yubikey PIV openssl ecdsa sign verify on windows

windows openssl

https://slproweb.com/products/Win32OpenSSL.html

Win64 OpenSSL v3.4.0

C:\Program Files\OpenSSL-Win64\bin\

----

Install PIV Tool for PKCS#11 library

https://developers.yubico.com/PIV/Tools.html

"C:\Program Files\Yubico\Yubico PIV Tool\bin\libykcs11.dll"

----

windows OpenSC

https://github.com/OpenSC/OpenSC/wiki/Windows-Quick-Start

https://github.com/OpenSC/OpenSC/releases

install OpenSC-0.25.1_win64.msi

C:\Program Files\OpenSC Project\OpenSC\tools\pkcs11-tool.exe

----

== slot 9C sign

-- key generation

use yubikey Authenticator to generate "Digital Signature" in "slot 9c"

use yubikey Authenticator click export to export cert "9c.crt"


- extract publickey

openssl x509 -inform PEM -in 9c.crt -outform PEM -pubkey -nocert -out 9c_pubkey.pem


pkcs11-tool.exe --module "C:\Program Files\Yubico\Yubico PIV Tool\bin\libykcs11.dll" --sign --id 2 -m ECDSA-SHA256 --signature-format openssl -i ..\message.bin -o yubikey_9c.sig


ENTER 6 PIN (twice)


- verify

openssl dgst -sha256 -verify 9c_pubkey.pem -signature yubikey_9c.sig ..\message.bin



=== slot 9A sign

use yubikey Authenticator to generate "Authentication" in "slot 9a"

use yubikey Authenticator click export to export cert "auth_9a.crt"


- extract publickey

openssl x509 -inform PEM -in auth_9a.crt -outform PEM -pubkey -nocert -out auth_9a_pubkey.pem


pkcs11-tool.exe --module "C:\Program Files\Yubico\Yubico PIV Tool\bin\libykcs11.dll" --sign --id 1 -m ECDSA-SHA256 --signature-format openssl -i ..\message.bin -o yubikey_9a.sig


ENTER 6 PIN


- verify

openssl dgst -sha256 -verify auth_9a_pubkey.pem -signature yubikey_9a.sig ..\message.bin


----------------------------------------

key generation outside of yubikey

you need to make cert for a key.

openssl req -x509 -newkey ec -pkeyopt ec_paramgen_curve:secp384r1 -days 3650 -nodes -keyout key.pem -out cert.pem -subj "/CN=ecc384"


openssl req -x509 -newkey ec -pkeyopt ec_paramgen_curve:prime256v1 -days 3650 -nodes -keyout key.pem -out cert.pem -subj "/CN=prime256v1"


openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -sha256 -days 3650 -nodes -subj "/CN=rsa4096"


Use yubikey Authenticator to import a cert and a key. Import TWICE.

or

make a PKCS#12 file using a cert and a key.


openssl pkcs12 -export -out cert.p12 -inkey key.pem -in cert.pem -name "ecc384_cert"

yubico-piv-tool -a import-key -a import-certificate -s 9d -k -i cert.p12 -K PKCS12

(enter management key)


댓글

댓글 쓰기

이 블로그의 인기 게시물

공유기 2개 쓰는데 동일 네트워크 구성하기 ASUS 공유기 + iptime 공유기, LAN, WIFI 연결

이미지
192.168.1.1 로 구성되는 ASUS 공유기 밑에 192.168.0.1 로 구성되는 iptime 공유기를 설치하는데 IP는 192.168.1.X 로 ASUS 공유기의 DHCP 서버를 통해 IP를 받고싶다면. iptime 공유기 설정변경을 해야하는데, 아래와 같이 해서 성공했습니다. 1.  일단 ASUS 공유기에서 나온 선을 iptime 공유기에 연결할때 WAN이 아니라 LAN1에 꼽습니다. 어떤 설정을 건드리기 전에 이것을 먼저 해야합니다. 2. 192.168.0.1 접속해서 내부 네트워크 설정, 허브/AP모드 체크 (주황 화살표) 그러면 내부 네트워크가 검색되고, 게이트웨이랑 내부 기본 DNS 가 자동으로 채워져야 합니다. 만약 2가 안되면 1을 다시 확인해보세요. 3. 서브넷 마스크 (녹색 화살표) 중 세번째 항목을 0으로 지정. 그리고 내부 IP주소를 적당히 뒷부분에 지정. - 저는 ASUS공유기 밑에 붙어있어서 192.168.1.X로 지정했는데, 혹시 다른 공유기라면 세번째 숫자가 그 공유기 IP 할당 대역 안에 맞게 넣어주셔야 합니다. IP 설정에서 계속 에러가나면, 서브넷 마스크를 제대로 수정했는지 다시 확인해 봅니다. 4. 위가 완료되면  이제부터 iptime 공유기 접속은 192.168.1.199:80 가 됩니다. ASUS 공유기 들어가서 보면 정적 IP 로 잡혀있습니다.  5. 시스템 관리 - 기타 들어가서 UPNP 설정을 중지. 서브넷 마스크 설정하는걸 몰라서 해맸네요 이렇게 하면, 이제부터 WIFI 및 LAN 모두 iptime 공유기에 연결되면 IP를 ASUS 공유기로 부터 받고, ASUS 공유기의 네트워크와 동일 네트워크 구성을 하게 됩니다.
자세한 내용 보기

