# Security

# 대칭형 / 비 대칭형 알호 알고리즘

대칭형 알고리즘은 암호화와 복호화가 같은 KEY 값 으로 이루어 진다.

비 대칭형 알고리즘은 암호화와 복호화가 서로 다른 KEY 값 으로 이루어 진다.

이는 대부분 공개키 (Public Key) 와 개인키 (Private Key) 를 생성 하여 운영하는데 이는 다음과 같은 특징을 가진다.

A의 공개키를 이용하여 암호화된 데이터는 A의 개인키로만 복호화가 가능하다.
A의 개인키를 이용하여 암호화된 데이터는 A의 공개키로만 복호화가 가능하다.

# SHA-256

해싱 알고리즘의 대표적인 예인 SHA-256 은 해시 값으로 암호하여 복호화가 불가능 하다.

# Example

import java.security.MessageDigest;

public class SHA256Password {

  public void LockPassword(String password) {
   try {
      MessageDigest digest = MessageDigest.getInstance("SHA-256");
      byte[] hash = digest.digest(password.getBytes("UTF-8"));
      StringBuffer hexString = new StringBuffer();

      for (int i = 0; i < hash.length; i++) {
        String hex = Integer.toHexString(0xff & hash[i]);
        if (hex.length() == 1)
          hexString.append('0');
        hexString.append(hex);
      }

      System.out.println(hexString.toString());

    } catch (Exception ex) {
      throw new RuntimeException(ex);
    }
  }
}

# 보안적인 관점

해시값은 복호화 할 수 없는데 이는 특정 문자열을 암호화하면 나오는 결과값이 다른 문자열을 해싱해서 나올수도 있기 때문이다.

홍길동 -> 홍
홍성대 -> 홍

위와 같은 원리로 결과값의 크기 (치역) 는 고정되어 있고 입력값 (정의역) 은 서로 다를 수 있기 때문이다.
2² 과 -2² 의 결과 값이 서로 같은 것과 마찬가지인 원리로 결과값 4 를 기준으로 원본 데이터를 특정지을수가 없다.
하지만 대표적인 비밀번호 테이블을 구비하여 해당 결과 해시값을 대조하여 일일이 찾아보는 경우가 있다 (sha 함수 테이블)

해시값의 보안성을 높이기 위하여 값을 암호화 할때 Salt 값을 넣어 해싱을 함으로써 공격의 효율을 크게 저하 시키는 방법도 유효하다.

# CRC

순환 중복 계산 (Cycle Redundancy Check) 이라고 하며 파일 (데이터) 의 손상을 확인하는 방식이다.

최근 사용하는 CRC 방식은 모두 CRC-32 이며 HEX 값을 이용하여 8글자로 표시한다.

이는 00000000 ~ FFFFFFFF 까지 2^32 (약 43억) 개의 경우의 수가 있지만 확률적으로 중복 가능하다.
따라서 MD5(Message-Digest Algorithm 5) 와 같은 알고리즘이 사용되며 이는 32비트가 아닌 128비트이다.

ZIP 이나 RAR 같은 파일 압축 프로그램이 압축할때 CRC 값을 함께 저장하는데 압축파일이 손상되었는지 혹은 변조되었는지를 확인하며 만약 CRC-32 값이 불일치 하면 CRC 에러와 함께 파일이 깨졋다고 판단된다.

# OAuth 2.0

웹 혹은 앱 서비스에서 제한적으로 권한을 요청 하여 사용할 수 있는 키를 발급 해주는 것이다.

# 원리

• 클라이언트 (Client)
• 외부 사용자 정보 (Resource Owner)
• 인증 서버 (Authorization Server)
• 리소스 서버 (Resource API Server)

# 인증 절차

1. 클라이언트가 특정 사이트를 이용하려 할때 Google 아이디로 가입할 수 있다는 정보를 발견합니다.
2. Google 로그인 버튼을 누르면 Google 로그인 창이 나오면 로그인을 합니다. (A)
3. 로그인이 완료되면 승인받은 로그인 정보가 정상적으로 수신됩니다. (B)
4. 해당 로그인 정보로 사이트를 이용할 것인지 클라이언트에게 묻습니다.
5. 클라이언트가 허용을 하게 되면 해당 사이트에서 이용가능한 AccessToken 을 받게 됩니다. (C) (D)
6. 이 AccessToken 을 가지고 해당 사이트의 서비스를 이용하면서 expiration_date 까지 사용할 수 있게 됩니다. (E) (F)

# OAuth 1.0 과의 차이점

OAuth1 의 인증 플로우와 전반적인 목적은 공유하면서 새로 설계된 방식이다.

웹 / 앱 / 데스크톱 어플리케이션등의 인증방식을 강화하고 개발을 간소화하도록 개발되었다.