AES-128-CBC 는 안전하다고 할 수 있을까요?

트니아빠   
   조회 4586   추천 0    

안녕하세요.
전 학회 전산담당 비서(?) 역할을 하고 있습니다. ㅠㅠ
다름이 아니라 최근 본인의 ID/PW를 알고 있다는 스팸 메일을 받은 회원이 있어 관련 내용을 점검중에 있습니다.

SSL 인증서는 현재까지는 사용하지 않았지만 도입 예정으로 관리 업체를 통하여 견적을 낸 상태입니다.

ID/PW 암호화 과정에 대하여 문의해보니 AES-128-CBC 기반으로 암호화를 한다고 합니다.
이 쪽이 전공 분야가 아니다 보니 인터넷에서 자료를 찾아 보고는 있습니다만, 이것이면 ID/PW가 충분히 암호화 한다고 볼 수 있는지는 모르겠습니다.

질문은..
1. AES-128-CBC 단독으로 사용해도 충분한 암호화가 이루어 진다고 할 수 있는지요?
2. 그렇지 않다면 도입이 비교적 쉬운 더 안전한 암호화 과정은 어떻게 하는 것이 좋을지요?
짧은글 일수록 신중하게.
크럭스 2020-07
아이디는 그렇다치고... 비밀번호를 AES로 암호화한다고요..? 비밀번호는 AES 같은 대칭키 암호가 아니라 무조건 PBKDF, bcrypt, scrypt, argon2 같은 비밀번호용 해시 알고리즘을 써야됩니다.
크럭스님 말씀이 맞습니다. AES 같은 건 내용을 암호화했다가 복원할 필요가 있을 때 쓰는거죠. 이 경우에 키가 유출되면 암호들이 clear text로 유출된거나 마찬가지입니다. 해시를 써야 원래의 암호로 복원하기가 불가능은 아니더라도.. 아주아주 오래 걸립니다.
SamP 2020-07
대체 누가 암호를 aes로 암호화한다는 소리를... 비밀번호는 크럭스님 말씀처럼 비밀번호용 해시 알고리즘에 솔트 팍팍 쳐서 사용해야 합니다
트니아빠 2020-07
의견 감사합니다. 우선 PBKDF2로 제시하도록 할 예정입니다.
타와리 2020-07
1.
현재 글에서 도입하려고 하시는게 SSL 인증서라고 한다면
AES-128-CBC는 서버와 클라이언트간의 연결 암호화 방식입니다.
현재 대부분의 웹사이드가 AES-128-(GCM, CBC)를 쓰고 있으므로 무방합니다.

|  WEB Server (Apache)  | ---- AES-128-CBC ----  | WEB Browser (Chrome) |

2.
위에 실력자분들께서 달아주신 답변처럼
ID/PW를 DB에 저장할때 암호화 알고리즘이 적용되어 있지 않으면
DB가 해킹당할시 취약해지니 홈페이지 유지보수 업체에 암호화 알고리즘 적용을
의뢰하시기 바랍니다.
로그인 하시면 댓글을 남길 수 있습니다


QnA
쓰기
제목Page 1907/5712
2014-05   5173772   정은준1
2015-12   1707903   백메가
2014-09   4320   백남억
2020-02   4320   앤드유저
2016-07   4320   편한세상
2016-09   4320   izegtob
2016-08   4320   무아
2015-10   4320   김건우
2016-03   4320   신은왜
2016-10   4320   김민수2
2016-10   4320   song05
2018-11   4320   수도관엄
2017-02   4320   질문학생
2016-07   4320   클로이베넷
2016-08   4320   임시현
2016-07   4320   분당김동수
2019-12   4320   미수맨
2016-06   4320   DoubleSH
2017-11   4320   두cpu
2017-01   4321   악마라네
2014-07   4321   밥한끼
2018-07   4321   안규민
목록
쓰기