포럼
page_full_width" class="col-xs-12" |cond="$__Context->page_full_width">
SSL 대신 자바+RSA를 사용한 보안로그인?
2012.07.27 21:04
학생회 홈페이지에도 SSL을 넣어야 하는 것인가 멘탈붕괴하다가 (..) http://tvnuri.tistory.com/entry/암호화를-이용한-웹페이지-보안 이라는 블로그 포스트를 찾았는데요, 서버에서 RSA 공개키를 내려보내주면 사용자 쪽에선 TEA라는 대칭키 알고리즘으로 ID/PW를 암호화한 후에 TEA 키를 RSA로 암호화해 둘을 서버로 올려보내고, 서버에서 복호화해 얻은 TEA 키로 ID/PW를 복호화해 처리하는 방식을 자바스크립트와 자바로 구현하셨다고 합니다.
SSL을 도입하지 않고 로그인 등 개인정보가 입력되는 부분에만 이런 보안수단을 적용시켜도 적법할까요? 물론 XE에서 이게 애드온 레벨인지 모듈 레벨인지에 따라 비영리 소규모 사이트의 대안이 될지 안될지는 또 달라지겠습니다만... (저도 일단 다음주에 스타트SSL부터 알아봐야겠네요. 아니면 학교 측과 협의해서 학교 포털 로그인을 SSO 받아다 쓰거나;)
이러저러해서 당장 쓸모가 있는 자료는 아니지만, 다른 분들께 도움이나 힌트 될 지 몰라서 올려봅니다.