JWT (3)

보안

• CIA

C : 기밀성, 암호화를 통해 기밀성 유지
I : 무결성(변경)
A : 가용성(접근)

1. 키 전달 문제
2. 문서가 누구로부터 왔는지(인증 문제)

이 문제만 해결하면 보안 이슈를 해결 가능하다.

• RSA

공개키 암호시스템의 하나로, 공개키와 비공개키를 가진다.

문서를 보내는 쪽을 A, 받는 쪽을 B라고 할 때

1. B의 공개키로 A에서 문서를 암호화 한다.
2. 암호문을 보낸다.
3. B에 문서가 탈취당하지 않고 도착할 경우, B는 암호를 정상적으로 읽을 수 있다.
   (암호화에 쓰이는 방식 -> 키 전달 문제 해결 가능)

1. A에서 문서를 A의 개인키로 암호화 해서 B로 보냈다.
2. 해커가 탈취를 해서 A의 공개키로 복호화해서 열어 보았지만, 내용은 그냥 정보 전달용 문장이다.
3. B는 문서를 A의 공개키로 복호화해서 푸는데, 풀리면 A의 문서가 맞으므로 신뢰된 문서라는걸 알 수 있다.
   (전자문서의 서명에 쓰이는 방식 -> 인증 문제 해결 가능)

두가지 방식을 합친다.

1. A의 문서를 B의 공개키로 암호화 한다.
2. 암호화된 문서를 A의 개인키로 암호화를 한번 더 한다.
3. 해커가 탈취를 해서 A의 공개키로 복호화해서 열어 보았지만, B의 공개키로 암호화가 내부에 되어있기 때문에 내용을 복호화 할 수는 없다.
4. B는 문서를 A의 공개키로 복호화해서 푸는데, 풀리면 A의 문서가 맞으므로 신뢰된 문서라는걸 알 수 있다. (인증 문제 해결)
5. B는 문서를 한번더 자신의 개인키로 복호화하여 정상적으로 읽을 수 있다.
   (키 전달문제 해결)