What is 🥢 대칭키 / 🪡비대칭키 / 📦HTTPS

shleecloud·2021년 10월 24일

Security

목록 보기

2/6

✍ 들어가며

실습하면서 Hash에 대한 내용은 많이 들었지만 공개키와 비공개키에 대해서 조금 모호한 부분이 있다. 키를 생성하는 과정에서 key.pem, cert.pem 파일이 생성되고 나눠주는 부분도 조금 어색하다. 이 부분을 중점으로 정리하고자 한다.

🥢 대칭키

대칭키 암호화 방식은 암복호화에 사용하는 키가 동일한 암호화 방식을 말한다.

공개키 암호화 방식보다 1000배 빠르다. wow!
모든 통신에 키를 만들어야 돼서 관리할 키가 많아진다.
키를 전송해야된다는 단점이 있다.
- 1:1 키를 전달하는 과정에서 탈취될 수 있다.
- 별도의 키교환 알고리즘이 필요하다.

🪡 비대칭키 (공개키)

공개키 암호화 방식은 암복호화에 사용하는 키가 서로 다르며 따라서 비대칭키 암호화라고도 한다. 따라서 공개키 암호화 에서는 송수신자 모두 한쌍의 키(개인키, 공개키)를 갖고있게 된다.

키를 교환할 필요가 없다.
- 클라이언트가 받는 키는 공개키라서 공개해도 상관없다.

비대칭키 작업 흐름

수신자(서버)는 공개키📖와 개인키🔑를 만든다.
- 수신자는 공개키📖를 공유한다.
송신자는 수신자의 공유된 공개키📖로 데이터 암호화 후 전송한다.
- 누군가 중간에 탈취해도 수신자의 개인키🔑가 없으면 볼 수 없다.
수신자는 개인키🔑로 데이터를 복호화한다.

🏇 대칭키 비대칭키 비교

구분	대칭키	비 대칭키
키 관계	암호화키 = 복호화키	암호화키 ≠ 복호화키
키 전송	비밀키 전송 필요	비밀키 전송 불필요
키 갯수	n(n-1)/2	2n
장점	고속, 경제성 높음	키 분배 및 관리용이
단점	키 분배 및 관리불편	저속, 경제성 낮음

📦 HTTPS

TLS를 사용해 암호화된 연결을 하는 HTTP를 HTTPS(HTTP Secure)라고 한다. 웹사이트 주소 역시 http://가 아닌 https://로 시작된다. 기본 포트는 80번이 아닌 443번을 쓴다.

HTTPS에 필요한 요소

인증서
- 데이터를 보내준 서버가 정말로 데이터를 보내준 서버인지 인증 확인하는 용도. 서버의 도메인 관련 정보가 있어서 데이터 제공자를 표기함
CA (Certificate Authority, 공인 인증서 발급 기관)
- 각 브라우저는 신뢰하는 인증서의 기관 목록을 가지고 있음.
비대칭 키 암호화
- 공개키로 암호화한 데이터는 공개키로 복호화 할 수 없음. (심지어 암호화한 본인조차 복호화 할 수 없다!)
대칭키 암호화
- 비대칭 키로 임의의 키를 주고받은 후 대칭키 암호화로 전환.

HTTPS 작업흐름

서버가 요청을 받으면 공개키와 인증서로 응답
클라이언트는 인증서의 도메인과 응답한 서버의 도메인을 비교한다.
- 인증서에 써있는 사람과 다른 사람이 보낸게 아닌지 확인 🕵️
- 만약 다르다면 중간에 누군가가 변조된 URL이나 도메인임을 알 수 있다.
클라이언트는 임의의 키(pre master secret)를 만들어서 암호화 후 서버로 전달한다.
임의의 키로 각각 대칭키를 만들고 통신한다.

비대칭키로 초기 통신 보안을 확인한다.
임의의 키(pre master secret)를 주고 받은 이후 대칭키로 통신한다.

💻 NodeJS HTTPS 구현

서버에서 인증서를 만들어서 모듈을 통해 HTTPS를 띄우면 이후부터는 브라우저와 모듈에서 알아서 진행해준다.

서버 인증서, 공개키 / 개인키 생성

mkcert 모듈로 자체 인증서를 만들 수 있다.

// macOS 사용자의 경우, Homebrew를 통해 mkcert를 설치할 수 있습니다.
$ brew install mkcert
// 먼저 다음 명령어를 통해 로컬을 인증된 발급기관으로 추가해야 합니다.
$ mkcert -install
// 다음은 로컬 환경에 대한 인증서를 만들어야 합니다. 
// localhost로 대표되는 로컬 환경에 대한 인증서를 만들려면 다음 명령어를 입력해야 합니다.
$ mkcert -key-file key.pem -cert-file cert.pem localhost 127.0.0.1 ::1

cert.pem 파일은 인증서와 공개키를 모두 가지고 있다.
아래 명령어로 확인할 수 있다.

$ openssl x509 -in ./cert.pem -text
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: .......
    Signature Algorithm: sha256WithRSAEncryption
    ...
    
    
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:dc:b5:15:70:1f:e8:98:69:9b:7c:92:5f:46:99:
                    c1:fb:0d:5c:c0:62:35:46:51:49:df:ce:25:3b:cb:
                    ...
-----BEGIN CERTIFICATE-----
MIIElDCCAvygAwIBAgIQA1SODLu5nU4/A5r3hRDQcjANBgkqhkiG9w0BAQsFADCB
qTEeMBwGA1UEChMVbWtjZXJ0IGRldmVsb3BtZW50IENBMT8wPQYDVQQLDDZzZXVu
...

cert 파일은 공개되어도 상관 없지만 key 파일은 공개해선 안된다.
key 파일은 .gitignore 파일에 추가하여 공개하지 않도록 한다. 파일명만 적어두면 최상단부터 최하위 디렉토리까지 모두 적용된다.

node_modules
.env
*.pem
localhost*
*package-lock.json

HTTPS 서버 생성

const fs = require('fs');
const express = require('express');
// 서버 생성
const app = express();
const https = require('https');

// https.createServer 메소드의 두번째 인자로 app이 들어간다. 
const server = https
  .createServer(
    {
      key: fs.readFileSync(__dirname + '/key.pem', 'utf-8'),
      cert: fs.readFileSync(__dirname + '/cert.pem', 'utf-8'),
    },
    app
  )
  .listen(4000);
module.exports = server;