DATABASE 암호화 기술들
1. DB 암호화 기법
| 이름 | 장점 | 단점 | 비고 |
ECB모드 | 전자부호표모드 (Electric Codebook mode) | * 간단 * 고속 * 병렬처리가능(암호화.복호화 양쪽) | * 평문속의 반복이 암호문에 반영된다. * 암호문 블록의 삭제나 교체에 의한 평문의 조작이 가능 * 비트단위의 에러가 있는 암호문을 복호화하면 대응하는 블록이 에러가 된다. * 재전송공격이 가능 | 사용해서는 안됨. |
CBC모드 | 암호블록 연쇄모드 (Cipher Block Chaining mode) | * 평문의 반복은 암호문에 반영되지 않는다. * 병렬처리가능(복호화만) * 임의의 암호문 블록을 복호화할 수 있다. |
|
권장 |
CFB모드 | 암호피드백모드 (Cipher Feedback mode) | * 패딩이 필요 없다. * 병렬처리가능(복호화만) * 임의의 암호문 블록을 복호화할 수 있다. |
| 현재는 사용 안함. CTR모드를 사용하는 편이 나음. |
OFB모드 | 출력피드백모드 (Output Feedback mode) | * 패딩이 필요 없다. * 암호화/복호화의 사전 준비를 할 수 있다. * 암호화와 복호화가 같은 구조를 하고 있다. * 비트 단위의 에러가 있는 암호문을 복호화하면 평문의 대응하는 비트만 에러가 된다. |
| CTR모드를 사용하는 편이 나음. |
CTR모드 | 카운터모드 (Counter mode) | * 패딩이 필요 없다. * 암호화/복호화의 사전 준비를 할 수 있다. * 암호화와 복호화가 같은 구조를 하고 있다. * 비트 단위의 에러가 있는 암호문을 복호화하면 평문의 대응하는 비트만 에러가 된다. * 병렬처리가능(암호화/복호화 양쪽) |
| 권장 |
2. DB 암호화 알고리즘 종류
3. DB 암호화 제품의 유형
4. DB 암호화 제품의 비교
- 추가적인 S/W의 변경 및 개선 사항이 있을 수 있음.
| Oracle TDE (11g) | E사 | P사 | K사 |
암호화된 Index를 통한 색인검색 기능 | 지원 (Tablespace 암호화 시 Range 검색 가능) | 지원 | 불가 (평문 Index 구축시는 지원) * | 불가 (평문 Index 구축시는 지원) |
무중단 암호화 기능 (리스너 재기동 및 Lock 없는 조건) | 무중단 | 무중단 | 중단 (DB Restart) | 중단(수초 ~ 수분 이내) |
DB서버내의 키 기밀성 | 유지안됨. (e-wallet 파일에 저장) | 유지됨. (디스크에 저장되지 않고, 메모리로만 로딩 됨.) | 유지(파일로 저장되지만 메모리로 로딩이 됨) | 유지(키 서버를 통해 분리 구축) |
국내 법정 알고리즘 지원 여부 | 불가 (ARIA, SEED 및 일방향 알고리즘 없음) | 개인정보 용: ARIA, SEED 비밀번호 용: SHA-1, SHA-256/384/512 (일방향 알고리즘) | 개인정보 용: SEED 비밀번호 용: SHA-1, SHA-256/384/512 (일방향 알고리즘) | 개인정보 용: ARIA, SEED 비밀번호 용: SHA-1, SHA-256/384/512 (일방향 알고리즘 |
지원 알고리즘 | AES, TDES | ARIA, SEED, AES, TDES, DES, SHA | SEED, ARIA, AES, TDES, SHA,, 3DE, | ARIA, SEED, AES, TDES, DES, SHA |
공공기관 사용 가능 여부 | 부분 가능 (기존 Oracle DB 사용중인 국립병원이 TDE 암호화 사용) | 가능 | 가능 | 가능 |
대용량 (파티션) 테이블 암호화 지원 | 지원 | 지원 (RANGE, LISH, HASH, SUB 및 IOT) | 지원 | 지원 |
접근통제 및 감사 기능 | 없음 (별도 설정 필요) | 지원 | 지원 | 지원 |
권한 분리 | 불가(별도 설정 필요) | 지원 | 지원 | 지원 |
HSM (FIPS-140 level2) 지원 여부 | 지원 | 지원 | 불가 | 불가 |
DB 재기동시 키 로딩 방법 | 파일 또는 테이블에서 읽어 로딩 (키 기밀성 유지 안됨) | RSA 방식으로 자동 로딩 (키 기밀성 유지) | 파일 또는 테이블에서 읽어 로딩 (키 기밀성 유지 안됨) | 키 서버에서 암호화 키 로딩 |
암호모듈검증기준 준수 | 준수 못함 | 준수 | 준수 | 준수 |
암호화 구성 | TDE(Transparent Data Encryption) | API, Plug-in, Hybrid | API, Plug-in, Hybrid | API, Plug-in, Hybrid |
'1. IT Story > DB' 카테고리의 다른 글
| DBMS_CRYPTO Package를 이용한 단방향 암호화 (0) | 2015.09.08 |
|---|---|
| Fine Grained Auditing의 활용 (0) | 2015.09.08 |
| WRAP Utility 활용 (0) | 2015.09.08 |
| Corrupt Data Found During RMAN Backup Troubleshoot (0) | 2015.09.08 |
| Oracle oradebug활용 Troubleshoot (0) | 2015.09.04 |
| Oracle RAC 11gR2 주요 Command(명령어) (0) | 2015.09.04 |
| Oracle Flashback (0) | 2015.09.04 |
| Oracle RAC 11gR2 Management (0) | 2015.09.04 |
운명을바꾸는자
IT와 함께 살아가는 삶
