AWS 데이터베이스 암호화 SDK 작동 방식 - AWS 데이터베이스 암호화 SDK
암호화 및 서명복호화 및 확인

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS 데이터베이스 암호화 SDK 작동 방식

클라이언트 측 암호화 라이브러리는 데이터베이스 암호화 SDK로 이름이 변경되었습니다. AWS 이 개발자 안내서는 여전히 DynamoDB Encryption Client에 대한 정보를 제공합니다.

AWS Database Encryption SDK는 데이터베이스에 저장하는 데이터를 보호하도록 특별히 설계된 클라이언트 측 암호화 라이브러리를 제공합니다. 라이브러리에는 변경 없이 확장하거나 사용할 수 있는 보안 구현이 포함되어 있습니다. 사용자 지정 구성 요소를 정의하고 사용하는 방법에 대한 자세한 내용은 데이터베이스 구현을 위한 GitHub 리포지토리를 참조하십시오.

이 섹션의 워크플로는 Database Encryption SDK가 AWS 데이터베이스의 데이터를 암호화하고 서명하고 해독하고 확인하는 방법을 설명합니다. 이러한 워크플로는 추상 요소와 기본 기능을 사용하여 기본 프로세스를 설명합니다. AWS 데이터베이스 암호화 SDK가 데이터베이스 구현과 함께 작동하는 방식에 대한 자세한 내용은 데이터베이스의 암호화란? 항목을 참조하십시오.

AWS 데이터베이스 암호화 SDK는 봉투 암호화를 사용하여 데이터를 보호합니다. 각 레코드는 고유한 데이터 키로 암호화됩니다. 데이터 키는 암호화 작업에 ENCRYPT_AND_SIGN으로 표시된 각 필드에 대해 고유한 데이터 암호화 키를 파생하는 데 사용됩니다. 그런 다음 데이터 키의 복사본은 지정한 래핑 키로 암호화됩니다. 암호화된 레코드를 해독하기 위해 AWS Database Encryption SDK는 사용자가 지정한 래핑 키를 사용하여 하나 이상의 암호화된 데이터 키를 해독합니다. 그런 다음 사이버텍스트를 복호화하고 일반 텍스트 항목을 반환할 수 있습니다.

AWS 데이터베이스 암호화 SDK에서 사용되는 용어에 대한 자세한 내용은 을 참조하십시오. AWS 데이터베이스 암호화 SDK 개념

암호화 및 서명

기본적으로 AWS 데이터베이스 암호화 SDK는 데이터베이스의 레코드를 암호화, 서명, 확인 및 복호화하는 레코드 암호화기입니다. 암호화하고 서명할 필드에 대한 지침과 레코드에 대한 정보를 가져옵니다. 지정한 래핑 키로 구성된 암호화 자료 관리자로부터 암호화 자료와 사용 방법에 대한 지침을 가져옵니다.

다음 안내에서는 AWS 데이터베이스 암호화 SDK가 데이터 입력을 암호화하고 서명하는 방법을 설명합니다.

  1. 암호화 자료 관리자는 AWS 데이터베이스 암호화 SDK에 일반 텍스트 데이터 키 1개, 지정된 래핑 키로 암호화된 데이터 키 사본, MAC 키 등 고유한 데이터 암호화 키를 제공합니다.

    참고

    여러 개의 래핑 키로 데이터 키를 암호화할 수 있습니다. 각 래핑 키는 데이터 키의 별도 복사본을 암호화합니다. AWS 데이터베이스 암호화 SDK는 암호화된 모든 데이터 키를 자료 설명에 저장합니다. AWS Database Encryption SDK는 자료 설명을 저장하는 레코드에 새 필드(aws_dbe_head)를 추가합니다.

    데이터 키의 암호화된 각 복사본에 대해 MAC 키가 파생됩니다. MAC 키는 자료 설명에 저장되지 않습니다. 대신, 복호화 메서드는 래핑 키를 사용하여 MAC 키를 다시 파생시킵니다.

  2. 암호화 메서드는 지정한 암호화 작업에서 ENCRYPT_AND_SIGN으로 표시된 각 필드를 암호화합니다.

  3. 암호화 메서드는 데이터 키에서 commitKey을 파생한 다음 이를 사용하여 키 커밋 값을 생성한 다음 데이터 키를 삭제합니다.

  4. 암호화 메서드는 레코드에 자료 설명을 추가합니다. 자료 설명에는 암호화된 데이터 키와 암호화된 레코드에 대한 기타 정보가 포함되어 있습니다. 자료 설명에 포함된 정보의 전체 목록은 자료 설명 형식을 참조하세요.

  5. 암호화 방법은 1단계에서 반환된 MAC 키를 사용하여 자료 설명, 암호화 컨텍스트 및 암호화 작업에서 또는 로 표시된 ENCRYPT_AND_SIGN 각 필드를 정규화하여 해시 기반 메시지 인증 코드 (HMAC) 값을 계산합니다. SIGN_ONLY SIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT HMAC 값은 암호화 메서드가 레코드에 추가하는 새 필드(aws_dbe_foot)에 저장됩니다.

  6. 암호화 방법은 자료 설명, 암호화 컨텍스트 및 표시된 ENCRYPT_AND_SIGN 각 필드의 정규화에 대해 ECDSA 서명을 계산하거나 필드에 ECDSA 서명을 저장합니다. SIGN_ONLY SIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT aws_dbe_foot

    참고

    ECDSA 서명은 기본적으로 활성화되어 있지만 필수는 아닙니다.

  7. 암호화 메서드는 암호화되고 서명된 레코드를 데이터베이스에 저장합니다

복호화 및 확인

  1. 암호 자료 관리자(CMM)는 일반 텍스트 데이터 키 및 관련 MAC 키를 포함하여 자료 설명에 저장된 복호화 자료를 사용하여 복호화 메서드를 제공합니다.

    1. CMM은 지정된 키 링의 래핑 키를 사용하여 암호화된 데이터 키를 복호화하고 일반 텍스트 데이터 키를 반환합니다.

  2. 복호화 메서드는 자료 설명의 키 커밋 값을 비교하고 확인합니다.

  3. 복호화 메서드는 서명 필드의 서명을 확인합니다.

    이는 어떤 필드가 표시되었는지 ENCRYPT_AND_SIGNSIGN_ONLY, 또는 사용자가 정의한 승인되지 않은 허용된 필드 SIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT 목록에서 어떤 필드가 표시되었는지 식별합니다. 암호 해독 방법은 1단계에서 반환된 MAC 키를 사용하여, 또는 표시된 필드의 HMAC 값을 다시 계산하고 비교합니다. ENCRYPT_AND_SIGN SIGN_ONLY SIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT 그런 다음 암호화 컨텍스트에 저장된 퍼블릭 키를 사용하여 ECDSA 서명을 확인합니다.

  4. 복호화 메서드는 일반 텍스트 데이터 키를 사용하여 ENCRYPT_AND_SIGN.로 표시된 각 값을 복호화합니다. 그러면 AWS 데이터베이스 암호화 SDK는 일반 텍스트 데이터 키를 삭제합니다.

  5. 복호화 메서드는 일반 텍스트 레코드를 반환합니다.