Javascript를 사용하여 암호화 및 복호화

Opal 웹사이트를 만들 때 직면했던 과제는 브라우저에서 이를 암호화하고 해독할 수 있는 안정적인 방법을 찾는 것이었습니다.

이 기사에서는 브라우저 측 암호화가 직면한 과제에 대해 설명하고 최근 기술 발전이 제공하는 솔루션을 식별합니다.

웹 애플리케이션의 세 가지 암호화 옵션

JavaScript만이 모든 브라우저에서 지원되는 언어입니다. Opal과 같은 웹 애플리케이션은 JavaScript로 작성되어 모든 최신 브라우저에서 실행됩니다. 이러한 애플리케이션이 암호화 기능을 사용하려면 JavaScript가 해당 애플리케이션에 액세스할 수 있어야 합니다.

현재 브라우저의 JavaScript에 암호화 기능을 노출하는 옵션은 세 가지뿐입니다.

1. 플러그인 암호화 사용

플러그인은 브라우저에서 실행되는 것을 의미합니다. . JavaScript에서 호출할 수 있는 컴파일된 코드입니다.

예를 들어 Java 및 Flash에 존재하는 암호화 라이브러리입니다. 이 접근 방식은 일반적으로 성능이 매우 뛰어나지만 사용자가 브라우저 플러그인을 설치해야 하는데, 이는 사람들이 원하지 않거나 할 수 없는 작업입니다(공용 컴퓨터를 사용하는 경우).

또 다른 옵션은 C 또는 C++에서 컴파일된 기계어 코드를 실행할 수 있는 Chrome 브라우저의 NaCl 클라이언트(Native Client) 프로그램을 사용하는 것입니다. 다시 말하지만, 이 접근 방식은 성능이 매우 뛰어나지만 NaCl 클라이언트 프로그램은 Chrome 브라우저에서만 사용할 수 있습니다.

이러한 플러그인과 NaCl 클라이언트 프로그램은 속도 측면에서 장점이 있음에도 불구하고 사용자가 특수 플러그인을 사용하거나 특정 브라우저를 사용해야 하기 때문에 이 접근 방식의 이식성은 그다지 좋지 않습니다.

2. 웹 암호화 API 사용

향후 출시될 웹 암호화 API는 JavaScript에 기본 암호화 인터페이스를 제공하여 웹 애플리케이션을 더 빠르게 암호화하고 해독할 수 있게 해줍니다. 그러나 이 인터페이스는 아직 초안 단계에 있으며 주류 브라우저가 이 기술을 채택하기까지는 오랜 시간이 걸릴 것입니다. 이제 대부분의 브라우저에서 사용할 수 있는 유일한 함수는 crypto.getRandomValues() 함수입니다.

Web Encryption API가 널리 사용 가능해질 때까지는 브라우저 측 암호화를 위한 실용적인 솔루션이 아닙니다.

3. JavaScript를 직접 사용하여 암호화

이 솔루션의 장점은 높은 이식성입니다. 모든 브라우저는 JavaScript를 실행할 수 있습니다. 이는 모든 브라우저가 JavaScript로 작성된 암호화 라이브러리를 호출할 수 있음을 의미합니다.

JavaScript 암호화에는 보안과 속도라는 두 가지 주요 단점이 있습니다. 우리는 이 두 가지 결함에 대해 차례로 이야기하겠습니다.

JavaScript 암호화는 안전해질 수 있습니다

한 기사에서는 "JavaScript 암호화는 해롭다"고 주장하고 이 주장을 뒷받침하는 많은 증거를 나열합니다.

이 기사의 일부 견해는 더 이상 정확하지 않습니다. 예를 들어, 이 기사에서는 Math.random() 함수가 난수의 좋은 소스가 아니므로 암호화를 위한 충분한 난수를 얻는 것이 불가능하다고 말합니다. Math.random() 함수는 실제로 난수의 좋은 소스가 아닙니다. 최신 브라우저는 이미 충분한 수의 난수를 얻기 위해 crypto.getRandomValues() 함수를 제공합니다.

이 스레드에는 JavaScript 암호화가 나쁜 생각이라는 것을 입증하는 몇 가지 예가 있지만 의미가 있습니다.

