Warehouse of PKI

PKCS#11 API 를 사용에서 현재 연결 상태 정보를 확인 하기 위한 구조체가 있다. 즉 현재 세션에 대한 구조체 정보를 확인 하기 위한 구조체가 CK_SESSION_INFO 구조체 이다. CK_SESSION_INFO 정의 typedef struct CK_SESSION_INFO { CK_SLOT_ID slotID; CK_STATE state; CK_FLAGS flags; CK_ULONG ulDeviceError; } CK_SESSION_INFO; 이 정보를 얻기 위한 API 가 C_GetSessionInfo 함수를 이용한다. 각각의 구조체 정보의 정의를 보면 slotID : 토컨 인터페이스 슬롯의 ID state : 세션에 대한 상태 flags : 비트 플래그로 CKF_RW_SESSION 과 CKF_..

YubiHSM2 하드웨어 장치는 PKCS#11 API 를 제공한다. 이 장치에 대한 정보는 Yubico 홈페이지를 참조 하면 된다. 현재 USB형식의 소형 하드웨어 HSM 장치로서는 가장 PKCS#11 을 잘 지원하는 장치로 보인다. 참고로 USB 형 HSM 장치인데 RSA 4096 키 생성이 지원 된다. 서버용 HSM 장치가 아닌 소형 USB 형 HSM에서 RSA 4096 키 생성 지원은 처음 본다. 그리고 Network HSM 기능도 지원한다. http 프로토콜을 이용하여 사용하는 앱과 HSM 이 네트워크로 연결 사용도 가능하다. 여기서 관련 드라이버 설치는 Yubico 홈페이지를 참조 하고 CryptokiMan 을 이용하여 PKCS#11 기능을 사용 해보자. 해당 PKCS11 파일은 yubihsm_..

일반적으로 전자 서명은 원문에 대한 해쉬값을 개인키로 암호화 하게 된다. 그래서 PKCS#11 함수에서 C_SignInit -> C_SignUpdate (반복) C_SignFinal 과정을 사용하여 값을 구한다. 참고로 C_SignUpdate 경우에 본문을 여러개로 나누어서 보내 경우 반복을 하게 된다. 즉 C_SignInit 에서는 어떤 키와 메커니즘을 알려주고 C_SignUpdate 에서는 원문 내용을 받게 되고 C_SignFinal에서 원문에 대한 해쉬 값을 구하여 서명 값을 얻게 되는것이다. 그리고 원문을 한번에 보내는 C_SignInit 과 C_Sign 함수로 바로 구할 수도 있다. 하지만 다음 메커니즘 경우는 C_SignInit 다음 바로 C_Sign 함수 만 호출 해야 한다. 즉 C_Sign..

[이 기능은 라이선스 버전 기능입니다]라이선스가 필요한 분은 [프로그램 키 발급] 페이지에서 30일 라이선스 발급 가능합니다PKCS#11 기능에서 ECDH 알고리즘을 이용한 대칭키 생성을 할 수 있다.PKCS#11 에서 대칭키를 생성 하려면 ECDSA 용 키 쌍이 있어야 하고 이 키 쌍을 이용하여 C_DeriveKey 기능을 이용하여ECDH 메커니즘을 실행 하면 된다.이 때 생성한 대칭키는 결과 값으로 나오는 것이 아니라HSM 장치내에 생성 및 되고 결과로 생성된 키의 핸들을 얻을 수 있다.그럼 ECDH 생성을 위해서는 기본적으로 체크 사항이다.ECDSA 키를 먼저 생성 하는데 이 키 의 속성에서 CKA_DERIVE 를 TRUE 로 설정 해 주어야 한다.여기서 ECDSA 키를 생성 시 파라미터를 지정해 ..

[이 기능은 라이선스 버전 기능입니다]라이선스가 필요한 분은 [프로그램 키 발급] 페이지에서 30일 라이선스 발급 가능합니다CryptokiMan 을 이용하여 PKCS#11 기능의 DH 키와 DeriveKey 기능을 이용하여대칭키를 추출 해보자.여기서 생성된 대칭키는 실제로 값을 얻는 것이 아니라 HSM 장치내에서 키가 생성이 되고 생성된 핸들 값을 얻게 된다.일단 DH 기능을 하기 위해서는 다음 순서로 실행을 한다.DH 키 생성 이 때 키는 CKA_DERIVE 값이 TRUE 로 되어야 한다.이때 DH 용 파라미터를 넣어 주어야 하는데 해당 값을 넣어 주거나 테스트를 위해 만들어서 사용한다.DH 값을 구하기 위해서는 PKCS#11 기능 중에 C_DeriveKey 기능을 사용하다.참고로 이 DH 알고리즘을 ..

