안녕하세요.
전 학회 전산담당 비서(?) 역할을 하고 있습니다. ㅠㅠ
다름이 아니라 최근 본인의 ID/PW를 알고 있다는 스팸 메일을 받은 회원이 있어 관련 내용을 점검중에 있습니다.
SSL 인증서는 현재까지는 사용하지 않았지만 도입 예정으로 관리 업체를 통하여 견적을 낸 상태입니다.
ID/PW 암호화 과정에 대하여 문의해보니 AES-128-CBC 기반으로 암호화를 한다고 합니다.
이 쪽이 전공 분야가 아니다 보니 인터넷에서 자료를 찾아 보고는 있습니다만, 이것이면 ID/PW가 충분히 암호화 한다고 볼 수 있는지는 모르겠습니다.
질문은..
1. AES-128-CBC 단독으로 사용해도 충분한 암호화가 이루어 진다고 할 수 있는지요?
2. 그렇지 않다면 도입이 비교적 쉬운 더 안전한 암호화 과정은 어떻게 하는 것이 좋을지요?
ÇöÀç ±Û¿¡¼ µµÀÔÇÏ·Á°í ÇÏ½Ã´Â°Ô SSL ÀÎÁõ¼¶ó°í ÇÑ´Ù¸é
AES-128-CBC´Â ¼¹ö¿Í Ŭ¶óÀ̾ðÆ®°£ÀÇ ¿¬°á ¾ÏÈ£È ¹æ½ÄÀÔ´Ï´Ù.
ÇöÀç ´ëºÎºÐÀÇ À¥»çÀ̵尡 AES-128-(GCM, CBC)¸¦ ¾²°í ÀÖÀ¸¹Ç·Î ¹«¹æÇÕ´Ï´Ù.
| WEB Server (Apache) | ---- AES-128-CBC ---- | WEB Browser (Chrome) |
2.
À§¿¡ ½Ç·ÂÀںе鲲¼ ´Þ¾ÆÁֽŠ´äº¯Ã³·³
ID/PW¸¦ DB¿¡ ÀúÀåÇÒ¶§ ¾ÏÈ£È ¾Ë°í¸®ÁòÀÌ Àû¿ëµÇ¾î ÀÖÁö ¾ÊÀ¸¸é
DB°¡ ÇØÅ·´çÇҽà Ãë¾àÇØÁö´Ï ȨÆäÀÌÁö À¯Áöº¸¼ö ¾÷ü¿¡ ¾ÏÈ£È ¾Ë°í¸®Áò Àû¿ëÀ»
ÀÇ·ÚÇϽñ⠹ٶø´Ï´Ù.