안드로이드 로그인 구현 암호화

Question

안드로이드 와 php 를 연동하여   외부 데이터베이스(mysql)에 접근하여

로그인을 구현중입니다.

구현 하던중

암호화 방법이 궁금해서 질문드립니다.

1..

지금은  안드로이드에서 암호화를 하여  php 에 넘긴후 mysql 에 저장하고 있는데

php에서 mysql으로 갈때는 따로 암호화 할 필요가 없는건가요??

2..

 또 이 암호화를 할때 key 값이 있는데

이 키값은 제가 임의로 지정하면 되는지요?

3..  

암호화시 필요한 키값이 있으면

이 키값을  안드로이드에 그냥 저장 해두어도 되는건가요??

 

4..

https 방식으로 통신을 하면 암호화를 할필요가 없는건가요?

아니면 암호화를 하고 https 를 사용하면 보안이 더 좋아진다는건가요?

5..

안드로이드 관련된 암호화가 아니더라도

암호화 과정을 보고 공부할수있는 사이트가 있으면 추천 부탁드립니다.

Answer 1

로그인의 경우에는 단방향 암호화(복구 불가능한)를 하게 됩니다

키값이 필요가 없지요

로그인 시에는 단방향 암호화된 키를 비교하게 됩니다

Answer 2

1. 보안이 필요한 데이터의 경우 암호화된 상태로 저장하면 됩니다. 안드로이드에서 그대로 받아서 넣는 경우는 따로 처리 안해주셔도 됩니다.

2. mysql에서는 복호가능한 암호화와 복호 불가능한 암호화 방식 두가지를 지원합니다. 복호화 가능한 암호화 방식 사용시 키는 임의로 지정하면 됩니다. 하지만 윗분이 말했듯이 패스워드는 보통 복호화 할수 없는 암호화를 하기 때문에 키값이 필요가 없습니다.

3. 보통 복호화가 필요한 경우 서버에서 키값을 가지고 있게 합니다.

4. https는 구간암호화로 네트워크 통신시 트래픽을 캐치하여 데이터가 유출되는 경우를 막는 클라이언트-서버 통신 구간에 암호화를 하는 방식입니다. 클라이언트단에서 암호화를 하여 서버로 보내게 되면 서버와 통신하는 도중 데이터를 가로채도 암호화가 되어있기 때문에 따로 https를 적용하지 않아도 되겠죠 하지만 https를 적용하고 암호화되지 않은 데이터를 주고 받는다 해도  보안이 필요한 데이터를 서버 데이터베이스에 저장할 때 필요한 경우 암호화를 적용해 저장하는 방식을 사용할 수 있습니다.