Warehouse of PKI

PKI 기술에서 중요한 암호화와 키 사용을 하다 보면 키에 대해 안전한 보관과 암호기능을 제공하는 보안토큰을 사용하게 된다. 이 보안토큰을 사용할때 언급되는 만나게 되는 용어가 PKCS#11 이다. PKCS#11 소개 PKCS#11 은 Cryptographic Token Interface Standard 로 암호 서비스를 제공 하는 표준 API 정의를 말한다. 이 표준은 C 프로그래밍 언어를 사용하는 ANSI C 함수의 정의다. 이 정의 된 함수들을 Cryptoki 이름으로 동적 라이브러리에 만드는것에 대한 표준 기술이다. PKCS#11 장점 표준화된 라이브러리와 API 정의를 통하여 다양한 보안토큰에 대해 이를 사용하는 애플리케이션에서 상호 독립성을 만들어 준다. 즉 다양한 장치에 대한 애플리케이션 단..

ASN.1 관련 정보를 보다 보면 OID 에 대해서 자주 접하게 된다. 실제 OID에 대한 인코딩 포맷은 여기서 확인이 가능 하다. OID 정의를 확인 해 보면 다음 과 같다. OID (Object Identifier) 이라? ㅇ 지속성있는 유무형의 객체를, 전세계적으로 유일하게 식별하기 위한 ID 체계 ㅇ 여기서, 객체(Object)에 대한 일반적 정의는, - 실세계는 물론 전기,전자,통신 분야에서, 어떤 식별을 위한 응용 개체들을 지칭함 - 개략적으로, 각각 또는 동일 유형 객체들의 그룹핑 전체를 총칭함 - 추상적인 정의로서, 이 세상에 식별될 필요가 있는 그 어떤 것도 대상이 됨 ㅇ 공동 표준 : ITU-T X.680 & ISO/IEC 8824-1 영문으로 된 부분을 찾아서 인용 하면 다음 과 같다..

TLS 프로토콜은 암호화 통신이다. 이 때 서버와 클라이언트 간에 키에 대한 합의가 이루어 져야 하는데 이 때 PRF를 통해 키를 생성한다. 현재 설명은 ECDH 를 통한 키 생성에 대한 내용이다. 참고로 아래 설명 하는 내용은 RFC5246 을 내용을 분석한 것이다. P_hash(secret, seed) = HMAC_hash(secret, A(1) + seed) + HMAC_hash(secret, A(2) + seed) + HMAC_hash(secret, A(3) + seed) + ... A() is defined as: A(0) = seed A(i) = HMAC_hash(secret, A(i-1)) PRF(secret, label, seed) = P_(secret, label + seed) 간단히 말..

BerEditor는 ASN.1 파일을 즉 DER 또는 BER 로 인코딩 된 파일을 디코딩 해서 보기 위한 툴이다. 실제로 BerEditor 툴을 사용은 주로 X.509 인증서 또는 CRL 파일을 보거나 아님 RSA 또는 ECDSA 개인키 파일에 대해서 디코딩을 통해서 상세 값을 확인 해 볼 수 있다. 하지만 나열 된 형식 뿐만 아니라 사실 아주 많은 곳에서 다양한 형식의 ASN.1 데이타는 존재 하는데 BerEditor 이용해 열어 보면 된다. (혹시 안되는 파일 또는 데이타가 있으면 알려주세요 ^^ ) 아래 예제 화면은 인증서를 열어 본 화면이다. 인코딩된 ASN.1 파일을 보기 위해서는 BerEditor에서는 4가지 정도 방식으로 볼 수 있다. 열기 마우스 드래그 앤 드랍 BER 데이타 입력 URI ..

이 글은 내가 ECDSA 기반 TLS 1.2 와 DTLS 1.2 스펙을 구현 하면서 알게 된 내용이다. 그러다 보니 알게 된 메모글이라 수시로 업데이트 할 예정이다. 기존에 TLS 관련 지식은 다음 링크를 참조 하면 된다. 여기서는 단지 개발 하면서 파악된 내용을 간단히 기록 하였다. 만약에 TLS에 관한 기본 지식을 파악하고 싶으면 아래 링크를 참조 하세요. TLS 에 관한 정보 링크 https://dokydoky.tistory.com/462 https://dokydoky.tistory.com/463 https://dokydoky.tistory.com/464 DTLS 특성 DTLS ( Datagram Transformt Layer ) 는 UDP 환경에서 TLS 전송을 하기 위한 프로토콜이다. 그리고 D..

