AWS Database Encryption SDK 작동 방식 - AWS 데이터베이스 암호화 SDK
암호화 및 서명복호화 및 확인

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Database Encryption SDK 작동 방식

클라이언트 측 암호화 라이브러리의 이름이 AWS Database Encryption SDK로 변경되었습니다. 이 개발자 안내서는 여전히 DynamoDB Encryption Client에 대한 정보를 제공합니다.

AWS Database Encryption SDK는 데이터베이스에 저장하는 데이터를 보호하도록 특별히 설계된 클라이언트 측 암호화 라이브러리를 제공합니다. 라이브러리에는 변경 없이 확장하거나 사용할 수 있는 보안 구현이 포함되어 있습니다. 사용자 정의 구성 요소 정의 및 사용에 대한 자세한 내용은 데이터베이스 구현을 위한 GitHub 리포지토리를 참조하세요.

이 섹션의 워크플로에서는 AWS Database Encryption SDK가 데이터베이스의 데이터를 암호화하고 서명 및 복호화하고 확인하는 방법을 설명합니다. 이러한 워크플로는 추상 요소와 기본 기능을 사용하여 기본 프로세스를 설명합니다. AWS Database Encryption SDK가 데이터베이스 구현과 작동하는 방식에 대한 자세한 내용은 데이터베이스의 암호화된 항목 주제를 참조하세요.

AWS Database Encryption SDK는 봉투 암호화를 사용하여 데이터를 보호합니다. 각 레코드는 고유한 데이터 키로 암호화됩니다. 데이터 키는 암호화 작업에 ENCRYPT_AND_SIGN으로 표시된 각 필드에 대해 고유한 데이터 암호화 키를 파생하는 데 사용됩니다. 그런 다음 데이터 키의 복사본은 지정한 래핑 키로 암호화됩니다. 암호화된 레코드를 복호화하기 위해 AWS Database Encryption SDK는 지정한 래핑 키를 사용하여 하나 이상의 암호화된 데이터 키를 복호화합니다. 그런 다음 사이버텍스트를 복호화하고 일반 텍스트 항목을 반환할 수 있습니다.

AWS Database Encryption SDK에 사용되는 용어에 대한 자세한 내용은 섹션을 참조하세요AWS Database Encryption SDK 개념.

암호화 및 서명

AWS Database Encryption SDK는 코어에서 데이터베이스의 레코드를 암호화, 서명, 확인 및 복호화하는 레코드 암호화 도구입니다. 암호화하고 서명할 필드에 대한 지침과 레코드에 대한 정보를 가져옵니다. 지정한 래핑 키로 구성된 암호화 자료 관리자로부터 암호화 자료와 사용 방법에 대한 지침을 가져옵니다.

다음 연습에서는 AWS Database Encryption SDK가 데이터 항목을 암호화하고 서명하는 방법을 설명합니다.

  1. 암호화 자료 관리자는 AWS 데이터베이스 암호화 SDK에 일반 텍스트 데이터 키 1개, 지정된 래핑 키로 암호화된 데이터 키의 사본, MAC 키와 같은 고유한 데이터 암호화 키를 제공합니다. 래핑 키

    참고

    여러 개의 래핑 키로 데이터 키를 암호화할 수 있습니다. 각 래핑 키는 데이터 키의 별도 복사본을 암호화합니다. AWS Database Encryption SDK는 암호화된 모든 데이터 키를 자료 설명에 저장합니다. AWS Database Encryption SDK는 자료 설명을 저장하는 레코드에 새 필드(aws_dbe_head)를 추가합니다.

    데이터 키의 암호화된 각 복사본에 대해 MAC 키가 파생됩니다. MAC 키는 자료 설명에 저장되지 않습니다. 대신, 복호화 메서드는 래핑 키를 사용하여 MAC 키를 다시 파생시킵니다.

  2. 암호화 메서드는 지정한 암호화 작업에서 ENCRYPT_AND_SIGN으로 표시된 각 필드를 암호화합니다.

  3. 암호화 메서드는 데이터 키에서 commitKey을 파생한 다음 이를 사용하여 키 커밋 값을 생성한 다음 데이터 키를 삭제합니다.

  4. 암호화 메서드는 레코드에 자료 설명을 추가합니다. 자료 설명에는 암호화된 데이터 키와 암호화된 레코드에 대한 기타 정보가 포함되어 있습니다. 자료 설명에 포함된 정보의 전체 목록은 자료 설명 형식을 참조하세요.

  5. 암호화 방법은 1단계에서 반환된 MAC 키를 사용하여 암호화 작업SIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT에서 재료 설명, 암호화 컨텍스트ENCRYPT_AND_SIGN, SIGN_ONLY또는 로 표시된 각 필드의 표준화를 통해 해시 기반 메시지 인증 코드(HMAC) 값을 계산합니다. HMAC 값은 암호화 메서드가 레코드에 추가하는 새 필드(aws_dbe_foot)에 저장됩니다.

  6. 암호화 방법은 재료 설명, 암호화 컨텍스트 및 , ENCRYPT_AND_SIGN SIGN_ONLY또는 로 표시된 각 필드의 표준화를 통해 ECDSA 서명을 계산SIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT하고 필드에 ECDSA 서명을 저장합니다aws_dbe_foot.

    참고

    ECDSA 서명은 기본적으로 활성화되어 있지만 필수는 아닙니다.

  7. 암호화 메서드는 암호화되고 서명된 레코드를 데이터베이스에 저장합니다

복호화 및 확인

  1. 암호 자료 관리자(CMM)는 일반 텍스트 데이터 키 및 관련 MAC 키를 포함하여 자료 설명에 저장된 복호화 자료를 사용하여 복호화 메서드를 제공합니다.

    1. CMM은 지정된 키 링의 래핑 키를 사용하여 암호화된 데이터 키를 복호화하고 일반 텍스트 데이터 키를 반환합니다.

  2. 복호화 메서드는 자료 설명의 키 커밋 값을 비교하고 확인합니다.

  3. 복호화 메서드는 서명 필드의 서명을 확인합니다.

    정의한 허용된 인증되지 않은 필드 SIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT 목록에서 SIGN_ONLY, 또는 ENCRYPT_AND_SIGN로 표시된 필드를 식별합니다. Allowed unsigned attributes 복호화 메서드는 1단계에서 반환된 MAC 키를 사용하여 ENCRYPT_AND_SIGN, SIGN_ONLY또는 로 표시된 필드의 HMAC 값을 다시 계산하고 비교합니다SIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT. 그런 다음 암호화 컨텍스트에 저장된 퍼블릭 키를 사용하여 ECDSA 서명을 확인합니다.

  4. 복호화 메서드는 일반 텍스트 데이터 키를 사용하여 ENCRYPT_AND_SIGN.로 표시된 각 값을 복호화합니다. 그런 다음 AWS Database Encryption SDK는 일반 텍스트 데이터 키를 삭제합니다.

  5. 복호화 메서드는 일반 텍스트 레코드를 반환합니다.