📌AES

AES(Advanced Encryption Standard) 는 대칭 키 암호화 알고리즘으로, 데이터를 암호화하고 복호화할 때 동일한 비밀 키를 사용합니다. AES는 1997년 미국 국가표준기술연구소(NIST)에 의해 대중에 공개되었고, 2001년에 DES(Data Encryption Standard)를 대체하여 표준 대칭 키 암호화 알고리즘으로 채택되었습니다.

AES는 블록 암호화 방식을 따르며, 고정된 크기의 블록(128비트)을 암호화합니다. 이때, 암호화에 사용할 수 있는 키 길이는 128비트, 192비트, 256비트로 설정할 수 있어, 보안 요구에 따라 선택 가능합니다. 일반적으로 AES는 속도와 보안성 면에서 매우 효율적이며, 금융 시스템, 전자 상거래, 무선 네트워크 등에서 널리 사용됩니다.

📌대칭 암호화

대칭 암호화는 암호화와 복호화에 동일한 키를 사용하는 방식입니다.

📌AES의 기본 개념

ES는 데이터를 암호화할 때, 입력 데이터를 128비트 블록 단위로 나누어 암호화합니다. 각 블록은 여러 번의 라운드(Round)를 거쳐 암호화되며, 라운드의 횟수는 키 길이에 따라 달라집니다.

AES-128: 10 라운드
AES-192: 12 라운드
AES-256: 14 라운드

각 라운드에서는 치환(Substitution), 전치(Permutation), 키 확장(Key Expansion) 등의 연산이 이루어져 데이터가 점점 더 암호화됩니다.

📌암호화 모드(Encryption Modes)

AES는 암호화 모드에 따라 여러 가지 방식으로 데이터를 암호화할 수 있습니다. 대표적인 모드는 다음과 같습니다:

ECB (Electronic Codebook)
가장 기본적인 방식으로, 동일한 평문 블록이 항상 동일한 암호문 블록으로 암호화됩니다. 보안이 취약하기 때문에 잘 사용되지 않습니다.

CBC (Cipher Block Chaining)
각 블록을 암호화할 때 이전 블록의 암호문과 XOR 연산을 한 후 암호화하는 방식입니다. 보안성이 뛰어나며,
초기화 벡터(IV)가 필요합니다.

GCM (Galois/Counter Mode)
고속 암호화와 무결성 검증 기능을 동시에 제공하는 모드입니다. 보안성과 성능이 모두 뛰어나며, 네트워크 통신이나 HTTPS에서 자주 사용됩니다.

CTR (Counter Mode)
각 블록에 고유한 카운터 값을 사용하여 병렬 처리가 가능한 암호화 방식입니다. 성능이 좋고, 다양한 용도로 사용할 수 있습니다.

📌AES의 특징

대칭 키 암호화
동일한 키를 암호화와 복호화 모두에 사용합니다. 따라서 키 관리가 중요합니다.

고정된 블록 크기
AES는 128비트 고정 블록 크기를 사용하여 데이터를 처리합니다.

키 길이
AES는 128비트, 192비트, 256비트 세 가지 키 길이를 지원하여 보안 수준을 유연하게 설정할 수 있습니다.

빠른 처리 속도
하드웨어 및 소프트웨어 모두에서 매우 빠르게 처리될 수 있어, 실시간 데이터 암호화에 적합합니다.

📌AES의 장단점

📍장점

강력한 보안성
AES는 대규모의 키 공간과 복잡한 수학적 변환을 사용하여 매우 안전한 암호화 알고리즘으로 평가됩니다. 양자 컴퓨터에 대한 보안성도 상대적으로 뛰어납니다.
빠른 성능
소프트웨어와 하드웨어 모두에서 빠른 연산이 가능하여, 실시간 데이터 처리에 적합합니다.
유연성
다양한 키 길이를 지원하므로, 요구되는 보안 수준에 따라 유연하게 적용 가능합니다.

📍단점

키 관리 문제
대칭 키 암호화 방식이기 때문에, 암호화와 복호화를 위해 같은 키를 공유해야 하며, 이 키를 안전하게 전달하는 것이 중요합니다.

고정된 블록 크기
AES는 고정된 128비트 블록 크기를 사용하므로, 블록 크기를 맞추기 위해 패딩을 해야 할 경우가 있습니다.