PKCS#11 표준 라이브러리인 Cryptoki 라이브러리를 사용하는 기능을 개발 하기 위해서는 OASIS 에서 제공하는 헤더 파일을 사용해야 한다. PKCS#11은 모든 정의 값이 표준화 되어 있기 때문에 이에 대한 정의를 OASIS에서 만들어서 제공 하기 때문이다. 그럼 제공 하는 Header 파일은 다음 3가지 이다. 여기서는 현재 가장 많이 사용되고 있다고 생각 되는 PKCS#11 버전 2.4 를 기준으로 설명한다. 아래 주소로 가면 관련 내용을 참조 할 수 있다. http://docs.oasis-open.org/pkcs11/pkcs11-base/v2.40/pkcs11-base-v2.40.html PKCS #11 Cryptographic Token Interface Base Specificatio..

CryptokiMan 을 이용하여 PKCS#11 Digest 값을 생성 해보자 먼저 해당 PKCS#11 에서 지원 하는 Digest 알고리즘을 확인 해보자 해당 Mechanism 을 확인 하기 위해서는 해당 슬롯의 C_OpenSession 까지 이루어져야 한다. 그리고 슬롯 선택 후 Mechanism 을 눌러 보면 아래 화면 처럼 지원 하는 Digest 목록을 확인 할 수 있다. 현재 테스트 라이브러리는 SoftHSM2 인데 MD5, SHA1, SHA224, SHA256, SHA384, SHA512 가 지원 되는 것을 확인 할 수 있다. Digest 함수를 실행 하기 위해서는 C_OpenSession 만 하면 된다. C_Login 인증은 없어도 된다. Digest 자체는 키를 사용하지 않기 때문에 특별히..

이번에는 PKCS#11 에서 제공 하는 Random 기능을 CryptokiMan 툴을 이용해 구해 보자 PKCS#11 기능을 테스트 하기 위해 여기서는 SoftHSM2 라이브러리를 이용하였다. Random 함수를 사용하는 이유는 예측할 수 없는 값을 만들기 위해서 보통 대칭키나 비대칭키를 만들 때 사용이된다. 사실 PKCS#11 에서는 Random 기능과 관련한 함수는 두가지 이다. C_SeedRandom 과 C_GenerateRandom 함수이다. 이 두 함수를 사용하기 위해서는 PKCS#11 에서 C_OpenSession 까지 진행이 되어 있어야 한다. 하지만 랜덤 관련 함수를 사용하기 위해서는 특별히 C_Login 은 하지 않아도 된다. 사실 Random 값 자체의 기능은 보안상 안전성이 없어도 되..

[이 기능은 라이선스 버전 기능입니다]라이선스가 필요한 분은 [프로그램 키 발급] 페이지에서 30일 라이선스 발급 가능합니다SoftHSM 처음 설치 하면 초기 셋팅이 필요하다.이번에는 softhsm2-util 을 이용해서가 아니라 CryptokiMan 을 이용해서 초기화를 해보자초기 셋팅을 위해 SoftHSM 에서 제공하는 Cryptoki Library 의 PKCS#11 API를 CryptokiMan 에서 사용해 초기화를 한다.SoftHSM 처음 설치는 오픈소스 SoftHSM 사용법 ( Windows 환경 ) 문서를 참조하자해당 문서에서 SoftHSM 처음 상태 확인 까지만 진행을 하자이번에는 SoftHSM 처음 설치를 하고 상태확인을 해보면 다음 처럼 나온다.softhsm2-util.exe --show..

CryptokiMan 은 cryptoki 동적 라이브러리를 읽어서 PKCS#11 API 기능을 수행하고 테스트 해보기 위한 프로그램이다. 보통 HSM 장치는 하드웨어 장치이지만 여기서는 테스트를 위해 SoftHSM 을 이용한다. 그럼 어떻게 사용하는지 기본 과정은 다음과 같다 라이브러리 불러오기 초기화 하기 세션 열기 로그인 HSM 기능 사용하기 일반적으로 HSM 장치를 사용 할때 초기화를 해야 한다. 보통 HSM 장치 경우 초기화 툴을 제공한다 여기서는 기본적인 설명을 위해서 장치 초기화가 된 상태로 설명을 한다. 1. 라이브러리 불러오기 처음 HSM 에서 제공하는 라이브러리를 호출 하는 과정이다. 현재 테스트 툴이 64비트 윈도우용이라면 64비트 윈도우용 라이브러리를 불러 주어야 한다. 그림 처럼 열..