IBM Cloud Docs
암호화 메커니즘 사용

암호화 메커니즘 사용

IBM Cloud® Hyper Protect Crypto Services에서 일부 암호화 기능 및 메커니즘이 사용 가능해지면 암호화 단위 관리자는 이 기능 및 메커니즘 사용을 시작하기 전에 Hyper Protect Crypto Services 인스턴스에서 해당 암호화 기능 및 메커니즘을 사용으로 설정할 수 있습니다.

HSM 펌웨어는 다음 기능을 사용할 수 있도록 지원되는 IBM Cloud 지역에서 업데이트됩니다. HSM 펌웨어 업데이트가 해당 지역에 배치된 후 서비스 인스턴스가 프로비저닝되는 경우 기본적으로 이 기능은 사용으로 설정됩니다. 그러나 HSM 펌웨어 업데이트가 롤아웃되기 전에 마스터 키가 설정되는 기존 서비스 인스턴스의 경우 필요에 따라 이 기능을 사용으로 설정해야 합니다.

BIP32 결정적 지갑 사용

BIP(Bitcoin Improvement Proposal)에서는 비트코인의 기능 및 프로세서 또는 환경에 대해 설명합니다. BIP32(BIP 0032) 표준은 지갑의 개인 및 공개 키를 파생시키는 방법을 정의하기 위해 계층 구조의 결정적 지갑에 사용됩니다.

BIP32를 사용으로 설정하려면 다음 단계를 따르십시오.

1단계: BIP32 인에이블먼트 확인

BIP32 기능이 서비스 인스턴스에서 이미 사용으로 설정되어 있는지 확인하려면 다음 단계를 수행하십시오.

단계를 수행하기 전에 TKE(Trusted Key Entry) 명령행 인터페이스(CLI) 플러그인 또는 관리 유틸리티를 사용하여 서비스 인스턴스가 프로비저닝되고 서비스 인스턴스가 초기화되었는지 확인하십시오.

  1. CLI에서 다음 명령을 사용하여 TKE CLI 플러그인을 최신 버전으로 업데이트하십시오.

    ibmcloud plugin update tke

  2. BIP32 기능이 사용으로 설정되어 있는지 확인하려면 다음 명령을 실행하십시오.

    ibmcloud tke cryptounit-compare

    다음은 표시될 출력 예입니다. BIP32 기능이 사용으로 설정되면 XCP_CPB_BTC 열은 Set 섹션에서 CONTROL POINTS로 지정됩니다.

    CONTROL POINTS
SERVICE INSTANCE: f410ea28-691a-4708-a580-1f813e0a6d31
CRYPTO UNIT NUM   XCP_CPB_BTC
1                 Set
2                 Set

    Not Set로 표시되면 BIP32 기능을 수동으로 사용할 수 있도록 다음 단계를 수행하십시오.

2단계: 수동으로 BIP32 사용

서비스 인스턴스에 대해 BIP32를 사용으로 설정하려면 다음 단계를 따르십시오.

  1. 다음 명령을 사용하여 서비스 인스턴스의 모든 암호화 단위가 선택되어 있는지 확인하십시오.

    ibmcloud tke cryptounits

    다음은 표시될 출력 예입니다. 선택된 모든 암호화 단위는 true 열에서 SELECTED로 표시됩니다.

    SERVICE INSTANCE: 482cf2ce-a06c-4265-9819-0b4acf54f2ba
CRYPTO UNIT NUM   SELECTED   LOCATION
1                 true       [us-south].[AZ3-CS3].[02].[03]
2                 true       [us-south].[AZ2-CS2].[02].[03]

  2. 암호화 단위가 선택되어 있지 않으면 다음 명령을 실행하고 프롬프트에 따라 선택된 목록에 암호화 단위를 추가하십시오.

    ibmcloud tke cryptounit-add

  3. BIP32 기능을 사용으로 설정하려면 다음 명령을 실행하십시오.

    ibmcloud tke cryptounit-cp-btc

  4. (선택사항) BIP32 기능이 사용으로 설정되어 있는지 확인하려면 ibmcloud tke cryptounit-compare 명령을 다시 실행하고 출력에서 XCP_CPB_BTC가 모든 암호화 단위에 대해 Set로 표시되어 있는지 확인하십시오.

Edwards 곡선 디지털 서명 알고리즘 사용

Edwards 곡선 디지털 서명 알고리즘(EdDSA)은 성능에 최적화된 타원 곡선을 기반으로 한 현대적이고 안전한 디지털 서명 알고리즘입니다.

EdDSA를 사용으로 설정하려면 다음 단계를 따르십시오.

1단계: EdDSA 인에이블먼트 확인

EdDSA 기능이 서비스 인스턴스에서 사용으로 설정되어 있는지 확인하려면 다음 단계를 수행하십시오.

단계를 수행하기 전에 TKE(Trusted Key Entry) 명령행 인터페이스(CLI) 플러그인 또는 관리 유틸리티를 사용하여 서비스 인스턴스가 프로비저닝되고 서비스 인스턴스가 초기화되었는지 확인하십시오.

  1. CLI에서 다음 명령을 사용하여 TKE CLI 플러그인을 최신 버전으로 업데이트하십시오.

    ibmcloud plugin update tke

  2. EdDSA 기능이 사용으로 설정되어 있는지 확인하려면 다음 명령을 실행하십시오.

    ibmcloud tke cryptounit-compare

    다음은 표시될 출력 예입니다. EdDSA 기능이 사용으로 설정되면 XCP_CPB_ALG_EC_25519 열은 Set 섹션에서 CONTROL POINTS로 지정됩니다.

