데이터 보안은 현대 IT 환경에서 중요한 이슈 중 하나입니다. 특히 사용자의 패스워드는 민감한 정보로, 이를 안전하게 보호하는 것은 필수적입니다. SHA-256은 이러한 패스워드 보안을 위해 널리 사용되는 해시 알고리즘 중 하나입니다.
Java에서의 SHA-256 단방향 데이터 암호화
SHA-256은 Secure Hash Algorithm의 줄임말로, 256비트 길이의 해시 값을 생성하는 알고리즘입니다. 이는 원본 데이터를 복구할 수 없는 형태로 변환하기 때문에 패스워드와 같은 민감한 정보의 보안에 적합합니다.
실무에서의 로그인 패스워드 검증 절차
- 회원가입 시의 암호화 : 사용자가 회원가입 시 입력한 패스워드는 SHA-256 알고리즘을 통해 암호화됩니다. 이렇게 암호화된 패스워드는 데이터베이스에 저장됩니다.
- 로그인 시의 해시 값 추출 : 사용자가 로그인을 시도할 때, 입력한 패스워드는 다시 SHA-256 알고리즘을 통해 암호화됩니다.
- 저장된 패스워드의 조회 : 사용자가 입력한 아이디에 해당하는 패스워드의 해시 값이 데이터베이스에서 조회됩니다.
- 패스워드의 일치 여부 확인 : 사용자가 입력한 패스워드의 해시 값과 데이터베이스에 저장된 해시 값이 일치하는지 확인합니다. 일치하면 로그인 인증에 성공하게 됩니다.
SHA-256 패스워드 암호화의 실제 적용
데이터 보안을 위해 SHA-256 암호화를 적용하는 것은 좋은 선택입니다. 하지만, 실제로 코드를 작성하고 실행할 때는 여러 가지 고려사항이 있습니다.
1. Guava: Google Library의 활용
Java의 MessageDigest는 스레드에 안전하지 않다는 문제점이 있습니다. 이를 해결하기 위해 Google의 Guava 라이브러리에서 제공하는 해싱 유틸 클래스를 사용하는 것이 좋습니다.
○ Maven을 통한 Guava 라이브러리 적용
<!-- https://mvnrepository.com/artifact/com.google.guava/guava -->
<dependency>
<groupId>com.google.guava</groupId>
<artifactId>guava</artifactId>
<version>31.1-jre</version>
</dependency>
이렇게 Maven을 통해 Guava 라이브러리를 프로젝트에 추가하면, 스레드 안전한 해싱 기능을 사용할 수 있습니다.
2. SHA-256 암호화 유틸리티 생성
암호화를 쉽게 적용하기 위해 유틸리티 클래스를 생성합니다. 이 클래스는 입력된 패스워드를 SHA-256 알고리즘을 통해 암호화하는 기능을 제공합니다.
package com.hyo.test.util;
import java.nio.charset.StandardCharsets;
import com.google.common.hash.Hashing;
public class ShaUtil {
public String sha256Encode(String plainText) {
return Hashing.sha256()
.hashString(plainText, StandardCharsets.UTF_8)
.toString();
}
}
3. SHA-256 암호화 테스트
암호화 유틸리티가 제대로 작동하는지 확인하기 위해 간단한 테스트 코드를 작성합니다.
package com.hyo.test;
import static org.assertj.core.api.Assertions.assertThat;
import org.junit.jupiter.api.DisplayName;
import org.junit.jupiter.api.Test;
import com.hyo.test.util.ShaUtil;
class ShaUtilTest {
// plaintext password.
String plainPassword = "Aiden!Dev!Test@";
// encrypted password.
String encryptedPassword = "3d142d9c1652b2c9c571b44a3140944c34a72bd7ab16e994ca338b55393b08ee";
@Test
@DisplayName("Using Google Guava library")
void testSha256Encode() {
String hashData = ShaUtil.sha256Encode(plainPassword);
assertThat(hashData).isEqualTo(encryptedPassword).as("동일 값 확인");
}
}
SHA-256 with Salt: 더욱 강화된 패스워드 암호화
데이터 보안의 중요성이 높아지면서, 단순한 SHA-256 암호화만으로는 충분하지 않게 되었습니다. 이에 대응하여 Salt를 추가하여 암호화하는 방법이 널리 사용되게 되었습니다.
1. Salt의 등장 배경
레인보우 테이블은 해시 함수를 사용하여 가능한 모든 해시 값을 미리 계산해 놓은 표입니다. 이 테이블을 사용하면, 해시 값만으로 원본 데이터를 추측할 수 있습니다. Salt는 이러한 레인보우 테이블 공격을 방지하기 위해 도입되었습니다. Salt를 원본 데이터에 추가하면, 동일한 원본 데이터라도 다른 Salt를 사용하면 다른 해시 값을 생성하게 됩니다.
