증권사 프로젝트를 하면서 비대칭키 암호화 방식을 이용한 전자서명 메커니즘을 구현해야 하는 일이 생겼다.
대칭키 암호화만 쓰다가 비대칭키라.. 어떻게 이게 되는거지 싶었다.
사실 아직도 이해가 안가는 부분이 좀 많긴 한데,
이것저것 시도해보면서 구현은 성공해서 정리를 좀 하려고 한다.
나는 비대칭키 암호화 알고리즘으로 RSA 를 선택했다.
비대칭키 암호화 방식의 대표적인 방식 중 하나였기 때문에, 레퍼런스가 많을 것으로 생각하고 선정했다.
여하튼, 먼저 RSA 암호화에 사용할 공개 키와 개인 키를 생성해준다.
var publicKey : SecKey?
var privateKey : SecKey?
let keyPairAttr: [NSString: Any] = [
kSecAttrKeyType: kSecAttrKeyTypeRSA,
kSecAttrKeySizeInBits: 2048 as NSObject
]
let statusCode = SecKeyGeneratePair(keyPairAttr as CFDictionary, &publicKey, &privateKey)
if statusCode != noErr {
print("Key generate success")
} else {
print("Key generate fail")
}먼저 생성하고자 하는 키의 정보를 Dictionary 형태로 정의해준다.
샘플 코드에 작성한 kSecAttrKeyType, kSecAttrKeySizeInBits 는 필수 값이고 이외 옵션들은 선택사항이다.
생성한 키를 키체인에 저장, 구분을 위한 Tag 지정들 여러 옵션들이 있으니 필요하다면 공식 문서를 읽어보자.
https://developer.apple.com/documentation/security/1395339-seckeygeneratepair/
SecKeyGeneratePair(_:_:_:) | Apple Developer Documentation
Creates an asymmetric key pair.
developer.apple.com
나는 RSA 암호화를 구현해야 하기 때문에 RSA 키 타입으로 지정, 키의 크기는 최대값인 2048 비트로 설정해줬다.
그리고 SecKeyGeneratePair 를 실행되며 리턴된 OSStatus 로 키 쌍 생성 유무를 체크해주면 된다.
문제없이 생성되었다면, 이제 키 쌍을 저장해야 하는데 공개 키를 서버에 보내야 했기 때문에 String 형태로 변경해줬다.
func keyToString(key : SecKey) -> String? {
var error : Unmanaged<CFError>?
let keyData : CFData? = SecKeyCopyExternalRepresentation(key, &error)
guard error == nil else {
debugPrint(error)
// do something when failed represent key
return nil
}
let keyString = (keyData as Data).base64EncodedString()
print(keyString)
return keyString
}
SecKeyCopyExternalRepresentation 은 SecKey 타입으로 되어있는 키들을 CFData 로 변환해준다.
이렇게 변환된 키를 Base64 로 인코딩하여 String 형태로 변환해주고 이후 서버에 보내서 저장을 해줬다.
이제는 서버에 인증을 받기 위한 데이터를 만드는 작업이 필요한데,
내가 초반에 생각했던 건 개인 키로 특정 데이터를 암호화하여 서버에서 복호화를 통해 인증하면 될 줄 알았다.
그런데, 개인 키로 암호화를 아무리 시도 해 봐도 오류가 나서 되게 패닉에 빠져있었는데
키 생성 할 때 주는 옵션들을 잘 살펴보면, 따로 설정해주지 않는 이상 개인 키로 암호화는 불가하게 디폴트 설정이 되어있다..!
그리고 그걸 떠나서 애초에 암호화 하는 함수와 서명을 하는 함수가 따로 나누어져 있다.
"서명 = 암호화" 로 생각하고 있던게 잘못 된 생각이였던 것...
그리고 공식 문서 설명에도 암호화 함수는 using a public key 서명 함수는 using a private key
라고 적혀있었다...
여하튼, 이렇게 알아낸 SecKeyCreateSignature 함수를 사용해서 개인 키를 사용한 서명 데이터를 만들었다.
func sign(data : Data, privateKey : Data) -> String? {
let keyPairAttr: [NSString: Any] = [
kSecAttrKeyType: kSecAttrKeyTypeRSA,
kSecAttrKeyClass: kSecAttrKeyClassPrivate
]
var error : Unmanaged<CFError>?
guard let secKey = SecKeyCreateWithData(privateKey as CFData, keyPairAttr as CFDictionary, &error) else {
debugPrint(error)
// do something when failed create private key
return nil
}
guard let signData = SecKeyCreateSignature(secKey, .rsaSignatureMessagePKCS1v15SHA256, data as CFData, &error) else {
debugPrint(error)
// do something when failed signing data
return nil
}
let signDataString = (signData as Data).base64EncodedString()
print(signDataString)
return signDataString
}Dictionary 형태로 가져오려는 키의 정보를 정의하고, SecKeyCreateWithData 함수를 통해 개인 키를 가져온다.
그리고 SecKeyCreateSignature 함수를 사용하여 데이터를 서명할 수 있는데,
두 번째 파라미터는 SecKeyAlgorithm 타입이다.
여기서 digest 와 message 두 개로 갈리는데 이게 무슨 차이인지 헷갈려서 조금 찾아봤다.
서명하고자 하는 데이터가 이미 해싱 알고리즘으로 digest (해시 값) 로 변환되어 있다면 digest,
일반 문자열 같은 데이터라면 message 를 사용하면 되는 것 같다.
뒤에 붙은 해싱 알고리즘은 내가 사용하고자 하는 해싱 알고리즘일테고,
만약 digest 를 사용한다면 당연하게도 내가 가지고 있는 해시 값을 생성할 때 사용한 알고리즘을 넣어야 하겠지..?
이렇게 해서 서명된 데이터가 나오면 Base64 로 인코딩 하여 String 으로 변환해서 리턴해줬다.
데이터를 서버로 보내서 검증하고 결과를 Response 받으면 전자서명 구현은 끝이다.
서버 쪽 작업은 Java로 했는데 이건 다음 글로 적던,,, 시간이 나면 정리를 해야겠다.
그리고 글을 쓰면서 깨달은건데, Apple 문서에 서명하는 과정에 대해 잘 정리 된 문서가 있었다. ( 자발적 삽질... )
서명 뿐만 아니라 검증하는 방법도 정리가 되어 있는 것 같으니 더 궁금한게 있다면 요 문서를 봐도 괜찮을 것 같다.
