Warehouse of PKI

[이 기능은 라이선스 버전 기능입니다]라이선스가 필요한 분은 [프로그램 키 발급] 페이지에서 30일 라이선스 발급 가능합니다PKCS#11 기능에서 ECDH 알고리즘을 이용한 대칭키 생성을 할 수 있다.PKCS#11 에서 대칭키를 생성 하려면 ECDSA 용 키 쌍이 있어야 하고 이 키 쌍을 이용하여 C_DeriveKey 기능을 이용하여ECDH 메커니즘을 실행 하면 된다.이 때 생성한 대칭키는 결과 값으로 나오는 것이 아니라HSM 장치내에 생성 및 되고 결과로 생성된 키의 핸들을 얻을 수 있다.그럼 ECDH 생성을 위해서는 기본적으로 체크 사항이다.ECDSA 키를 먼저 생성 하는데 이 키 의 속성에서 CKA_DERIVE 를 TRUE 로 설정 해 주어야 한다.여기서 ECDSA 키를 생성 시 파라미터를 지정해 ..

HSM 장치에서 PKCS#11 API 를 이용하여 해당 장치가 지원 하는 메커니즘을 확인 할 수 있다. 지원 메커니즘의 정보를 제공하는 API 가 C_GetMechanismList 함수이다. 그리고 각각의 메커니즘에서 좀더 상세한 정보를 제공하는 API 가 C_GetMechanismInfo 함수이다. PKCS11 함수 정의 C_GetMechanismList CK_DEFINE_FUNCTION(CK_RV, C_GetMechanismList)( CK_SLOT_ID slotID, CK_MECHANISM_TYPE_PTR pMechanismList, CK_ULONG_PTR pulCount );이 함수는 지원 메커니즘을 리스트로 타입값을 모두 가져다 준다. C_GetMechanismInfo CK_DEFINE_FUNC..

[이 기능은 라이선스 버전 기능입니다]라이선스가 필요한 분은 [프로그램 키 발급] 페이지에서 30일 라이선스 발급 가능합니다CryptokiMan 을 이용하여 PKCS#11 기능의 DH 키와 DeriveKey 기능을 이용하여대칭키를 추출 해보자.여기서 생성된 대칭키는 실제로 값을 얻는 것이 아니라 HSM 장치내에서 키가 생성이 되고 생성된 핸들 값을 얻게 된다.일단 DH 기능을 하기 위해서는 다음 순서로 실행을 한다.DH 키 생성 이 때 키는 CKA_DERIVE 값이 TRUE 로 되어야 한다.이때 DH 용 파라미터를 넣어 주어야 하는데 해당 값을 넣어 주거나 테스트를 위해 만들어서 사용한다.DH 값을 구하기 위해서는 PKCS#11 기능 중에 C_DeriveKey 기능을 사용하다.참고로 이 DH 알고리즘을 ..

일반적으로 ECDSA 공개키를 인증서에서 값을 읽어 보면 항상 첫 바이트가 0x04 값으로 시작 한다. 그리고 ECDSA 공개키 경우 보통 P-256 파라미터를 사용하면 64 바이트 길이어야 하는데 0x04 가 붙음으로 65 바이트가 된다. 위 그림에서 03 42 00 04 ... 이렇게 진행 하는데 03 은 BitString 이구 42 는 66 바이트이구 00 은 사용하지 않는 비트 개수이구 04 부터 공개키 값이다 즉 이렇게 04 부터 시작하는 것을 알 수 있다. 그럼 이 0x04 값의 의미는 무엇인가? 이 내용에 대해서는 RFC5480 문서에서 다음과 같은 내용이 나온다. o The first octet of the OCTET STRING indicates whether the key is comp..

지금까지 Qt5 로 만든 BerEditor, CertMan 그리고 CryptokiMan 프로젝트를 Qt6으로 변경 작업을 하였다. 이번에 Qt6 으로 변경 하면서 수정한 내용을 정리 해 보았다. 현재 아래 내용되로 변경을 해서 컴파일은 되었지만 좀 더 시간을 두고 테스트를 해봐야 한다. 기존 QT버전은 5.13.2에서 6.5.3 버전으로 변경 하였다. QString sprintf 함수가 asprintf 함수로 변경 - QString sprint 함수가 asprintf 함수로 변경 됨 - 사실 asprintf 함수에서 0x08X 같은 포맷은 지원이 안되어서 모두 QString 과 arg 를 이용하여 변경 함QDateTime 클래서에서 Unix타임 처리 함수 변환 - QDateTime 멤버 함수 setTim..

