키 생성 및 관리

1. 키 관리 및 키 목록 조회

Key4C에서는 Secret을 암호화하는 DEK(Data Encryption Key)를 더욱 안전하게 사용하기 위해, 이를 암호화하는 KEK(Key Encryption Key)를 생성 및 관리할 수 있는 기능을 제공합니다. 이 기능은 Kubernetes 환경에서 Secrets 보안을 강화하는 데 핵심적인 역할을 합니다.

① 좌측 메뉴에서 [키 관리] 메뉴를 선택합니다.

② 우측 화면에서 [키 목록]과 [키 생성] 버튼을 확인할 수 있습니다.

키 목록

  • Label : 키 생성 시 사용자가 입력한 키 식별자 값

  • KCV : 키의 무결성을 확인하기 위한 값 (Key Check Value)

  • 알고리즘 : 키 생성 시 선택한 알고리즘 (예 : AES)

  • Key_ID : 생성된 키의 고유 ID 값

  • 생성일 : 키가 생성된 날짜 및 시간

[키 생성] 버튼을 클릭하면 '키 생성 화면'으로 이동합니다.

동일한 Label로 키를 여러 개 생성할 경우, Key_ID를 통해 식별됩니다. 가능한 한 고유한 Label을 사용하는 것을 권장합니다.

2. 키 생성

KEK(Key Encryption Key)를 생성하는 화면입니다. HSM 기반으로 안전하게 키를 생성할 수 있으며, 사용자 선택에 따라 생성 방식을 조정할 수 있습니다.

알고리즘 선택

  • AES 대칭키만 생성이 가능합니다.

키 생성 타입

  • 자동 생성 (랜덤 생성) : HSM 내에서 키가 직접 생성되며 외부로 유출되지 않는 가장 안전한 방식입니다.

  • 수동 생성(외부 키 가져오기) : 외부에서 생성한 키(Component) 파일을 업로드하여 저장합니다. 키 분할 또는 외부 생성 환경에서 사용 시 유용합니다.

자동 생성은 키 보안성이 가장 높기 때문에 기본값으로 권장됩니다.

Label

  • 사용자가 키를 구분하기 위해 입력하는 식별자입니다. (예 : AES_128)

Label은 중복 없이 작성하는 것이 좋습니다.

길이(bits)

  • AES 알고리즘의 키 길이를 선택합니다.

  • 지원하는 키 길이 : 128, 192, 256

2-1. 자동 생성

① 키 생성 타입을 '자동 생성'으로 선택합니다.

② Label을 입력합니다.

③ 키 길이를 선택합니다.

④ [생성] 버튼을 클릭하면 키가 생성되어 키 목록에 추가됩니다.

자동 생성 시 생성된 키는 HSM 외부로 노출되지 않으며, 추출할 수 없습니다.

2-2. 수동 생성

① 키 생성 타입 '수동 생성'을 선택합니다.

② Label을 입력합니다.

③ 키 길이를 선택합니다.

④ KCV 산출 타입을 선택합니다.

KCV 산출 타입 상세 설명

사용자가 수동으로 키 Component 값을 입력하여 Combined Key를 직접 생성할 수 있습니다. 이 기능은 키 교환 시 외부에서 제공받은 Component 값을 이용하여 직접 키를 구성해야 할 때 유용합니다.

  • [ALL] : 0x00 모든 키에 대해 대칭키 길이의 byte를 각각 0x00으로 설정 후 암호화하여 KCV 산출

  • [ALL] : 0x01 모든 키에 대해 대칭키 길이의 byte를 각각 0x01로 설정 후 암호화하여 KCV 산출

  • [DES/TDES/SEED] : 0x00, [AES/ARIA] : 0x01 AEX/ARIA 키에 한해 GSMA 협력 시 사용되는 방식

  • [DES/TDES/SEED] : 0x00, [AES] : CMAC NIST의 표준 알고리즘인 CMAC 사용. 주로 금융 서비스 분야에서 사용됨

KCV 방식에 따라 생성된 KCV 값이 달라지므로, 사용 목적에 맞는 방식을 선택해야 합니다.

⑤ Combined 키를 생성합니다.

Combined 키 생성 상세 설명

  • Component1 입력 필드에 키 Component 값을 입력합니다. (Hex String 형식)

  • 각 Component에 대해 [KCV 확인] 버튼을 눌러 해당 Component의 KCV 값을 개별 확인합니다. KCV 값이 맞지 않으면 키 조합이 잘못되었을 가능성이 있으므로 다시 확인해야 합니다. [초기화] 버튼을 클릭하여 Component 입력 필드를 초기화하여 다시 입력할 수 있습니다.

  • 필요한 경우 [Component 추가] 버튼을 클릭하여 최대 3개의 Component 값을 추가할 수 있습니다. 최소 1개, 최대 3개의 Component 값을 조합하여 키를 생성할 수 있습니다.

  • 모든 Component 입력이 완료되면 [Combine] 버튼을 클릭하여 입력된 Component들을 조합한 Combined 키를 생성합니다. 키가 정상적으로 만들어지면 '성공' 표시가 되며, KCV 값을 확인할 수 있습니다.

  • Component 간 KCV 비교를 통해 무결성을 검증할 수 있습니다.

  • KCV 값이 맞지 않으면 키 조합이 잘못되었을 가능성이 있으므로 다시 확인해야 합니다.

⑥ [생성] 버튼을 클릭하면 Combined 키가 안전하게 저장되며, 키 목록에 추가됩니다.

3. 키 상세 정보

생성된 키의 상세 정보를 확인할 수 있습니다.

키 정보

  • Label : 키 생성 시 사용자가 입력한 키 식별자 값

  • KCV : 생성한 키의 KCV 값

  • 알고리즘 : 키 생성 시 선택한 알고리즘 (AES만 생성 가능)

  • Key_ID : 생성된 키의 고유 ID 값

  • 길이(bits) : 키 생성 시 선택한 키 길이

  • 생성일 : 키가 생성된 날짜

개인키는 외부로 노출되지 않으며, HSM 내부에 안전하게 저장됩니다.

개인키는 보안 정책상 절대로 외부로 추출하거나 노출할 수 없습니다.

키 삭제

  • 키를 더 이상 사용하지 않을 경우 우측 상단의 [키 삭제] 버튼으로 삭제할 수 있습니다.

삭제 시 해당 키를 사용하는 모든 기능이 중단되므로 주의가 필요합니다.