📌Example

AES 알고리즘을 통해 생성된 key는 환경변수에 저장하여 사용하겠습니다. 프로젝트실행 시 키를 생성하고 해당 키를 환경변수에 등록합니다.

📍application.yml

aes:
  algorithm: AES
  key-size: 128
  secret: ${aes-key}
  mode: AES/CBC/PKCS5Padding
  iv-size: 16

키를 생성하는데 필요한 알고리즘, 키 사이즈를 설정합니다. 위에서 설명한 CBC 모드를 사용할 것이기 때문에 이에 필요한 mode, Initial Vector Size 도 설정합니다. secret 키는 환경변수에 등록해서 사용합니다. 환경변수 등록방법은 Link를 확인하세요.

📍AesCryptoService

CryptoService 를 구현하는 AesCryptService를 생성합니다. AES 키 생성, 키 조회, 암/복호화 처리를 합니다.
common.encryption.aes.AesCryptoService

🎈Constructor

@Configuration
@Slf4j
public class AesCryptoService implements CryptoService {
    private final String algorithm;
    private final int keySize;
    private final String aesKey;
    private final String encryptionMode;
    private final byte[] initialVector;

    public AesCryptoService(@Value("${aes.algorithm}") String algorithm,
                            @Value("${aes.key-size}") int keySize,
                            @Value("${aes.secret}") String aesKey,
                            @Value("${aes.mode}") String encryptionMode,
                            @Value("${aes.iv-size}") int ivSize) throws NoSuchAlgorithmException {
        this.algorithm = algorithm;
        this.keySize = keySize;
        this.aesKey = aesKey;
        this.encryptionMode = encryptionMode;
        this.initialVector = new byte[ivSize];
        if (this.aesKey.isEmpty()) {
            log.error("AES key does not exist. create new key. ▼");
            createKey();
        }
    }
    //계속..

application.yml 에 설정한 값을 생성자에서 불러옵니다. AES key가 생성되어 있지 않을 경우 새로 생성합니다.

🎈createKey

@Override
public void createKey() throws NoSuchAlgorithmException {
    KeyGenerator keyGen = KeyGenerator.getInstance(this.algorithm);
    keyGen.init(this.keySize);
    SecretKey aesKey = keyGen.generateKey();
    log.info("=================================AES KEY=================================");
    log.info("AES key : {}", Base64.getEncoder().encodeToString(aesKey.getEncoded()));
}

키를 생성하고 Base64로 인코딩 하여 로그로 출력합니다. 출력된 키 값을 환경변수에 등록합니다. IntelliJ에서 환경변수를 등록하는 방법은 Link를 확인하세요.

🎈Decode key

키를 Base64 로 decoding 하여 전달합니다. ServiceException 에 대해서는 Link 를 참고하세요.

@Override
public SecretKey getPublicKey() {
    byte[] decodeKey = Base64.getDecoder().decode(this.aesKey);
    return new SecretKeySpec(decodeKey, 0, decodeKey.length, this.algorithm);
}

🎈encrypt, decrypt

동일한 키를 사용하여 암/복호화 하는 메서드를 작성합니다.

@Override
public String decrypt(String encryptedText) {
	if(StringUtils.isEmpty(encryptedText)) return encryptedText;
    try {
        Cipher cipher = Cipher.getInstance(this.encryptionMode);
        IvParameterSpec ivParameterSpec = new IvParameterSpec(this.initialVector);
        cipher.init(Cipher.DECRYPT_MODE, getPublicKey(), ivParameterSpec);
        byte[] decodedBytes = Base64.getDecoder().decode(encryptedText);
        byte[] decryptedBytes = cipher.doFinal(decodedBytes);
        return new String(decryptedBytes);
    } catch (NoSuchAlgorithmException | NoSuchPaddingException | IllegalBlockSizeException
             | BadPaddingException | InvalidKeyException | InvalidAlgorithmParameterException e) {
        log.error("Decryption error. encryptedText : {}", encryptedText);
        throw new ServiceException(ErrorCode.SERVICE_ERROR, e);
    }
}