    CONTROL POINTS
SERVICE INSTANCE: f410ea28-691a-4708-a580-1f813e0a6d31
CRYPTO UNIT NUM   XCP_CPB_ALG_EC_25519
1                 Set
2                 Set

    Not Set로 표시되면 EdDSA 기능을 수동으로 사용할 수 있도록 다음 단계를 수행하십시오.

2단계: 수동으로 EdDSA 사용

서비스 인스턴스에 대해 EdDSA를 사용으로 설정하려면 다음 단계를 따르십시오.

  1. 다음 명령을 사용하여 서비스 인스턴스의 모든 암호화 단위가 선택되어 있는지 확인하십시오.

    ibmcloud tke cryptounits

    다음은 표시될 출력 예입니다. 선택된 모든 암호화 단위는 true 열에서 SELECTED로 표시됩니다.

    SERVICE INSTANCE: 482cf2ce-a06c-4265-9819-0b4acf54f2ba
CRYPTO UNIT NUM   SELECTED   LOCATION
1                 true       [us-south].[AZ3-CS3].[02].[03]
2                 true       [us-south].[AZ2-CS2].[02].[03]

  2. 암호화 단위가 선택되어 있지 않으면 다음 명령을 실행하고 프롬프트에 따라 선택된 목록에 암호화 단위를 추가하십시오.

    ibmcloud tke cryptounit-add

  3. EdDSA 기능을 사용으로 설정하려면 다음 명령을 실행하십시오.

    ibmcloud tke cryptounit-cp-eddsa

  4. (선택사항) EdDSA 기능이 사용으로 설정되어 있는지 확인하려면 ibmcloud tke cryptounit-compare 명령을 다시 실행하고 출력에서 XCP_CPB_ALG_EC_25519가 모든 암호화 단위에 대해 Set로 표시되어 있는지 확인하십시오.

Schnorr 알고리즘 사용

Schnorr 알고리즘은 디지털 서명을 생성하기 위한 서명 체계로 사용할 수 있습니다. 이 알고리즘은 비트코인 시스템에서 암호화 서명을 위한 ECDSA(Elliptic Curve Digital Signature Algorithm)의 대체 알고리즘으로 제안됩니다. Schnorr 서명은 간편하고 효율적인 것으로 알려져 있습니다.

Schnorr 알고리즘을 사용으로 설정하려면 다음 단계를 수행하십시오.

1단계: Schnorr 알고리즘 활성화 인에이블먼트 검증

서비스 인스턴스에서 Schnorr 알고리즘이 이미 사용으로 설정되어 있는지 확인하려면 다음 단계를 수행하십시오.

단계를 수행하기 전에 TKE(Trusted Key Entry) 명령행 인터페이스(CLI) 플러그인 또는 관리 유틸리티를 사용하여 서비스 인스턴스가 프로비저닝되고 서비스 인스턴스가 초기화되었는지 확인하십시오.

  1. CLI에서 다음 명령을 사용하여 TKE CLI 플러그인을 최신 버전으로 업데이트하십시오.

    ibmcloud plugin update tke

  2. Schnorr 알고리즘이 사용으로 설정되어 있는지 확인하려면 다음 명령을 실행하십시오.

    ibmcloud tke cryptounit-compare

    다음은 표시될 출력 예입니다. Schnorr 알고리즘이 사용으로 설정된 경우 XCP_CPB_ECDSA_OTHER 섹션에서 Set 열이 CONTROL POINTS로 지정됩니다.

    CONTROL POINTS
SERVICE INSTANCE: f410ea28-691a-4708-a580-1f813e0a6d31
CRYPTO UNIT NUM   XCP_CPB_ECDSA_OTHER
1                 Set
2                 Set

    Not Set가 표시되는 경우 다음 단계를 수행하여 수동으로 Schnorr 알고리즘을 사용으로 설정하십시오.

2단계: 수동으로 Schnorr 알고리즘 사용

서비스 인스턴스에 대해 Schnorr 알고리즘을 사용으로 설정하려면 다음 단계를 수행하십시오.

  1. 다음 명령을 사용하여 서비스 인스턴스의 모든 암호화 단위가 선택되어 있는지 확인하십시오.

    ibmcloud tke cryptounits

    다음은 표시될 출력 예입니다. 선택된 모든 암호화 단위는 true 열에서 SELECTED로 표시됩니다.

    SERVICE INSTANCE: 482cf2ce-a06c-4265-9819-0b4acf54f2ba
CRYPTO UNIT NUM   SELECTED   LOCATION
1                 true       [us-south].[AZ3-CS3].[02].[03]
2                 true       [us-south].[AZ2-CS2].[02].[03]

  2. 암호화 단위가 선택되어 있지 않으면 다음 명령을 실행하고 프롬프트에 따라 선택된 목록에 암호화 단위를 추가하십시오.

    ibmcloud tke cryptounit-add

  3. Schnorr 알고리즘을 사용으로 설정하려면 다음 명령을 실행하십시오.

    ibmcloud tke cryptounit-cp-sig-other

  4. (선택사항) Schnorr 알고리즘이 사용으로 설정되었는지 확인하려면 ibmcloud tke cryptounit-compare 명령을 다시 실행한 후 출력에서 모든 암호화 장치에 대한 XCP_CPB_ECDSA_OTHERSet로 표시되는지 확인하십시오.

다음에 수행할 작업

이제 암호화 오퍼레이션을 수행하고 결정적 지갑을 보호하기 위해 PKCS #11 API 또는 GREP11 API 사용을 시작할 수 있습니다.