Warehouse of PKI

OpenSSL 은 0.9.xx 에서 그리고 1.1.1x 버전에서 3.0 버전(출시일: 2021-09-07) 으로 나왔다. 현재 3.0 버전에서는 FIPS모듈의 사용과 새로운 기능을 활용해야 하는 경우 3.0 으로 변경을 해야 한다. 글을 쓰는 이 시점에는 3.1 버전 (출시일: 2023-03-14) 까지 나와 있다. 그럼 주요 변경 사항에 대해 알아 보자. 이 글은 OpenSSL 3.0 위키를 참조 하였다. 1. 라이센스 변경 - 기존 openssl 은 OpenSSL 과 SSLeay 라이센스에서 Apache License v2 로 변경 되었다. 이 부분은 GPL 라이센스와의 문제를 해결하기 위해 변경 되었다. 2. FIPS 인증 모듈 포함 - Openssl 1.1.1 에서는 FIPS 모듈을 따로 패키지 ..

이제 PKCS#11 에 정의 된 C API 에 대한 설명과 사용에 대한 예시를 설명한다. PKCS#11 Functions 일반 목적의 함수 Initialize, GetInfo, Fianlize, GetFuctionList 슬롯 및 토큰 관리 GetSlotList, GetSlotInfo , InitToken, InitPIN, SetPIN, WaitForSlotEvent, GetTokenInfo, GetMechanismList, GetMechanismInfo 객체 관리 CreateObject, CopyObject, DestrotyObject, GetObjectSize, GetAttributeValue, SetAttributeValue, FindObjectInit, FindObject, FindObjectFi..

PKCS#11 에 정의 된 기술적으로 좀 더 구체적으로 분석해 보자 PKCS#11 객체 모델(Object Model) 다음 그림이 객체에 대한 모델 구조도 이다. Cryptoki 라이브러리에서는 데이타, 인증서 그리고 키에 대해 정의 한다. 속성(Attributes)은 객체를 구별 하는 특성이다. PKCS#11 객체 특성에 대한 구조도 PKCS#11 객체 특성 각각의 객체에 대해서는 그림 처럼 특성을 가지고 있다. 여기서 보여주는 특성의 주요한 특성의 일부분을 표현 했다. Cryptoki 에서는 두가지 유저 타입이 존재한다. Securyt Officer( SO ) : 보안토큰 초기화 및 사용자 PIN 설정 역활하는 타입 Normal User : 일반 보안토큰 실제 사용자 타입 Cryptoki 는 읽기/쓰..

PKI 기술에서 중요한 암호화와 키 사용을 하다 보면 키에 대해 안전한 보관과 암호기능을 제공하는 보안토큰을 사용하게 된다. 이 보안토큰을 사용할때 언급되는 만나게 되는 용어가 PKCS#11 이다. PKCS#11 소개 PKCS#11 은 Cryptographic Token Interface Standard 로 암호 서비스를 제공 하는 표준 API 정의를 말한다. 이 표준은 C 프로그래밍 언어를 사용하는 ANSI C 함수의 정의다. 이 정의 된 함수들을 Cryptoki 이름으로 동적 라이브러리에 만드는것에 대한 표준 기술이다. PKCS#11 장점 표준화된 라이브러리와 API 정의를 통하여 다양한 보안토큰에 대해 이를 사용하는 애플리케이션에서 상호 독립성을 만들어 준다. 즉 다양한 장치에 대한 애플리케이션 단..

TLS 프로토콜은 암호화 통신이다. 이 때 서버와 클라이언트 간에 키에 대한 합의가 이루어 져야 하는데 이 때 PRF를 통해 키를 생성한다. 현재 설명은 ECDH 를 통한 키 생성에 대한 내용이다. 참고로 아래 설명 하는 내용은 RFC5246 을 내용을 분석한 것이다. P_hash(secret, seed) = HMAC_hash(secret, A(1) + seed) + HMAC_hash(secret, A(2) + seed) + HMAC_hash(secret, A(3) + seed) + ... A() is defined as: A(0) = seed A(i) = HMAC_hash(secret, A(i-1)) PRF(secret, label, seed) = P_(secret, label + seed) 간단히 말..

