📌RSA

RSA는 1977년 이 암호 체계를 개발한 Ron Rivest, Adi Shamir, Leonard Adleman 세 사람의 성을 따서 RSA 라고 이름이 붙여졌습니다. RSA는 비대칭 암호화 알고리즘으로, 공개 키(Public Key)와 개인 키(Private Key)를 사용합니다. 현재 SSL/TLS에 가장 많이 사용되는 암호화 알고리즘이며, 전세계 대부분의 인터넷 뱅킹(대한민국 포함)이 이 RSA-2048 암호화를 사용합니다. 성능보다는 보안의 중점을 둔 암호화 알고리즘 입니다.

📌비대칭 암호화

비대칭 암호화는 암호화와 복호화에 서로 다른 키를 사용하는 방식입니다.
공개 키 (Public Key): 누구에게나 공개 가능한 키입니다. 주로 데이터를 암호화하는 데 사용됩니다.
개인 키 (Private Key): 소유자가 비밀로 유지하는 키로, 암호화된 데이터를 복호화할 때 사용됩니다.
비대칭 암호화의 기본 원리는, 공개 키로 암호화한 데이터를 오직 해당 공개 키와 짝을 이루는 개인 키로만 복호화할 수 있다는 점입니다.

📌RSA의 기본 개념

RSA 알고리즘의 핵심은 수학적 연산에 기반을 둔 소인수분해 문제의 복잡성입니다. 이는 매우 큰 수를 소인수분해하는 것이 매우 어렵기 때문에 RSA의 보안성이 유지됩니다.
RSA 알고리즘은 다음 수학적 개념을 활용합니다.
두 개의 큰 소수 p와 q의 곱을 기반으로 공개 키와 개인 키를 생성
큰 수를 소인수분해하는 것이 매우 어렵다는 사실을 이용해 암호화의 안정성을 확보

📌RSA의 장단점

📍장점

강력한 보안성
소인수분해 문제를 기반으로 하기 때문에, 적절한 키 길이(2048비트 이상)를 사용하면 매우 안전합니다.

비대칭 암호화
같은 키로 암호화하고 복호화하는 대칭 암호화보다 더 안전한 통신 방식입니다.

📍단점

속도 문제
RSA는 대칭 암호화 알고리즘에 비해 속도가 느립니다. 따라서 대칭 키 암호화와 혼합하여 하이브리드 암호화 방식으로 사용되는 경우가 많습니다.

키 길이 증가
키 길이가 증가할수록 암호화 및 복호화 연산의 복잡성이 증가하므로 연산 시간이 길어집니다.

📌Example

RSA 알고리즘을 통해 성성된 Public key 와 Private key 는 환경변수에 저장하여 사용하겠습니다. 프로젝트 실행 시 키를 생성하고 해당 키를 환경변수에 등록합니다.

📍application.yml

rsa:
  algorithm: RSA
  key-size: 2048
  public-key: ${rsa-public}
  private-key: ${rsa-private}

키를 생성하는데 필요한 알고리즘, 키 사이즈를 설정합니다. public-key, private-key 는 환경변수에 등록해 사용합니다. shift 2번을 연속으로 눌러 창이 뜨면 edit configurations 검색해서 실행합니다. Environtment variables 가 있다면 선택해서 rsa-private, rsa-public 을 등록하고, 없다면 modify options 를 선택해서 Alt + E (Environment variables) 를 추가하여 값을 등록합니다.

📍CryptoService Interface

다양한 양방향 암호화 구현체를 생성하기 위한 Interface를 생성합니다.

public interface CryptoService {

    void createKey() throws NoSuchAlgorithmException;

    Key getPublicKey();

    String decrypt(String encryptedText);

    String encrypt(String plainText);
}

📍RsaCryptoService

CryptoService 를 구현하는 RsaCryptoService를 생성합니다. RSA 키 페어 생성, private key, public key 조회, 암/복호화 처리를 합니다.
common.encryption.rsa.RsaCryptoService

🎈Constructor

@Configuration
@Slf4j
public class RsaCryptoService implements CryptoService {
    private final String algorithm;
    private final int keySize;
    private final String privateKey;
    private final String publicKey;

    public RsaProvider(@Value("${rsa.algorithm}") String algorithm,
                       @Value("${rsa.key-size}") int keySize,
                       @Value("${rsa.private}") String privateKey,
                       @Value("${rsa.public}") String publicKey)
                       throws NoSuchAlgorithmException {
        this.algorithm = algorithm;
        this.keySize = keySize;
        this.privateKey = privateKey;
        this.publicKey = publicKey;
        if (StringUtils.isEmpty(this.privateKey) || StringUtils.isEmpty(this.publicKey)) {
            log.error("RSA public or private key does not exist. create new key. ▼");
            createKey();
        }
    }
    //계속..

application.yml 에 설정한 값을 생성자에서 불러옵니다. privateKey 나 publicKey가 생성되어 있지 않을 경우 새로 생성을 합니다.

