[Security] Password Encoder 내부 메커니즘
·
Computer Science/Security
1. Introduction 📌 Password Encoder는 어떻게 동작할까?이번에 과제 테스트에 "비밀번호는 암호화 되어야 한다."라는 요구 조건이 명시되어 있었다.그런데 Spring Security를 사용해도 될지 긴가민가한 상황이었기에, 그냥 내가 직접 구현해볼 수 있는 좋은 기회라고 여겼다. 그리고 궁금하지 않은가?보통 Spring에서 암호화를 위해 Spring Security의 BCryptPasswordEncoder를 사용할 텐데, 해당 컴포넌트를 사용할 때 비밀키를 주입해주지 않아도 적용이 된다.Password Encoder는 어떤 원리로 비밀번호를 복구 불가능하게 암호화하고, 또 이를 다시 검증할 수 있는 것일까? 암호화 기능을 구현하기 위해 OWASP 문서를 읽어보며 구현을 해봤다. ..
[Security] OWASP Top 10 API Security 2023
·
Computer Science/Security
1. OWASP (Open Web Application Security Project) 📌 Introduction이 내용을 분명히 예전에 정리했었다고 생각했는데, 블로그를 아무리 찾아도 보이질 않았다.아마 한창 블로그 포스팅할 거리 쌓여있을 때, 리스트에 추가만 해놓고 잊어먹었던 거 같다. 여튼 링크드인 심심해서 뒤적거리다가 OWASP가 갱신될 거라는 뉴스를 접했는데, 'OWASP가 뭐더라...?'하고 멍 때리다가 검색해보니 예전에 이미 찾아봤던 내용이었다.그렇다..또 로스트 테크놀러지를 발굴해냈다.  요새 어째 예전보다 바보가 되어가는 느낌이지만, 내 머리에 칩 연결해서 DB 연결하기 전까지는 뭐..잊어먹을 때마다 다시 찾아보는 수밖에.그래도 잊어먹을 때마다 새롭게 공부하는 느낌이 즐겁긴 하다. 고려..
[Cryptography] 비대칭 키 암호화 (Asymmetric-Key Encipherment)
·
Computer Science/Security
📕 목차1. 비대칭 키 암호화2. RSA3. ECC: Elliptic Curve Cryptosystem1. 비대칭 키 암호화 📌 비대칭 키 암호화란개인 키와 공개 키 두 키를 한 쌍으로 암호키를 구성하는 방법개인 키(private key): 개인이 보관공개 키(public key): 타인에게 공개 (여러 사람이 볼 수 있음)응용 분야비밀 메시지: A의 공개 키로 암호화한 메시지는 A의 개인 키로만 풀 수 있음. (ex. HTTPS 통신)전자 서명: A의 공개 키로 복호화가 되면, A의 개인 키로 암호화한 것이라는 증거 (ex. JWT signature) 📌 대칭 키 vs 비대칭 키 대칭 키 암호화비대칭 키 암호화개념적 차이비밀을 두 사람이 서로 공유비밀을 공유하지 않고, 각자 비밀로 보존키 구성 차..
[Cryptography] 대칭 키 암호화 (Symmetric-Key Encipherment)
·
Computer Science/Security
정말 듣고 싶은 수업이었는데, 복전생이라고 여석 안 열어준 수업..🥲그래서 청강해도 되는지 여쭤봤었는데, 교수님께서 답을 안 주셔서 '이건 암묵적 허용이다'라는 정신 무장을 하고 들었었던 에피소드가 있다.진짜 재밌는 내용들이 많았는데, 다시 보니 기억이 가물가물해서 복습할 겸 정리. 📕 목차1. 보안 목표와 서비스2. 전통적인 대칭 키 암호화3. AES (Advanced Encryption Standard)1. 보안 목표와 서비스 📌 Security Goald1️⃣ 기밀성(Confidentiality)민감한 정보(sensitive information)가 외부에 노출되는 것을 막자 2️⃣ 무결성(Integrity)정보의 변경은 인가(authorized)된 자에 의해서 인가된 메커니즘을 통해서만 수행..