@Override
public String encrypt(String plainText) {
	if(StringUtils.isEmpty(plainText)) return plainText;
    try {
        Cipher cipher = Cipher.getInstance(this.encryptionMode);
        IvParameterSpec ivParameterSpec = new IvParameterSpec(this.initialVector);
        cipher.init(Cipher.ENCRYPT_MODE, getPublicKey(), ivParameterSpec);
        byte[] encryptedBytes = cipher.doFinal(plainText.getBytes());
        return Base64.getEncoder().encodeToString(encryptedBytes);
    } catch (NoSuchAlgorithmException | NoSuchPaddingException | IllegalBlockSizeException
             | BadPaddingException | InvalidKeyException | InvalidAlgorithmParameterException e) {
        throw new ServiceException(ErrorCode.SERVICE_ERROR, e);
    }
}

이제 프로젝트를 실행하면 AES key 가 현재는 없기 때문에 콘솔에 생성된 key가 출력되게 됩니다.
console

AES key does not exist. create new key. ▼
=================================AES KEY=================================
AES key : wcofmroZy...

출력된 키를 복사해서 위에서 등록한 환경변수 aes-key의 값에 등록합니다.

📍자리 수 설정

만일 암호화 된 값의 자리수 고정 요청이 있다면 아래의 메서드를 활용합니다. 암호화된 값 + 랜덤 텍스트로 256자리수를 만드는 메서드 입니다.

    private String padTo256(String base64Encoded) {
        int encryptedTextLength = 256;
        StringBuilder padded = new StringBuilder(base64Encoded);
        SecureRandom random = new SecureRandom();
        String characters = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789";
        while (padded.length() < encryptedTextLength) {
            char randomChar = characters.charAt(random.nextInt(characters.length()));
            padded.append(randomChar);
        }
        return padded.substring(0, encryptedTextLength);
    }

해당 메서드를 사용했다면 복호화 시에도 랜덤 텍스트를 잘라내어 원래의 암호화 값만 남기도록 처리하는 코드를 추가해 주어야 합니다.

encryptedText = encryptedText.substring(0, encryptedText.indexOf("==") + 2);

📍CryptoController

이전 RSA를 구현할 때 사용했던 CryptoController에 AES 키 요청 method 를 추가하겠습니다.

@RestController
@RequiredArgsConstructor
@Tag(name = "암호화 관련 정보 요청", description = "보안이 필요한 정보를 암호화 하기 위한 키 요청")
@RequestMapping("v1")
public class CryptoController {
    private final CryptoService rsaCryptoService;
    private final CryptoService aesCryptoService; //추가
    private final MessageConfig messageConfig;
    
    //생략..
    
    @Operation(summary = "AES Key 요청", description = """
            """, operationId = "API-999-02")
    @PostMapping(value = "/key/aes", produces = MediaType.APPLICATION_JSON_VALUE)
    public ResponseEntity<ItemResponse<PublicKeyResponse>> getAESPublicKey() {
        SecretKey key = (SecretKey) this.aesCryptoService.getPublicKey();
        String keyString = Base64.getEncoder().encodeToString(key.getEncoded());
        PublicKeyResponse publicKeyResponse = PublicKeyResponse.builder().publicKey(keyString).build();
        return ResponseEntity.ok()
                .body(ItemResponse.<PublicKeyResponse>builder()
                        .status(messageConfig.getCode(NormalCode.SEARCH_SUCCESS))
                        .message(messageConfig.getMessage(NormalCode.SEARCH_SUCCESS))
                        .item(publicKeyResponse)
                        .build());

위에서 생성한 키를 Base64로 인코딩 하여 전송합니다.

추가적으로 키를 요청하는 URI는 인증이 필요없기 때문에 Spring Security의 인증 URI 목록에서 제외해야 합니다. 그러기 위해 SecurityConfig의 ignoreUris 목록에 주소를 추가해 줍니다.

이제 클라이언트는 받은 key 를 Base64로 디코딩 한 후 나온 키로 password 등을 암호화 하여 전송하면 됩니다. 복호화는 RSA와 마찮가지로 AesCryptoService의 decrypt method를 호출하면 됩니다.

📌Conclusion

AES는 빠르고 강력한 보안 알고리즘으로, 많은 애플리케이션에서 신뢰받는 대칭키 암호화 알고리즘입니다. 키 길이에 따라 보안 수준을 조절할 수 있고, 다양한 암호화 모드를 통해 다양한 환경에 맞게 사용할 수 있습니다. 다음에는 앞서 알아본 RSA 와 AES 를 혼합한 하이브리드 방식으로 암/복호화 로직을 변경해보겠습니다.