'Database 암호화 기술들'에 해당되는 글 1건


DATABASE 암호화 기술들

 

1. DB 암호화 기법

   

  

이름 

장점 

단점 

비고 

ECB모드

 전자부호표모드

(Electric Codebook mode)

* 간단

* 고속

* 병렬처리가능(암호화.복호화 양쪽)

* 평문속의 반복이 암호문에 반영된다.

* 암호문 블록의 삭제나 교체에 의한 평문의 조작이 가능

* 비트단위의 에러가 있는 암호문을 복호화하면 대응하는 블록이 에러가 된다.

* 재전송공격이 가능

사용해서는 안됨.

CBC모드

 암호블록 연쇄모드

(Cipher Block Chaining mode)

* 평문의 반복은 암호문에 반영되지 않는다.

* 병렬처리가능(복호화만)

* 임의의 암호문 블록을 복호화할 있다.

  

   

 권장

CFB모드

 암호피드백모드

(Cipher Feedback mode)

* 패딩이 필요 없다.

* 병렬처리가능(복호화만)

* 임의의 암호문 블록을 복호화할 있다.

  

현재는 사용 안함.

CTR모드를 사용하는 편이 나음.

 OFB모드

 출력피드백모드

(Output Feedback mode)

* 패딩이 필요 없다.

* 암호화/복호화의 사전 준비를 있다.

* 암호화와 복호화가 같은 구조를 하고 있다.

* 비트 단위의 에러가 있는 암호문을 복호화하면 평문의 대응하는 비트만 에러가 된다.

  

CTR모드를 사용하는 편이 나음.

CTR모드 

 카운터모드

(Counter mode)

* 패딩이 필요 없다.

* 암호화/복호화의 사전 준비를 있다.

* 암호화와 복호화가 같은 구조를 하고 있다.

* 비트 단위의 에러가 있는 암호문을 복호화하면 평문의 대응하는 비트만 에러가 된다.

* 병렬처리가능(암호화/복호화 양쪽)

  

권장

   

   

2. DB 암호화 알고리즘 종류

3. DB 암호화 제품의 유형

   

   

4. DB 암호화 제품의 비교

  • 추가적인 S/W의 변경 및 개선 사항이 있을 수 있음.

       

  

Oracle TDE (11g)

E사

P사

K사

암호화된 Index를 통한 색인검색 기능

지원

(Tablespace 암호화 시 Range 검색 가능)

지원

불가 (평문 Index 구축시는 지원) *

불가 (평문 Index 구축시는 지원)

무중단 암호화 기능 (리스너 재기동 및 Lock 없는 조건)

무중단

무중단

중단 (DB Restart)

중단(수초 ~ 수분 이내)

DB서버내의 키 기밀성

유지안됨.

(e-wallet 파일에 저장)

유지됨. (디스크에 저장되지 않고, 메모리로만 로딩 됨.)

유지(파일로 저장되지만 메모리로 로딩이 됨)

유지(키 서버를 통해 분리 구축)

국내 법정 알고리즘 지원 여부

불가

(ARIA, SEED 및 일방향 알고리즘 없음)

개인정보 용: ARIA, SEED

비밀번호 용: SHA-1, SHA-256/384/512 (일방향 알고리즘)

개인정보 용: SEED

비밀번호 용: SHA-1, SHA-256/384/512 (일방향 알고리즘)

개인정보 용: ARIA, SEED

비밀번호 용: SHA-1, SHA-256/384/512 (일방향 알고리즘

지원 알고리즘

AES, TDES

ARIA, SEED, AES, TDES, DES, SHA

SEED, ARIA, AES, TDES, SHA,, 3DE,

ARIA, SEED, AES, TDES, DES, SHA

공공기관 사용 가능 여부

부분 가능 (기존 Oracle DB 사용중인 국립병원이 TDE 암호화 사용)

가능

가능

가능

대용량 (파티션) 테이블 암호화 지원

지원

지원 (RANGE, LISH, HASH, SUB IOT)

지원

지원

접근통제 및 감사 기능

없음 (별도 설정 필요)

지원

지원

지원

권한 분리

불가(별도 설정 필요)

지원

지원

지원

HSM (FIPS-140 level2) 지원 여부

지원

지원

불가

불가

DB 재기동시 키 로딩 방법

파일 또는 테이블에서 읽어 로딩 (키 기밀성 유지 안됨)

RSA 방식으로 자동 로딩

(키 기밀성 유지)

파일 또는 테이블에서 읽어 로딩 (키 기밀성 유지 안됨)

키 서버에서 암호화 키 로딩

암호모듈검증기준 준수

준수 못함

준수

준수

준수

암호화 구성

TDE(Transparent Data Encryption)

API, Plug-in, Hybrid

API, Plug-in, Hybrid

API, Plug-in, Hybrid

 


블로그 이미지

운명을바꾸는자

IT와 함께 살아가는 삶

,