🎈createKey

@Override
private void createKey() throws NoSuchAlgorithmException {
    SecureRandom secureRandom = new SecureRandom();
    KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance(this.algorithm);
    keyPairGenerator.initialize(this.keySize, secureRandom);
    KeyPair keyPair = keyPairGenerator.genKeyPair();
    log.info("===========================RSA KEY===========================");
    log.info("private : {}", Base64.getEncoder()
    	.encodeToString(keyPair.getPrivate().getEncoded()));
    log.info("public : {}", Base64.getEncoder()
    	.encodeToString(keyPair.getPublic().getEncoded()));
}

키를 생성하고 Base64로 인코딩 하여 로그로 출력합니다. 출력된 키 값을 환경변수에 등록합니다. IntelliJ에서 환경변수를 등록하는 방법은 Link를 확인하세요.

🎈Decode key

private, public 키를 Base64 로 decoding 하여 전달합니다. ServiceException 에 대해서는 Link 를 참고하세요.

public PrivateKey getPrivateKey() {
    try {
        PKCS8EncodedKeySpec spec = new PKCS8EncodedKeySpec(Base64.getDecoder()
        	.decode(this.privateKey));
        KeyFactory keyFactory = KeyFactory.getInstance(this.algorithm);
        return keyFactory.generatePrivate(spec);
    } catch (NoSuchAlgorithmException | InvalidKeySpecException e) {
        throw new ServiceException(ErrorCode.SERVICE_ERROR, e);
    }
}

@Override
public PublicKey getPublicKey() {
    try {
        X509EncodedKeySpec spec = new X509EncodedKeySpec(Base64.getDecoder()
        	.decode(this.publicKey));
        KeyFactory keyFactory = KeyFactory.getInstance(this.algorithm);
        return keyFactory.generatePublic(spec);
    } catch (NoSuchAlgorithmException | InvalidKeySpecException | 
    		 NullPointerException e) {
        throw new ServiceException(ErrorCode.SERVICE_ERROR, e);
    }
}

🎈encrypt, decrypt

public key 를 사용하여 암호화, private key 를 사용하여 복호화 하는 메서드를 작성합니다.

@Override
public String decrypt(String encrypted) {
    PrivateKey privateKey = getPrivateKey();
    try {
        byte[] byteEncrypted = Base64.getDecoder().decode(encrypted.getBytes());
        Cipher cipher = Cipher.getInstance(this.algorithm);
        cipher.init(Cipher.DECRYPT_MODE, privateKey);
        byte[] bytePlain = cipher.doFinal(byteEncrypted);
        return new String(bytePlain, StandardCharsets.UTF_8);
    } catch (IllegalArgumentException | NoSuchAlgorithmException | 
    		 NoSuchPaddingException | InvalidKeyException | 
             IllegalBlockSizeException | BadPaddingException e) {
        log.error("RSA decrypt error. encrypted value : {}", encrypted);
        throw new ServiceException(ErrorCode.INVALID_PARAMETER, e);
    }
}

@Override
public String encrypt(String plainText) {
    PublicKey publicKey = getPublicKey();
    try {
        Cipher cipher = Cipher.getInstance(this.algorithm);
        cipher.init(Cipher.ENCRYPT_MODE, publicKey);
        byte[] bytePlain = cipher.doFinal(plainText.getBytes());
        return Base64.getEncoder().encodeToString(bytePlain);
    } catch (NoSuchAlgorithmException | NoSuchPaddingException | 
             IllegalBlockSizeException | BadPaddingException | 
             InvalidKeyException e) {
        throw new ServiceException(ErrorCode.SERVICE_ERROR, e);
    }
}

이제 프로젝트를 실행하면 RSA private, pubilc key 가 현재는 없기 때문에 콘솔에 생성된 key가 출력되게 됩니다.

console

RSA public or private key does not exist. create new key. ▼
=================================RSA KEY=================================
private : MIIEvQIBADANBgkqh...
public : MIIBIjANBgkqhkiG9w... 

