사용자 패스워드 암호화에 관련하여 문의
- 작성자 :
- 김*태
- 작성일 :
- 2010-07-09 10:45:11
- 조회수 :
- 3,899
- 구분 :
- 실행환경
- 진행상태 :
- 완료
Q
안녕하세요 ~~
전자정부 표준 프레임워크를 사용하여 공공기관에 시스템을 구축하고 있는 업체입니다
구축관련하여 사용자 패스워드 암호화 관련하여 문의드립니다.
1. 현재 중간감리(설계)가 진행중에 있으며, 감리원의 의견으로는
1) 사용자 패스워드에 대한 단방향(Hash) 암호화 권장및
2) KISA의 "개인정보의 기술적 관리적 보호조치" 60~61페이지를 근거로,
2010년까지 SHA-1을 사용할수 있지만, 2011년 이후에는 SHA-256 사용을 권장하고 있습니다.
현재 프레임웍크 지원사항으로 SHA-1 과 ARIA 128을 지원하고 있으며, 단방향 알고리즘은 SHA-1를 적용하고 있는것으로 알고 있습니다.
감리원의 "필수" 사항으로 SHA-256 이상을 사용해야 하는데, 이와관련하여
1. SHA-256 암호화 모듈이 전자정부표준프레임워크에 있는지, 있으면 적용방법을 알려주시고
2. 없다면 향후 제공 계획이 있는지?
3. 행정안전부 주관의 표준프레임워크로 공공기관에 개발할때,
방송통신위원회의 KISA(정보화진흥원) 권고사항인 "개인정보의 기술적 관리적 보호조치" 기준에 따라 필수적으로 SHA-256를 적용해야 하는지 알고 싶습니다.
바쁘시겠지만, 현재 프로젝트가 개발이 진행중이라, 신속한 답변 부탁 드립니다.
감사합니다.
전자정부 표준 프레임워크를 사용하여 공공기관에 시스템을 구축하고 있는 업체입니다
구축관련하여 사용자 패스워드 암호화 관련하여 문의드립니다.
1. 현재 중간감리(설계)가 진행중에 있으며, 감리원의 의견으로는
1) 사용자 패스워드에 대한 단방향(Hash) 암호화 권장및
2) KISA의 "개인정보의 기술적 관리적 보호조치" 60~61페이지를 근거로,
2010년까지 SHA-1을 사용할수 있지만, 2011년 이후에는 SHA-256 사용을 권장하고 있습니다.
현재 프레임웍크 지원사항으로 SHA-1 과 ARIA 128을 지원하고 있으며, 단방향 알고리즘은 SHA-1를 적용하고 있는것으로 알고 있습니다.
감리원의 "필수" 사항으로 SHA-256 이상을 사용해야 하는데, 이와관련하여
1. SHA-256 암호화 모듈이 전자정부표준프레임워크에 있는지, 있으면 적용방법을 알려주시고
2. 없다면 향후 제공 계획이 있는지?
3. 행정안전부 주관의 표준프레임워크로 공공기관에 개발할때,
방송통신위원회의 KISA(정보화진흥원) 권고사항인 "개인정보의 기술적 관리적 보호조치" 기준에 따라 필수적으로 SHA-256를 적용해야 하는지 알고 싶습니다.
바쁘시겠지만, 현재 프로젝트가 개발이 진행중이라, 신속한 답변 부탁 드립니다.
감사합니다.
A
안녕하세요.. 김규태님..
현재 전자정부 표준프레임워크는 ARIA와 다양한 알고리즘의 암호화 모듈을 제공하고 있습니다.
말씀하신 SHA는 암호화가 아닌 Message Diegest 또는 Hash 함수와 관련된 알고리즘으로서 저희 쪽에서 Hash관련 모듈을 제공하고 있진 않습니다.
다만, 일부 모듈(Server Security, 패스워드 암호화 등)에서 Hash 함수를 사용하고 있으나.. 대부분이 SHA-256가 기본으로 적용되어 있습니다.
일부 패스워드 암호화 부분에 SHA-1이 적용되어 있으나.. 이 부분도 .. 외부 설정으로 변경 가능합니다. (알고리즘 지정이 없는 경우 SHA-1 적용)
마지막 3번의 경우는 저희 사업단에서 판단할 수 없는 부분인 것 같습니다. (비록 권고사항이지만 감리의 판단도 중요할 것 같음)
이 부분은 해당 사업자, 발주기관, 감리업체와 협의를 통해 어떤 알고리즘이 적용될 수 있는지 도출하시는 것이 맞을 것 같습니다.
그럼.. 즐거운 하루되십시오.
감사합니다.
현재 전자정부 표준프레임워크는 ARIA와 다양한 알고리즘의 암호화 모듈을 제공하고 있습니다.
말씀하신 SHA는 암호화가 아닌 Message Diegest 또는 Hash 함수와 관련된 알고리즘으로서 저희 쪽에서 Hash관련 모듈을 제공하고 있진 않습니다.
다만, 일부 모듈(Server Security, 패스워드 암호화 등)에서 Hash 함수를 사용하고 있으나.. 대부분이 SHA-256가 기본으로 적용되어 있습니다.
일부 패스워드 암호화 부분에 SHA-1이 적용되어 있으나.. 이 부분도 .. 외부 설정으로 변경 가능합니다. (알고리즘 지정이 없는 경우 SHA-1 적용)
마지막 3번의 경우는 저희 사업단에서 판단할 수 없는 부분인 것 같습니다. (비록 권고사항이지만 감리의 판단도 중요할 것 같음)
이 부분은 해당 사업자, 발주기관, 감리업체와 협의를 통해 어떤 알고리즘이 적용될 수 있는지 도출하시는 것이 맞을 것 같습니다.
그럼.. 즐거운 하루되십시오.
감사합니다.