이 글은 내가 ECDSA 기반 TLS 1.2 와 DTLS 1.2 스펙을 구현 하면서 알게 된 내용이다. 그러다 보니 알게 된 메모글이라 수시로 업데이트 할 예정이다. 기존에 TLS 관련 지식은 다음 링크를 참조 하면 된다. 여기서는 단지 개발 하면서 파악된 내용을 간단히 기록 하였다. 만약에 TLS에 관한 기본 지식을 파악하고 싶으면 아래 링크를 참조 하세요. TLS 에 관한 정보 링크 https://dokydoky.tistory.com/462 https://dokydoky.tistory.com/463 https://dokydoky.tistory.com/464 DTLS 특성 DTLS ( Datagram Transformt Layer ) 는 UDP 환경에서 TLS 전송을 하기 위한 프로토콜이다. 그리고 D..

PKI 관련 일을 하면 인증서나 개인키를 다루게 되는 데 이때 이들의 파일마다 다양한 확장자를 다루게 된다. 이때 주로 만나게 되는 확장자가 pem, cer, der, crt, csr, pfx, p12 또는 key 이다. 이런 확장자에 대해서 한번 정리를 해 보면 다음과 같다. PEM PEM (Privacy Enhanced Mail)은 Base64 로 인코딩한 텍스트 형식의 파일입니다. Binary 형식의 파일을 전송할 때 손상될 수 있으므로 TEXT 로 변환하며 소스 파일은 모든 바이너리가 가능하지만 주로 인증서나 개인키가 됩니다. 실제로 Base64 인코딩된 데이타에 포맷에 처음과 끝 부분에 -----BEGIN, -----END 에 파일에 대한 타입 정보가 들어가는데 어떤 바이너리 파일을 PEM 으로..

* 인증서 검증이란? 신뢰당사자가 자신이 신뢰하는 TrustAnchor의 공개키를 기본으로 검증하고자 하는 대상 인증서의 소유자 명과 공개키의 연결이 올바른가를 검증하는 것 용어 정의 가) 대상 인증서 : 검증 대상이 되는 인증서 나) 신뢰 당사자 : 대상 인증서의 신뢰성을 확인 하기 위해 인증서 검증을 수행 하는자 다) TrustAnchor : 신뢰당사자의 최상위 인증기관 ( 신뢰의 출발 점 ) Self-Sign 인증서 * 인증서 확장 필드 critical의 처리 * 인증서 검증 절차 1) 인증서 경로 구축 인증서 경로 검증 과정을 수행하기 위해 필요한 인증서 경로 및 인증서 상태 정보를 획득하는 과정 2) 인증서 경로 검증 인증서 경로 구축 과정을 통해 획득된 정보를 이용해 대상 인증서를 검증 하는 ..

패딩에는 여러가지 방식이 있지만 주로 대칭키 암호화에 사용 되는 패딩 방식이 PKCS#7 방식이다. PKCS#7 은 RFC 5652 을 참조 하면 된다. 대칭키 암호는 원문을 블록 단위를 사용해야 한다. 하지만 원문 사이즈가 블록 사이즈 보다 작을 시 블록 사이즈를 만들어 주기 위해 패딩을 해야 한다. 이때 주로 사용하는 패딩 방법이 PKCS#7 에 나오는 방식이다. * 패딩에 사용하는 값은 추가 되는 패딩의 수가 입력 된다. N 바이트의 패딩을 하려면 N바이트의 값이 N번 추가 한다. 패딩은 다음의 값 처럼 된다. 01 ( 1byte 패딩 ) 02 02 ( 2byte 패딩 ) 03 03 03 ( 3byte 패딩 ) 04 04 04 04 05 05 05 05 05 06 06 06 06 06 06 etc...

* ECIES(Elliptic Curve Integreated Encryption Scheme) : 통합 암호화 방식(Public Key로 암호화하고 Private Key로 복호화) ECIES 는 ECC 키를 사용해 ECDH 를 이용하여 키 교환 후 대칭키 암호화를 하는것이다. Receiver loads the EC key (public/private/curve) Receiver sends its public key and curve to the Transmitter Transmitter generates a new ephemeral EC key on the curve Transmitter generates the shared symmetric key Transmitter encrypts the data..