전자정부프레임에서 제공하는 암호화 함수에 대한 문의
- 작성자 :
- 최*영
- 작성일 :
- 2019-11-21 17:04:28
- 조회수 :
- 4,980
- 구분 :
- 공통컴포넌트
- 진행상태 :
- 완료
Q
안녕하세요. 유선으로 문의드렸으나 확인이 필요하시다하여 게시판에 글 남깁니다.
* 클래스명 : EgovFileScrty
* 경로 : egovframework.rfc3.common.util.EgovFileScrty
* 함수명 : encryptPassword(String data)
※ 문의사항
저희 시스템 로그인 페이지가 보안취약점이 발견되어 문의요청
현황 : 클라이언트(AES암호화) -> 서버(AES복호화 후 전자정부프레임 제공 함수로 암호화) -> DB에 사용자 정보 저장되어 관리되는 상태
1. 해당 함수(encryptPassword)를 사용하여 DB에 비밀번호 정보가 저장되어 있는데 복호화 가능한 부분인지
2. 복호화 할 수 없다면 클라이언트단에서 서버단으로 해당 함수(encryptPassword)와 같은 암호화 방식으로 넘길 수 있는 방법이 있는지
3. 전자정부프레임에는 해당 함수의 인코딩 방식이 MD5 방식이라고 나와있는데 관리자계정의 비밀번호를 수동으로 MD5인코딩해보았으나 결과가 다름. (확인 필요)
* 클래스명 : EgovFileScrty
* 경로 : egovframework.rfc3.common.util.EgovFileScrty
* 함수명 : encryptPassword(String data)
※ 문의사항
저희 시스템 로그인 페이지가 보안취약점이 발견되어 문의요청
현황 : 클라이언트(AES암호화) -> 서버(AES복호화 후 전자정부프레임 제공 함수로 암호화) -> DB에 사용자 정보 저장되어 관리되는 상태
1. 해당 함수(encryptPassword)를 사용하여 DB에 비밀번호 정보가 저장되어 있는데 복호화 가능한 부분인지
2. 복호화 할 수 없다면 클라이언트단에서 서버단으로 해당 함수(encryptPassword)와 같은 암호화 방식으로 넘길 수 있는 방법이 있는지
3. 전자정부프레임에는 해당 함수의 인코딩 방식이 MD5 방식이라고 나와있는데 관리자계정의 비밀번호를 수동으로 MD5인코딩해보았으나 결과가 다름. (확인 필요)
A
안녕하세요.
표준프레임워크센터 입니다.
EgovFileScrty 클래스의 기재하신 메소드는
현재 Deprecated 상태이며
id를 추가하여 생성하는 다음 메소드를 권장드립니다.
String encryptPassword(String password, String id)
적용하고 있는 암호화 알고리즘은 SHA-256이며
복호화 되지 않는 단방향 암호화 입니다.
따라서 원문은 알수 없고
DB에 저장된 암호화 문자열 값과
사용자가 입력한 값을 암호화 하여 비교하여 판단하는 방식입니다.
암호화 관련하여 다음 위키가이드도
참고가 되실듯 합니다.
https://www.egovframe.go.kr/wiki/doku.php?id=egovframework:rte2:fdl:encryption_decryption
감사합니다.
표준프레임워크센터 입니다.
EgovFileScrty 클래스의 기재하신 메소드는
현재 Deprecated 상태이며
id를 추가하여 생성하는 다음 메소드를 권장드립니다.
String encryptPassword(String password, String id)
적용하고 있는 암호화 알고리즘은 SHA-256이며
복호화 되지 않는 단방향 암호화 입니다.
따라서 원문은 알수 없고
DB에 저장된 암호화 문자열 값과
사용자가 입력한 값을 암호화 하여 비교하여 판단하는 방식입니다.
암호화 관련하여 다음 위키가이드도
참고가 되실듯 합니다.
https://www.egovframe.go.kr/wiki/doku.php?id=egovframework:rte2:fdl:encryption_decryption
감사합니다.