2. SHA-256 with Salt 암호화 유틸리티 생성
Salt를 사용하여 SHA-256 암호화를 적용하기 위해 유틸리티를 생성합니다.
package com.hyo.test.util;
import java.nio.charset.StandardCharsets;
import java.security.SecureRandom;
import java.util.Base64;
import com.google.common.hash.Hashing;
public class ShaUtil {
private static final SecureRandom random = new SecureRandom();
public static String getSalt() {
byte[] salt = new byte[16];
random.nextBytes(salt);
return Base64.getEncoder().encodeToString(salt);
}
public static String sha256WithSaltEncode(String plainText, String salt) {
return Hashing.sha256()
.hashString(plainText + salt, StandardCharsets.UTF_8)
.toString();
}
}
3. SHA-256 with Salt 암호화 테스트
암호화 유틸리티가 제대로 작동하는지 확인하기 위해 테스트 코드를 작성합니다.
package com.hyo.test;
import org.junit.jupiter.api.DisplayName;
import org.junit.jupiter.api.Test;
import com.hyo.test.util.ShaUtil;
class ShaUtilTest {
// plaintext password.
String plainPassword = "Aiden!Dev!Test@";
@Test
@DisplayName("Using Google Guava library")
void testSha256Encode() {
String hashData = ShaUtil.sha256Encode(plainPassword);
System.out.println("Salt 적용 전 : " + hashData);
}
@Test
@DisplayName("Using Google Guava library With Salt")
void testSha256WithSaltEncode() {
int i = 1;
while( i <= 5 ) {
String hashData = ShaUtil.sha256WithSaltEncode(plainPassword, ShaUtil.getSalt());
System.out.println("Salt 적용 후 : " + hashData);
i++;
}
}
}
------------------------------------------------------------------------------------
Salt 적용 전 : 3d142d9c1652b2c9c571b44a3140944c34a72bd7ab16e994ca338b55393b08ee
Salt 적용 후 : 80b12c08960d0540338dcc607092db994440e7618cd55adab449cebc8b64cfc9
Salt 적용 후 : e50314a2d593b8a5cec82df80b46b89c9c2174cc9e959291b2a20c065078e14e
Salt 적용 후 : a2ecf8c14c348be724712144d50b021866751cf0a6f61e1089269dac5659cf84
Salt 적용 후 : e080f6cc84b5f6e20ef52fcd3b848b72ef9ed84e75a4792b03b30c915686c02e
Salt 적용 후 : 09d9425c9961e35a2ebcaa58519377e44047843ec7bd5c80106e6bae16bd5eff
SHA-256 with Salt 암호화를 사용하면, 동일한 입력 값에도 불구하고 매번 다른 해시 값을 생성할 수 있습니다. 이는 패스워드의 보안을 크게 강화하는 방법 중 하나입니다. 따라서, 웹 서비스나 애플리케이션에서는 Salt를 사용한 SHA-256 암호화를 적극적으로 도입하여 사용자의 민감한 정보를 안전하게 보호해야 합니다.
※ [HTTPS] SSL/TLS 보안 프로토콜 이해하기( TLS 1.2 / TLS 1.3 )
[HTTPS] SSL/TLS 보안 프로토콜 이해하기( TLS 1.2 / TLS 1.3 )
HTTPS, SSL/TLS 보안 프로토콜 개념 이해하기 ○ HTTPS( HTTP over SSL/TLS, HTTP Secure ) HTTP의 보안 강화된 버전으로 소켓 통신에서 일반 텍스트를 이용하는 대신 SSL/TLS 보안 프로토콜을 통해 세션 데이터 암
aday7.tistory.com
'IT 개발 이야기 > Java' 카테고리의 다른 글
| Java 설치 및 환경 변수 설정 가이드 (0) | 2023.04.14 |
|---|---|
| [Java] Gson Library - API 사용법( GsonBuilder 옵션 정보 ) (0) | 2023.03.06 |
| Gson 라이브러리 활용: Java와 JSON 간 데이터 변환 방법 (0) | 2023.03.03 |
| [Java] 자바 문자열 공백 제거 및 Null 체크 - JDK 버전 별 사용 예제 (0) | 2023.03.02 |
| [Java] RSA 공개키 암호화/복호화 예시( RSA 비대칭키 암호화 ) (0) | 2023.02.23 |
| [Java] AES-256 암호화 시 java.security.InvalidKeyException: Illegal key size 에러 원인 및 해결 방법 (0) | 2023.02.14 |
| [Java] 암호화 알고리즘 실무 적용 사례( SHA, AES, RSA ) (0) | 2023.02.13 |
| [Java] AES 암호화/복호화 예제( AES-256 ) (0) | 2023.02.12 |
댓글