 위키백과, 우리 모두의 백과사전 위키백과, 우리 모두의 백과사전. RSA[1] 암호는 공개키 암호시스템의 하나로, 암호화뿐만 아니라 전자서명이 가능한 최초의 알고리즘으로 알려져 있다. RSA가 갖는 전자서명 기능은 인증을 요구 ko.wikipedia.org

* SM2, SM3 그리고 SM4 는 중국 암호 표준 알고리즘 이다. 여기는 SM은 ShangMi 를 나타낸다. * SM2 는 Elliptic Curve Cryptography (ECC) 을 기반으로 한 전자 서명 및 검증을 위한 알고리즘이다. * SM3는 해쉬 알고리즘 * SM4 는 암/복호화를 위한 블록 사이퍼 알고리즘 이다. 참고) 개인적으로 암호화에 대한 수학적 이해는 어렵구 단지 관련 알고리즘에 대한 특성만 설명한다. SM3 * SM3의 경우 32바이트의 길이의 결과 값을 보여준다. SM4 * SM4 의 경우 대칭키 암호화이면 이때 사용하는 SM4용 키 길이는 16바이트로 고정이며 IV 및 운영 모드는 모두 동일한다. SM2 * SM2 의 경우 전자 서명용 알고리즘 이며 이때 사용하는 해쉬는 S..

CRL(Certificate RevocationList) 구조 CRL 프로파일 * CRL Entry Extension Reason Code 인증서 폐지 및 효력정지의 사유 정의 * CRL Extension Authority Key Identifier 발급자가 복수의 전자서명키를 가지고 있을 때, 공개키를 구분하기 위한 목적 키식별자(일반적으로 발급자 공개키 해쉬값), 발급자명, 발급자 인증서 일련번호로 구성 CRL Number 사용자로 하여금 특정 CRL이 다른 CRL에 우선하는지 결정할 수 있도록 함 단조증가하는 양의 정수 Issuing Distribution Point 해당 CRL에 대한 분배점을 식별하고 특정 CRL에 대한 범위를 지정함 CRL ASN.1 Syntax * RFC 3280 에서 CRL..

X509 인증서 구조 X509 인증서 프로파일 Authority Key Identifier 발급자가 복수의 전자서명키를 가지고 있을 때, 공개키를 구분하기 위한 목적 키식별자(일반적으로 발급자 공개키 해쉬값), 발급자명, 발급자 인증서 일련번호로 구성 Subject Key Identifier 특정 공개키를 포함하는 인증서를 구분하기 위한 목적 CA 인증서인 경우, 해당 소유자에 의해 발급되는 인증서의 AKI 확장필드의 키식별자값과 동일 키식별자(일반적으로 소유자 공개키 해쉬값)로 구성 Key Usage 인증서와 연관된 공개키쌍의 사용목적을 정의함 일반적으로 공개키쌍의 사용 용도를 제한하기 위한 목적 전자서명, 부인봉쇄, 키전송, 데이터암호화, 키공유, 인증서서명, CRL서명, 키공유시 암호화 수행, 키공..

PKI 관련 기술 일을 하다 보면 PKIX 라는 표준들이 있다. 이 문서에 대한 간략한 설명이다. PKCS #1: RSA Cryptography Standard RSA 키, 암/복호화 ASN.1 에 대한 표준 PKCS #2: PKCS#1 에 포함 됨 PKCS #3: Diffie-Hellman Key Agreement Standard DH 알고리즘에 대한 표준 문서 PKCS #4: PKCS#1 에 포함 됨 PKCS #5: Password-Based Cryptography Standard KDF 및 개인키 암호에 대한 정보 PKCS #6: Extended-Certificate Syntax Standard PKCS #7: Cryptographic Message Syntax Standard CMS 메세지 처리에..

BER과 비슷하나 BER에 몇 가지 제약사항을 가짐 DER 제약사항 Length Octets · 최소의 octets 수 안에서 definite form length를 사용 BIT STRING, OCTET STRING · Constructed form을 사용하지 않음 BOOLEAN value · TRUE이면 모든 8bits 값은 1 (0xFF) BIT STRING · 마지막 octet의 사용되지 않는 bit는 ‘0’으로 설정 · tailing 0 bits는 인코딩 하지 않음 · 1bit도 값으로 가지지 않으면, “03 01 00”으로 인코딩 함 Time · 의미없이 따라오는 0은 인코딩 하지 않음 · UTCTime일 경우, 소수점 이하가 없으면 ‘.’ 사용하지 않음 · GeneralizedTime일 경우,..