우리나라에서 사용하는 공동 인증서에서 사용하는 본인 확인 식별 번호인 VID 인증서 규격이 있다. 이 규격은 현재 공동 인증서에서 사용된다. 대한민국 국민이라면 누구나 가지고 있는 주민번호가 있는데 이 정보와의 연결 값이 VID 이다 이 값은 인증서에 있는 시리얼 번호랑 다른 것이다. 실제로 VID 값은 주민번호를 바로 사용하는 것이 아니라 해당 주민번호를 변형하여 변형 된 값으로 들어가 있다. 이 값은 실제 주민번호를 알면 VID 정보와 맞는지 확인만 가능한 정보이다. 인증서는 누구에게나 공개된 정보라 VID 때문에 주민 번호가 노출 될 염려는 없다. 이 값은 인증서 프로파일 중 주체 대체 이름( Subject Alternative Name ) 에서 other Name 형식을 사용하여 기록 된다. 아래..

X.509 인증서의 기본 개념은 공개키를 CA가 보증 하는 증명서 역활이다. 인증서는 이 공개키 값과 이를 증명하기 위한 전자 서명 값이 들어간다. 즉 인증서의 핵심 기능이 이것이다. 주체자 공개키 정보 공개키 정보는 해당 인증서에서 사용하는 공개키 정보인데 두가지 값이 들어 있다 algorithm : 해당 공개키가 사용하는 RSA ECC DSA 같은 알고리즘이다. subjectPublicKey : 실제 공개키 값이 들어 있다. 보통 subjectPublicKey 값의 SHA1 해쉬가 KeyIdentifier 값으로 사용 된다. RSA 공개키 값에 대한 예제 화면이다 위 예제에서는 RSA 공개키 알고리즘을 사용하는 공개키 값이다. 공개키 정보 ASN.1 SubjectPublicKeyInfo ::= SEQ..

인증서를 사용 하다 보면 인증서가 만료 되지 전에 폐기를 해야 하는 경우가 있다. 인증서 사용자는 사용 인증서를 CA에게 요청을 하고 CA는 인증서를 폐기 후 CRL에 게시를 한다. CRL 파일에는 폐기된 인증서 정보(Revoked Certificates ) 가 들어 있는데 이 정보가 인증서의 폐기 되었다는 것을 표시 하는 정보이다. 폐기 정보에는 기본적으로 인증서의 일련 번호와 폐지 날짜가 있다. 그리고 CRL 엔트리 확장 필드를 사용해 추가적인 정보가 제공된다. 일련 번호는 해당 인증서의 일련번호 값이다. 폐지 날짜는 인증서를 폐기한 시간 값이다. 그리고 CRL 엔트리 확장 필드를 사용하는데 일반적으로 CRL 엔트리 확장 필드의 Reason Code 값을 사용한다. 아래 그림이 예제 화면이다. 폐기 ..

CRL 발급 분배 점은 ( Issuing Distribution Point ) 는 CRL Version2 에서 정의 한 확장 필드이다. 이 발급 분배 점 정보는 CRL 파일을 얻을 수 있는 위치 정보를 나타낸다. 즉 해당 CRL 이 얻어 올 수 있는 위치 정보를 나타낸다. 아래 그림은 CRL 발급 분배점의 예시 화면이다. 예시 화면은 CRL 파일을 상세 보기한 화면이구 해당 CRL 파일은 URI=ldap://ldap.signgate.com:389/ou=dp7p27928,ou=crldp,ou=AccreditedCA,o=KICA,c=KR 위치에서 얻을 수 있다는 것이다. CRL 발급 분배 점 ASN.1 id-ce-issuingDistributionPoint OBJECT IDENTIFIER ::= { id-c..

인증서 폐기 목록에서 확장 필드인 CRL Number 가 있다. 이것은 CRL을 식별할 수 있는 일련 번호를 말한다. 일련 번호는 인증기관이 발급하는 순차적으로 증가하는 양의 정수 번호이다. CRL Number 는 20바이트를 넘을 수 없다. 아래 그림이 CRL Number 예시 화면이다. CRL Number ASN.1 id-ce-cRLNumber OBJECT IDENTIFIER ::= { id-ce 20 } CRLNumber ::= INTEGER (0..MAX) 마무리 CRL Number 는 한마디로 CA가 CRL 발급시 마다 순차적으로 증가하는 구별값이다. 즉 CRL 구별 값으로 사용하면 된다.