본문 바로가기

자격증/AWS Certified Security - Specialty

[AWS SCS] KMS Envelope Encryption

728x90
반응형

AWS KMS: 암호화 및 복호화 API, 봉투 암호화(Envelope Encryption) 완벽 이해

AWS KMS(Key Management Service)는 암호화 키의 생성과 관리뿐만 아니라 암호화와 복호화 작업을 지원하는 강력한 서비스입니다. 이번 포스팅에서는 KMS의 암호화 및 복호화 API, 그리고 4KB 이상의 데이터를 암호화할 때 사용하는 봉투 암호화 기법에 대해 자세히 살펴보겠습니다.


1. KMS 암호화 및 복호화 API

1.1 암호화 API (Encrypt)

암호화가 필요한 데이터가 4KB 이하일 때는 Encrypt API를 사용하여 데이터를 암호화할 수 있습니다.

  1. 암호화 과정:
    • SDK나 CLI를 사용해 Encrypt API를 호출합니다.
    • 사용할 CMK(Customer Master Key)를 지정합니다.
    • KMS는 IAM 권한을 체크하여 권한이 있으면 데이터를 암호화합니다.
    • KMS는 암호화된 데이터를 반환합니다.
  2. 복호화 API (Decrypt):
    • 암호화된 데이터를 복호화하려면 Decrypt API를 사용합니다.
    • Decrypt API는 최대 4KB의 데이터만 복호화할 수 있습니다.
    • KMS는 암호화에 사용된 CMK를 자동으로 인식하여 해당 키를 사용해 복호화 작업을 진행합니다.
    • 복호화가 완료되면 평문 데이터가 반환됩니다.

이와 같은 기본적인 암호화 및 복호화 API는 간단히 데이터를 처리할 수 있도록 도와줍니다.


2. 봉투 암호화 (Envelope Encryption)

4KB 이상의 데이터를 암호화하려면 봉투 암호화(Envelope Encryption) 기법을 사용해야 합니다. 이 기법은 데이터 자체의 암호화는 클라이언트 측에서 처리하고, KMS는 키 생성만 담당합니다.

2.1 봉투 암호화 과정

  1. GenerateDataKey API 호출:
    • GenerateDataKey API를 호출하여 데이터 암호화 키(DEK)를 생성합니다.
    • 이 API는 평문 DEK와 해당 DEK를 암호화한 암호화된 DEK를 반환합니다.
  2. 클라이언트 측 암호화:
    • 클라이언트는 반환된 평문 DEK를 사용하여 큰 파일을 암호화합니다.
    • 암호화된 파일과 암호화된 DEK를 하나의 파일로 결합하여 봉투(envelope)를 만듭니다.
  3. 복호화 과정:
    • 봉투 파일에서 암호화된 DEK를 추출하여 Decrypt API를 사용해 복호화합니다.
    • 복호화된 평문 DEK를 사용하여 클라이언트 측에서 암호화된 파일을 복호화합니다.

봉투 암호화의 핵심은 KMS가 제공하는 키 관리 기능을 활용하고, 데이터의 암호화 및 복호화는 클라이언트 측에서 처리한다는 점입니다.


3. 봉투 암호화의 장점과 AWS SDK 활용

봉투 암호화는 큰 데이터를 처리할 때 KMS의 키 관리 기능을 효율적으로 사용할 수 있는 방법입니다. 그러나 AWS는 이를 더 쉽게 구현할 수 있도록 AWS Encryption SDK를 제공합니다.

3.1 AWS Encryption SDK

AWS Encryption SDK는 Java, Python, C, JavaScript용 SDK가 제공되며, 이 SDK를 사용하면 봉투 암호화 패턴을 쉽게 구현할 수 있습니다. 또한, data key caching 기능을 통해 데이터를 암호화할 때마다 새로운 DEK를 생성하지 않고 기존의 DEK를 재사용할 수 있어 KMS 호출을 줄일 수 있습니다.

  • LocalCryptoMaterialsCache: 재사용할 수 있는 데이터 키의 수, 크기 또는 최대 연령을 설정하여 캐시할 수 있습니다. 이를 통해 KMS 호출을 최소화하고 비용을 절감할 수 있습니다.

4. KMS API 요약

시험 준비나 실무에서 KMS를 다룰 때 기억해야 할 주요 API는 다음과 같습니다:

  1. Encrypt: 4KB 이하 데이터를 암호화할 때 사용.
  2. GenerateDataKey: 대칭 데이터 암호화 키(DEK)를 생성하고, 평문 및 암호화된 DEK를 반환.
  3. GenerateDataKeyWithoutPlaintext: 미래에 사용할 DEK를 생성하지만, 평문 DEK는 반환하지 않음.
  4. Decrypt: 최대 4KB의 데이터 및 봉투 암호화에서 DEK를 복호화.
  5. GenerateRandom: 임의의 바이트 문자열을 생성.

5. 결론

AWS KMS는 강력한 암호화 및 키 관리 서비스를 제공하며, 봉투 암호화 기법을 통해 큰 데이터를 효율적으로 처리할 수 있습니다. KMS API를 잘 이해하고 활용하면 보안 강화를 위한 강력한 도구가 될 수 있습니다. AWS Encryption SDK를 사용하면 이 모든 과정을 간편하게 구현할 수 있으므로 실무에서도 유용하게 활용할 수 있습니다.

728x90
반응형

'자격증 > AWS Certified Security - Specialty' 카테고리의 다른 글

[AWS SCS] KMS Key 삭제  (1) 2024.12.22
[AWS SCS] KMS Key Rotation  (0) 2024.12.22
[AWS SCS] KMS Multi Region Key  (0) 2024.12.22
[AWS SCS] AWS KMS  (0) 2024.12.22
[AWS SCS] CloudHSM 활용 사례  (0) 2024.12.22