OneDrive가 바꾼 문서, 사진, 바탕화면 기본 폴더 복구하기(레지스트리 사용안하고 복구)

이미지
OneDrive 가 백업하는 기능이 윈도우에 기본으로 들어가면서 문서 사진 바탕화면 폴더 경로가 바뀌어 있는 경우가 있습니다. 보통 문제없을테지만, shell에서 작업하는 사람들은 거슬릴 수 있어요. 인터넷 검색해보니 레지스트리 수정으로 고치던데, 익숙하지 않은 방법이고, 마침 다른 방법을 알게되어 소개드립니다. 이 문제는 OneDrive의 설정에서 해결해야합니다. 탐색기에서 속성들어가서 어떻게 하려고 해봐야  "동일한 위치에 리디렉션할 수 없는 폴더가 있기 때문에 폴더를 이동할 수 없습니다. 액세스가 거부되었습니다." 메시지만 나옵니다. 원 드라이브 - 설정 - 백업 백업관리 백업 폴더 관리에서 아이콘 아래에 백업 중지 글씨를 누르면 아래 안내창이 뜨고, 백업 중지를 선택합니다. 본래 각 폴더에 있는 파일은 새로 생기는  " 내 파일의 위치" 바로가기를 통해 복사해오면 됩니다.
자세한 내용 보기

갤럭시북 이온 노트북 소음 잡기

이미지
갤럭시북 이온을 샀는데, 소음이 심상치 않다. 짧게 치고 빠지는 소음이 너무나 거슬리고, 하는건 유투브나 인터넷 브라우징인데 날카롭게 소음이 치고 들어왔다 나갔다 한다. 저소음 모드가 있긴 하지만, 재부팅할때마다 그걸 켜는것도 귀찮고 또 시간이 지나면 그나마도 소용이 없는것 같다. 인텔10세대부터 언더볼팅은 잘 안되는것 같다. 적용 되는것 같다가도 금방 풀려버린다. 보안을 이유로 막아놨다는 얘기도 언듯 들었다. 나는 언더클락으로 효과를 봤다. 방법은 아래 링크에 잘 설명되어있다. 내 최고 clock 제한값은 2900MHz이다. https://www.jntechreview.com/info/tips/laptop-underclock intel 10510U 최고 부스터 clock이 4900MHz 이니, 꽤나 성능을 제한했지만, 유투브보는데는 별 지장 없다. 동영상 시청시 HW 디코딩을 사용할 수 있게, Microsoft Store 에서 Video extention 을 모두 깔아준다. HEVC Video Extention VP9 비디오 확장 AV1 Video Extention 그리고 edge browser를 사용한다. 그래야 HW decoding을 제대로 쓴다. 또한 전원이 연결되었을때 시계 옆의 배터리 아이콘을 클릭해서 전원 모드(플러그 연결): 향상된 배터리 를 선택한다. 정말 조용해진다. 유투브가 1080p 영상에 대해 AV1 코덱을 적용하기 시작했다. edge browser에 크롬 스토어의 enhanced-h264ify 를 깔고, AV1 만 block 시켜놓고 youtube를 보자. AV1으로 1080p 재생시, CPU 자원을 막대하게 쓴다. 일반적인 데스크톱은 괜찮지만 갤럭시북 이온에서는 제법 큰 작업이고, fan이 팽팽돈다. Microsoft store에서 AV1 Video Extention 을 설치했더라도, 영상 재생이 잘 될뿐, GPU only decoding이 안되므로 CPU가 heavy하게 돌면서 펜 소음이 커진다.
자세한 내용 보기