AWS Database Encryption SDK 작동 방식 - AWS 데이터베이스 암호화 SDK
암호화 및 서명복호화 및 확인

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Database Encryption SDK 작동 방식

클라이언트 측 암호화 라이브러리의 이름이 AWS Database Encryption SDK로 변경되었습니다. 이 개발자 안내서는 여전히 DynamoDB Encryption Client에 대한 정보를 제공합니다.

AWS Database Encryption SDK는 데이터베이스에 저장하는 데이터를 보호하기 위해 특별히 설계된 클라이언트 측 암호화 라이브러리를 제공합니다. 라이브러리에는 변경 없이 확장하거나 사용할 수 있는 보안 구현이 포함되어 있습니다. 사용자 정의 구성 요소 정의 및 사용에 대한 자세한 내용은 데이터베이스 구현을 위한 GitHub 리포지토리를 참조하세요.

이 섹션의 워크플로에서는 AWS Database Encryption SDK가 데이터베이스의 데이터를 암호화, 서명, 복호화 및 확인하는 방법을 설명합니다. 이러한 워크플로는 추상 요소와 기본 기능을 사용하여 기본 프로세스를 설명합니다. AWS Database Encryption SDK가 데이터베이스 구현과 함께 작동하는 방식에 대한 자세한 내용은 데이터베이스에 대한 주제 암호화란 무엇인가를 참조하세요.

AWS Database Encryption SDK는 엔빌로프 암호화를 사용하여 데이터를 보호합니다. 각 레코드는 고유한 데이터 키로 암호화됩니다. 데이터 키는 암호화 작업에 ENCRYPT_AND_SIGN로 표시된 각 필드에 대해 고유한 데이터 암호화 키를 파생하는 데 사용됩니다. 그런 다음 데이터 키의 복사본은 지정한 래핑 키로 암호화됩니다. 암호화된 레코드를 복호화하기 위해 AWS Database Encryption SDK는 사용자가 지정한 래핑 키를 사용하여 하나 이상의 암호화된 데이터 키를 복호화합니다. 그런 다음 사이버텍스트를 복호화하고 일반 텍스트 항목을 반환할 수 있습니다.

AWS Database Encryption SDK에 사용되는 용어에 대한 자세한 내용은 AWS 데이터베이스 암호화 SDK 개념 섹션을 참조하세요.

암호화 및 서명

기본적으로 AWS Database Encryption SDK는 데이터베이스의 레코드를 암호화, 서명, 확인 및 복호화하는 레코드 암호화 도구입니다. 암호화하고 서명할 필드에 대한 지침과 레코드에 대한 정보를 가져옵니다. 지정한 래핑 키로 구성된 암호화 자료 관리자로부터 암호화 자료와 사용 방법에 대한 지침을 가져옵니다.

다음 연습에서는 AWS Database Encryption SDK가 데이터 항목을 암호화하고 서명하는 방법을 설명합니다.

  1. 암호화 자료 관리자는 AWS Database Encryption SDK에 고유한 데이터 암호화 키(일반 텍스트 데이터 키 1개, 지정된 래핑 키로 암호화된 데이터 키 복사본, MAC 키)를 제공합니다.

    참고

    여러 개의 래핑 키로 데이터 키를 암호화할 수 있습니다. 각 래핑 키는 데이터 키의 별도 복사본을 암호화합니다. AWS Database Encryption SDK는 자료 설명에 암호화된 모든 데이터 키를 저장합니다. AWS Database Encryption SDK는 자료 설명을 저장하는 레코드에 새 필드(aws_dbe_head)를 추가합니다.

    데이터 키의 암호화된 각 복사본에 대해 MAC 키가 파생됩니다. MAC 키는 자료 설명에 저장되지 않습니다. 대신, 복호화 메서드는 래핑 키를 사용하여 MAC 키를 다시 파생시킵니다.

  2. 암호화 메서드는 지정한 암호화 작업에서 ENCRYPT_AND_SIGN으로 표시된 각 필드를 암호화합니다.

  3. 암호화 메서드는 데이터 키에서 commitKey을 파생한 다음 이를 사용하여 키 커밋 값을 생성한 다음 데이터 키를 삭제합니다.

  4. 암호화 메서드는 레코드에 자료 설명을 추가합니다. 자료 설명에는 암호화된 데이터 키와 암호화된 레코드에 대한 기타 정보가 포함되어 있습니다. 자료 설명에 포함된 정보의 전체 목록은 자료 설명 형식을 참조하세요.

  5. 암호화 메서드는 1단계에서 반환된 MAC 키를 사용하여 자료 설명, 암호화 컨텍스트 및 또는 암호화 작업에 ENCRYPT_AND_SIGN 또는 SIGN_ONLY로 표시된 각 필드의 정규화에 대한 해시 기반 메시지 인증 코드(HMAC) 값을 계산합니다. HMAC 값은 암호화 메서드가 레코드에 추가하는 새 필드(aws_dbe_foot)에 저장됩니다.

  6. 암호화 메서드는 자료 설명, 암호화 컨텍스트 및 ENCRYPT_AND_SIGN 또는 SIGN_ONLY으로 표시된 각 필드의 정규화를 통해 ECDSA 서명을 계산하고 aws_dbe_foot 필드에 ECDSA 서명을 저장합니다.

    참고

    ECDSA 서명은 기본적으로 활성화되어 있지만 필수는 아닙니다.

  7. 암호화 메서드는 암호화되고 서명된 레코드를 데이터베이스에 저장합니다

복호화 및 확인

  1. 암호 자료 관리자(CMM)는 일반 텍스트 데이터 키 및 관련 MAC 키를 포함하여 자료 설명에 저장된 복호화 자료를 사용하여 복호화 메서드를 제공합니다.

    1. CMM은 지정된 키 링의 래핑 키를 사용하여 암호화된 데이터 키를 복호화하고 일반 텍스트 데이터 키를 반환합니다.

  2. 복호화 메서드는 자료 설명의 키 커밋 값을 비교하고 확인합니다.

  3. 복호화 메서드는 서명 필드의 서명을 확인합니다.

    이는 ENCRYPT_AND_SIGNSIGN_ONLY로 표시된 필드와 사용자가 정의한 인증되지 않은 허용 필드 목록을 식별합니다. 복호화 메서드는 1단계에서 반환된 MAC 키를 사용하여 ENCRYPT_AND_SIGN 또는 SIGN_ONLY로 표시된 필드의 HMAC 값을 다시 계산하고 비교합니다. 그런 다음 암호화 컨텍스트에 저장된 퍼블릭 키를 사용하여 ECDSA 서명을 확인합니다.

  4. 복호화 메서드는 일반 텍스트 데이터 키를 사용하여 ENCRYPT_AND_SIGN.로 표시된 각 값을 복호화합니다. 그런 다음 AWS Database Encryption SDK는 일반 텍스트 데이터 키를 삭제합니다.

  5. 복호화 메서드는 일반 텍스트 레코드를 반환합니다.