CMP (Certificate Management Protocol) 프로토콜은 OpenSSL 3.0 버전에서 지원되는 프로토콜이다. CMP 를 사용하기 위해서는 OpenSSL 3.0 이상 사용해야 한다. https://www.openssl.org/docs/man3.0/man1/openssl-cmp.html 사실 OpenSSL CMP 명령어는 인증서와 사실 개인키가 미리 만들어 놓고 CMP 프로토콜로 전송 하기 위한 테스트 명령어이다. 그러니 openssl.cnf 파일과 미리 인증서와 개인키 들 모두 준비 가 되어야 한다. 여기 예제로 사용 된 인증서와 개인키는 아래 "테스트용 인증서 및 개인키 PEM" 부분의 내용을 파일로 만들어 쓰면 된다. CMP 에서 cmd 옵션에 관하여 ir - Initializa..

RSA 용 SSL 인증서를 만들기를 해보자 먼저 최상위 인증서인 RootCA 인증서를 먼저 만들어야 한다. 최상위 인증서는 Self Signed 인증서 이다. 즉 자신의 개인키로 서명한 인증서가 Self Signed 인증서 이다. 사실 자체적으로 만든 인증서는 기본 브라우저에 등록이 되어 있지 않아 경고를 보여 주지만 테스트용으로 사용하기 위함이다. 아래 명령어를 사용하다 보면 OpenSSL 자체가 기본적으로 사용하는 설정 파일(openssl.cnf) 파일이 있는데 이 설정이 확인이 안된다면 " -config test_openssl.cnf" 이렇게 직접 지정해서 사용 하면 된다. RootCA 용 RSA 키 쌍 생성 CA 가 사용할 RSA 2048 bits Key Pair 생성openssl genrsa -..

OCSP 는 RFC2560 에서 정의 된 Online Certificate Status Protocol 의 약자이다. TSP 는 RFC3161 에서 정의 된 Time Stamp Protocol 의 약자이다. OpenSSL 에서 인증서 상태 정보 프로토콜인 OCSP 관련 메뉴얼 https://www.openssl.org/docs/man3.0/man1/openssl-ocsp.html 타임스탬프 관련 메뉴얼 https://www.openssl.org/docs/man3.0/man1/openssl-ts.html OCSP ( Online Certificate Status Protocol ) OCSP Request 생성 openssl ocsp -issuer ECDSA_CA.crt -cert CMS_Signer.crt..

PKCS#12 는 Personal Information Exchange Syntax 로서 RFC7292 에 정의 된 표준 포맷이다. P12 확장자 또는 pfx 확장자 파일 처리에 대한 OpenSSL 명령어 사용법이다. 이 명령어에 대한 Man 파일 링크는 아래와 같다 https://www.openssl.org/docs/man3.0/man1/openssl-pkcs12.html PKCS#12 파일 생성 openssl pkcs12 -export -in ecdsa_cert.pem -inkey ecdsa_private_key.pem -out file.p12 -name "My Certfiicate" -passout pass:asdf 윈도우 경우에는 -passout pass:암호 값을 주입을 이렇게 주어야 하지만 윈..

CMS 는 Cryptographic Message Syntax 의 약자로 RFC5652 에 정의 된 표준이다. CMS 명령어는 데이타 서명이나 데이타 암호화를 위한 표준 데이타 형식이다. 이 데이타는 PKCS#7 형식의 데이타 이다. 자세한 명령어 설명 주소이다. https://www.openssl.org/docs/man3.0/man1/openssl-cms.html CMS 메세지 ASN.1 형식 아래 ASN.1 형식의 CMS 메세지에 대한 일 부분의 형식 내용을 보여 준다. ContentInfo ::= SEQUENCE { contentType ContentType, content [0] EXPLICIT ANY DEFINED BY contentType } ContentType ::= OBJECT IDENT..