[HTTP Network] JWT - JSON Web Token

🚀 JWT는 왜 사용 하는가?

Session 방식의 고질적 문제를 해결하기 위해 사용하는 것이에요.

 

 

🚀 JWT를 이해하기 위해 OSI 7 Layer를 간단하게 알아보자!

 

OSI 7 Layer

 

🚀 JWT를 사용하는 이유

    🔽  보안 문제

CIA (기밀성, 무결성, 가용성) 측면으로 Data를 안전하게 암호화하고, 보내기 위해서 사용하는 것이에요.

1. 보안키(개인키) 전달의 문제
2. Data가 누구로부터 왔는지를 검증해야 하는 문제 (인증 문제 대응책)

 

    🔽  해결 방안

JWT에서는 위의 문제를 RSA 방식을 이용하여 해결한 것이에요. RSA는 DSS라는 서명 전용 암호 알고리즘인 것이에요.

RSA는 공개키로 Data를 암호화 한 뒤 상대방에게 보낼 때 상대방 공개키로 암호화하여 보내게 되는 것이에요.

대칭키 (시멘트릭 키) 방식 : 키 하나로 암 / 복호화 하는 방식

해당 공개키는 자신의 개인키로만 복호화가 가능하기 때문에 키 전달 문제를 해결할 수 있는 것이에요.

 

 💡 RSA에 조금 더 자세한 이야기

RSA는 공개키 암호 알고리즘 중 하나이고, 사실 상 표준이다.
SSL 프로토콜을 가진 많은 웹 브라우저, PGP, 공개키 암호 시스템을 사용하는 정부 시스템에서 주로 사용한다.

RSA는 두 개의 지수 e와 d를 사용하는데, 여기서 e가 공개하는 값(공개키)이고, d는 비밀로 유지하는 값(비밀키)이다.

P는 평문이고, C는 암호문인데, 이 때, 전달하는 'C = P의 C 제곱 mod n'을 이용하여 평문 P에서 암호문 C를 만들게 되고, 받는 사람은 암호문에서 'P = C의 d 제곱 mod n'을 구하여 전달자가 보낸 평문을 얻을 수 있다. mod(모듈러)는 매우 큰 수이며, 키 생성 프로세스를 통해 만들어진다.

Data를 전송할 때 받는 사람의 공개키로 암호화만 해서 보내면 중간에서 가로채서 폐기하고, 다른 Data를 상대방에게 보낼 수 있다. 이를 막기 위해 공개키로 암호화한 Data를 전달자의 개인키로 한번 더 암호화를 하면 받는 사람은 전달자의 공개키로 복호화를 해서 열리면 인증이 되는 것이고, 이 Data를 다시 받는 사람의 개인키로 열어 중간자 공격(man in the middle attack, MITM)을 대비하는 방식이다.

단, RSA를 뚫기 위해 '수학적 공격(소인수분해 공격), 타이밍 공격(시간 공격), 선택 암호문 공격(CCA, Chosen Ciphertext Attack)'이 존재한다.

🚀 JWT 구조

 

반응형

 

결국 JWT는 어떤 Data를 암호화해서 기밀성을 유지하는 것에 초점을 맞춘 것이 아니라.
정상 이용자가 맞는지 여부를 확인하는 서명에 초점이 맞춰진 기술인 것이에요.