이 답변은 첫 번째 게시물의 많은 주장을 유용하게 반박하고 JavaScript 암호화의 두 가지 유효한 사용 사례, 즉 종단 간 메시지 암호화(예: 호스트 액세스를 보호하는 애플리케이션)와 보안 원격 비밀번호를 지적합니다. 입증. 이것이 바로 Opal 암호화의 사용 시나리오이므로 JavaScript 암호화를 사용하는 것은 매우 자연스러운 일입니다.

JavaScript 암호화는 빠를 수 있습니다.

최근까지 JavaScript는 보안 암호화에 필요한 복잡한 계산을 수행하는 데 속도가 느렸습니다. 이로 인해 많은 애플리케이션이 플러그인에서 제공하는 암호화 기능에 의존하게 되므로 이식성이 떨어지고 사용자에게 불편을 줍니다.

다행히 최근 몇 년 동안 JavaScript의 성능이 크게 향상되어 암호화 작업에 JavaScript를 전적으로 사용할 수 있게 되었습니다. 지금 선택할 수 있는 JavaScript 암호화 라이브러리는 많습니다(링크 1, 링크 2, 링크 3, 링크 4, 링크 5, 링크 6, 링크 7, 링크 8, 링크 9).

그래서 어떤 도서관을 선택할지 고민이 됩니다.

신뢰할 수 있는 C 언어 암호화 라이브러리 NaCl

NaCl('솔트'로 발음)은 대칭키 암호화 및 복호화, 공개키 서명 ​​인증을 위한 응용 기능을 제공하는 C 언어 라이브러리입니다. 이는 암호학자가 작성했으며 암호 커뮤니티에서 잘 알려져 있고 신뢰할 수 있습니다. 문제 중 하나는 NaCl이 JavaScript가 아닌 C로 작성되었다는 것입니다.

js-NaCl: NaCl을 JavaScript로 컴파일

다행히도 NaCl을 LLVM 바이트코드로 컴파일한 다음 emscripten을 사용하여 이러한 바이트코드를 JavaScript로 컴파일할 수 있습니다. 또한 LLVM 컴파일러는 컴파일 중에 많은 최적화를 수행할 수 있으므로 결과 JavaScript 코드도 최적화됩니다. 따라서 NaCl 라이브러리를 JavaScript로 컴파일하여 브라우저에서 실행할 수 있습니다!

js-nacl 프로젝트는 바로 JavaScript로 컴파일된 NaCl 암호화 라이브러리입니다.

asm.js는 빠릅니다!

더욱 좋은 점은 emscripten으로 컴파일된 코드가 asm.js라고도 불리는 JavaScript의 하위 집합이라는 것입니다. asm.js를 JavaScript와 매우 유사한 어셈블리 언어로 생각할 수 있습니다. 브라우저가 asm.js의 코드 블록을 발견하면 이를 효율적인 기계어 코드로 컴파일하고 네이티브 코드에 가까운 속도로 실행합니다.

현재 Firefox 브라우저만 asm.js 최적화를 지원합니다. 이로 인해 Firefox에서 js-nacl의 암호화 및 암호 해독은 특정 작업에 따라 Chrome 브라우저보다 2~8배 더 빠르게 수행됩니다. 그러나 Chrome의 경우에도 js-nacl은 우리가 테스트한 다른 모든 암호화 라이브러리를 능가할 정도로 빠릅니다.

NaCl과 같은 신뢰할 수 있는 암호화 라이브러리와 최신 브라우저에서의 빠른 실행 덕분에 Opal과 같은 웹 애플리케이션에서 js-nacl 라이브러리를 사용하는 것이 좋습니다.

같은 이유로 Opal은 emscripten으로 컴파일된 scrypt 라이브러리의 asm.js 버전을 사용하여 키를 확장합니다(이 기사에서 활성화됨). 프로젝트 관리자가 제공하는 js-nacl과 js-scrypt의 성능 비교를 볼 수 있습니다. 또한 다양한 브라우저 버전 간의 성능 차이를 이해하기 위해 js-nacl에 대한 jsperf 테스트를 수행했습니다. 원하는 대로 사용해 볼 수도 있습니다.