📕 목차1. 비대칭 키 암호화2. RSA3. ECC: Elliptic Curve Cryptosystem1. 비대칭 키 암호화 📌 비대칭 키 암호화란개인 키와 공개 키 두 키를 한 쌍으로 암호키를 구성하는 방법개인 키(private key): 개인이 보관공개 키(public key): 타인에게 공개 (여러 사람이 볼 수 있음)응용 분야비밀 메시지: A의 공개 키로 암호화한 메시지는 A의 개인 키로만 풀 수 있음. (ex. HTTPS 통신)전자 서명: A의 공개 키로 복호화가 되면, A의 개인 키로 암호화한 것이라는 증거 (ex. JWT signature) 📌 대칭 키 vs 비대칭 키 대칭 키 암호화비대칭 키 암호화개념적 차이비밀을 두 사람이 서로 공유비밀을 공유하지 않고, 각자 비밀로 보존키 구성 차..

정말 듣고 싶은 수업이었는데, 복전생이라고 여석 안 열어준 수업..🥲그래서 청강해도 되는지 여쭤봤었는데, 교수님께서 답을 안 주셔서 '이건 암묵적 허용이다'라는 정신 무장을 하고 들었었던 에피소드가 있다.진짜 재밌는 내용들이 많았는데, 다시 보니 기억이 가물가물해서 복습할 겸 정리. 📕 목차1. 보안 목표와 서비스2. 전통적인 대칭 키 암호화3. AES (Advanced Encryption Standard)1. 보안 목표와 서비스 📌 Security Goald1️⃣ 기밀성(Confidentiality)민감한 정보(sensitive information)가 외부에 노출되는 것을 막자 2️⃣ 무결성(Integrity)정보의 변경은 인가(authorized)된 자에 의해서 인가된 메커니즘을 통해서만 수행..

서비스에서 OAuth2.0 OIDC 프로토콜로 SSO 처리를 해두었는데, ID Token을 받을 때 nonce를 설정하는 것을 권장한다고 한다.그런데 설정 안 해도 동작하고, 해놔도 별다른 조치를 안 했음에도 동작한다. 나중에 안 사실이지만 nonce를 전혀 활용도 하고 있지 못하는 주제에 "ID Token에 nonce 필드 넣어놨으니 안전함~"이러고 있었던 것. 그래서 이 nonce란 어디서부터 시작한 거고, 어떻게 서버에서 다뤄줘야 하는 건지 정리해두려 한다.조만간 암호학 공부했던 내용도 포스팅 해야겠다..참고로 OIDC 정책이 뭔지는 이전 포스트에서 정리해두었으므로, 여기서 다시 다루진 않는다. 📌 시스템 간의 통신에서의 보안OAuth가 아니더라도 인터넷 환경에선 아래 보안 요구사항을 충족하는지 ..