Purpose
——-
Oracle 8i Release2 (8.1.6) 부터 향상된 보안 기능으로
DBMS_OBFUSCATION_TOOLKIT 을 사용한 암호화 복호화 기능에 대해 알아보자.
Explanation
———–
이 기능은 DB 내에 저장되는 컬럼을 plain 문장이 아닌 암호화된 문장을
저장할 수 있게 한다. 만약 신용카드 번호나 패스워드 등 안전하게 보호해야
할 정보일 경우 이 기능을 사용하면 안전하게 정보를 저장할 수 있다.
기존에는 암호화 기능을 사용하려면 3rd party의 제품이 필요했으나,
8.1.6 이후로는 DB 내에 이 기능을 포함시켰다.
1. DBMS_OBFUSCATION_TOOLKIT
DBMS_OBFUSCATION_TOOLKIT 을 사용하여 Data를 암호화/복호화한다.
이 패키지에는 4개의 프로시져가 있다.
– VARCHAR2와 RAW Data를 암호화하는 2개의 프로시져
– VARCHAR2와 RAW Data를 복호화하는 2개의 프로시져
2. 설치
1) SYS 로 접속 후 dbmsobtk.sql과 prvtobtk.plb를 순서대로 실행
2) grant execute on dbms_obfuscation_toolkit to public
이 function에서 일반적으로 2개의 파라미터가 필요하나데, 하나는
암호화되거나 복호화되는 데이타이고, 다른 하나는 암호화 알고리즘에서
사용되는 암호화 키이다.
3. DES (Data Encryption Standard)
DES 알고리즘은 64bit의 캐릭터를 사용하여 알파벳 한 글자 단위로 위치를
바꾸는 방식이며 19 단계를 거치게 된다. 복호화시 사용되는 패스워드는
암호화에 사용된 패스워드와 같으며, 그 역순을 따르게 된다. 입력 데이타는
8 캐릭터의 블럭으로 나뉘어져 각각 암호화 되며, dbms_obfuscation_toolki
에서 사용가능한 알고리즘이다.
4. 제약사항
1) Data 는 DES (Data Encryption Standard) 에 의한 비밀키 암호화만
가능하며, 복호화시에도 동일한 키를 사용해야만 복호화가 가능하다.
2) 56 bit의 키를 사용한 암호화만 가능하다.
3) Double encryption은 지원하지 않으며, 암호화된 Data를 재암호화하려고
하면 ORA-28233 : “double encryption not supported” 에러가 발생한다.
4) 암호화 하려는 data가 8 bytes 배수(8,16,… bytes)이어야 한다.
이 제약사항들은 버젼 업그레이드에 따라 향상될 계획이며, 좀 더 강력한
보안 기능을 제공하게 될 것이다. 주의 사항 중 하나는 암호화/복호화 작업은
CPU 자원을 많이 사용하며, 시스템 가용 상황에 따라 적절한 계획을 세워야
할 것이다.
5. 관련 ORACLE error
1) ORA error 28231 “Invalid input to Obfuscation toolkit”
– input data, key값이 NULL일 경우 발생
2) ORA error 28232 “Invalid input size for Obfuscation toolkit”
– input data가 8 bytes 배수가 아닐 경우 발생
3) ORA error 28233 “Double encryption not supported by DESEncrypt in Obfuscation toolkit”
– encrypt data를 다시 encrypt경우 발생
예제)
1) encrypt/decrypt에 이용할 FUNCTION을 만든다.
(만약 input string이 8 bytes 배수가 아니면 패딩을 한다)
——————————————————–
CREATE OR REPLACE PACKAGE CryptString AS
FUNCTION encrypt( Str VARCHAR2, hash VARCHAR2 ) RETURN VARCHAR2;
FUNCTION decrypt( xCrypt VARCHAR2, hash VARCHAR2 ) RETURN VARCHAR2;
END CryptString;
/
CREATE OR REPLACE PACKAGE BODY CryptString AS
crypted_string VARCHAR2(2000);
FUNCTION encrypt( Str VARCHAR2, hash VARCHAR2 ) RETURN VARCHAR2 AS
pieces_of_eight INTEGER := ((FLOOR(LENGTH(Str)/8 + .9)) * 8);
BEGIN
dbms_obfuscation_toolkit.DESEncrypt( input_string => RPAD( Str, pieces_of_eight ), key_string => RPAD(hash,16,’#’), encrypted_string => crypted_string );
RETURN crypted_string;
END;
FUNCTION decrypt( xCrypt VARCHAR2, hash VARCHAR2 ) RETURN VARCHAR2 AS
BEGIN
dbms_obfuscation_toolkit.DESDecrypt( input_string => xCrypt, key_string => RPAD(hash,16,’#’), decrypted_string => crypted_string );
RETURN trim(crypted_string);
END;
END CryptString;
/
2) Encrypt하여 데이터 입력
drop table encrypt_table;
create table encrypt_table( id number, passwd varchar(50) );
insert into encrypt_table values( 1, CryptString.encrypt(‘tigerofkorea’, ‘encrypt1’));
insert into encrypt_table values( 2, CryptString.encrypt(‘tigerofkorea’, ‘encrypt2’));
3) Decrypt하여 데이터 조회
select id, passwd from encrypt_table where passwd = ‘tigerofkorea’;
no rows selected
-> 물론 Decrypt하지 않으면 암호화된 데이터와 비교된다.
SQL> select id, dump(passwd) passwd from encrypt_table;
ID PASSWD
—————-
1 Typ=1 Len=16: 223,79,183,178,249,189,4,217,180,170,20,123,4,155,82,28
2 Typ=1 Len=16: 74,157,14,15,147,238,66,139,164,31,250,168,7,105,138,14
-> 저장장치에 Encrypt된 값으로 저장된다.
select id, CryptString.decrypt(passwd, ‘encrypt1’) passwd from encrypt_table
where CryptString.decrypt(passwd, ‘encrypt1’) = ‘tigerofkorea’;
ID PASSWD
—————
1 tigerofkorea
select id, CryptString.decrypt(passwd, ‘encrypt2’) passwd from encrypt_table
where CryptString.decrypt(passwd, ‘encrypt2’) = ‘tigerofkorea’;
ID PASSWD
—————-
2 tigerofkorea