출력된 키를 복사해서 위에서 등록했던 환경변수 값에 등록을 합니다.

📍CryptoController

RSA public key 를 전송할 CryptoController 를 생성합니다.
domain.encryption.CryptoController

@RestController
@RequiredArgsConstructor
@Tag(name = "암호화 관련 정보 요청", 
     description = "보안이 필요한 정보를 암호화 하기 위한 키 요청")
@RequestMapping("v1")
public class CryptoController {
    private final CryptoService rsaCryptoService;
    private final MessageConfig messageConfig;

    @Operation(summary = "RSA Public Key 요청", description = """
            """, operationId = "API-999-01")
    @PostMapping(value = "/key/rsa", produces = MediaType.APPLICATION_JSON_VALUE)
    public ResponseEntity<ItemResponse<PublicKeyResponse>> getPublicKey() {
        PublicKey key = (PublicKey) this.rsaCryptoService.getPublicKey();
        String keyString = Base64.getEncoder().encodeToString(key.getEncoded());
        PublicKeyResponse publicKeyResponse = PublicKeyResponse.builder()
        	.publicKey(keyString).build();
        return ResponseEntity.ok()
                .body(ItemResponse.<PublicKeyResponse>builder()
                        .status(messageConfig.getCode(NormalCode.SEARCH_SUCCESS))
                        .message(messageConfig.getMessage(NormalCode.SEARCH_SUCCESS))
                        .item(publicKeyResponse)
                        .build());
    }
}

위에서 생성했던 public key 를 Base64로 인코딩 하여 전송합니다.

추가적으로 키를 요청하는 URI는 인증이 필요없기 때문에 Spring Security의 인증 URI 목록에서 제외해야 합니다. 그러기 위해 SecurityConfig의 ignoreUris 목록에 주소를 추가해 줍니다.

이제 클라이언트는 받은 Public key 를 Base64로 디코딩 한 후 나온 키로 password를 암호화 하여 전송합니다. 이전에 작성했던 LoginService를 RSA를 사용하는 방식으로 개선해보겠습니다.

domain.login.LoginService

@Service
@RequiredArgsConstructor
public class LoginService {

    private final MemberQueryMethodRepository memberQueryMethodRepository;
    private final AuthenticationManagerBuilder authenticationManagerBuilder;
    private final TokenProvider tokenProvider;
    private final PasswordEncoder passwordEncoder;
    private final CryptoService rsaCryptoService; //추가

    @Transactional
    public TokenResponse login(
    		HttpServletResponse httpServletResponse, LoginRequest parameter) {
        Member member = this.memberQueryMethodRepository.findById(parameter.memberId())
                .orElseThrow(() -> new ServiceException(ErrorCode.NOT_AUTHENTICATION));
        String decodedPassword = this.rsaCryptoService.decrypt(parameter.password()); //추가
        if (!this.passwordEncoder.matches(decodedPassword, member.getPassword())) {
            throw new ServiceException(ErrorCode.NOT_AUTHENTICATION);
        }
        UsernamePasswordAuthenticationToken authenticationToken
        	= new UsernamePasswordAuthenticationToken(parameter.memberId(), 
            										  decodedPassword);
//이하 생략..

암호화된 password를 복호화 후 동작하도록 수정하였습니다.
this.rsaProvider.encrypt("등록한 password"); 로 암호화된 값을 복사하여 password로 변경하고 로그인 로직을 수행합니다.

🎈암호화가 올바르지 않을 경우

🎈정상동작 할 경우

Token 값이 리턴됩니다. LoginService 참고.

📌Conclusion

RSA 암호화는 강력한 보안성을 자랑하며, 전자 상거래 및 디지털 서명 등 다양한 분야에서 널리 사용되고 있습니다. 하지만 키 관리와 연산 속도 문제가 존재하고, 이 때문에 AES와 혼합하여 하이브리드 방식이 사용되곤 합니다. 다음에는 AES 암호화에 대해서 알아보고 이번에 알아본 RSA에 AES방식을 혼합한 하이브리드 방식으로 개선해보겠습니다.