DBMS_OBFUSCATION_TOOLKIT 의 암호화/복호화
========================================


Purpose
-------
Oracle 8i Release2 (8.1.6) 부터 향상된 보안 기능으로
DBMS_OBFUSCATION_TOOLKIT 을 사용한 암호화 복호화 기능에 대해 알아보자.


Explanation
-----------
이 기능은 DB 내에 저장되는 컬럼을 plain 문장이 아닌 암호화된 문장을
저장할 수 있게 한다. 만약 신용카드 번호나 패스워드 등 안전하게 보호해야
할 정보일 경우 이 기능을 사용하면 안전하게 정보를 저장할 수 있다.
기존에는 암호화 기능을 사용하려면 3rd party의 제품이 필요했으나,
8.1.6 이후로는 DB 내에 이 기능을 포함시켰다.

1. DBMS_OBFUSCATION_TOOLKIT

DBMS_OBFUSCATION_TOOLKIT 을 사용하여 Data를 암호화/복호화한다.

이 패키지에는 4개의 프로시져가 있다.
- VARCHAR2와 RAW Data를 암호화하는 2개의 프로시져
- VARCHAR2와 RAW Data를 복호화하는 2개의 프로시져

2. 설치

1) SYS 로 접속 후 dbmsobtk.sql과 prvtobtk.plb를 순서대로 실행
2) grant execute on dbms_obfuscation_toolkit to public

이 function에서 일반적으로 2개의 파라미터가 필요하나데, 하나는
암호화되거나 복호화되는 데이타이고, 다른 하나는 암호화 알고리즘에서
사용되는 암호화 키이다.


3. DES (Data Encryption Standard)

DES 알고리즘은 64bit의 캐릭터를 사용하여 알파벳 한 글자 단위로 위치를
바꾸는 방식이며 19 단계를 거치게 된다. 복호화시 사용되는 패스워드는
암호화에 사용된 패스워드와 같으며, 그 역순을 따르게 된다. 입력 데이타는
8 캐릭터의 블럭으로 나뉘어져 각각 암호화 되며, dbms_obfuscation_toolki
에서 사용가능한 알고리즘이다.


4. 제약사항

1) Data 는 DES (Data Encryption Standard) 에 의한 비밀키 암호화만
가능하며, 복호화시에도 동일한 키를 사용해야만 복호화가 가능하다.

2) 56 bit의 키를 사용한 암호화만 가능하다.

3) Double encryption은 지원하지 않으며, 암호화된 Data를 재암호화하려고
하면 ORA-28233 : "double encryption not supported" 에러가 발생한다.

이 제약사항들은 버젼 업그레이드에 따라 향상될 계획이며, 좀 더 강력한
보안 기능을 제공하게 될 것이다. 주의 사항 중 하나는 암호화/복호화 작업은
CPU 자원을 많이 사용하며, 시스템 가용 상황에 따라 적절한 계획을 세워야
할 것이다.



Example
-------

[ 예제 script ]

-- encrypt.sql
-- dbms_obfuscation_toolkit 를 사용한 예제
-- 입력한 데이타를 암호화한 값과 다시 복호화한 값을 출력

set serveroutput on;
CLEAR BUFFER
PROMPT Please enter a password - Must be 8 characters !
PROMPT
ACCEPT PASSWD

DECLARE
input_string VARCHAR2(16) := '&PASSWD';
raw_input RAW(128) := UTL_RAW.CAST_TO_RAW(input_string);
key_string VARCHAR2(16) := 'keepthesecretnum';
raw_key RAW(128) := UTL_RAW.CAST_TO_RAW(key_string);
encrypted_raw RAW(2048);
encrypted_string VARCHAR2(2048);
decrypted_raw RAW(2048);
decrypted_string VARCHAR2(2048);
error_in_input_buffer_length EXCEPTION;
PRAGMA EXCEPTION_INIT(error_in_input_buffer_length, -28232);
INPUT_BUFFER_LENGTH_ERR_MSG VARCHAR2(100) :=
'*** DES INPUT BUFFER NOT A MULTIPLE OF 8 BYTES - IGNORING EXCEPTION ***';
double_encrypt_not_permitted EXCEPTION;
PRAGMA EXCEPTION_INIT(double_encrypt_not_permitted, -28233);
DOUBLE_ENCRYPTION_ERR_MSG VARCHAR2(100) :=
'*** CANNOT DOUBLE ENCRYPT DATA - IGNORING EXCEPTION ***';

-- 1. Begin testing raw data encryption and decryption
BEGIN
dbms_output.put_line('> ========= BEGIN TEST RAW DATA =========');
dbms_output.put_line('> Raw input : ' ||
UTL_RAW.CAST_TO_VARCHAR2(raw_input));
BEGIN
dbms_obfuscation_toolkit.DESEncrypt(input => raw_input,
key => raw_key, encrypted_data => encrypted_raw );
dbms_output.put_line('> encrypted hex value : ' ||
rawtohex(encrypted_raw));
dbms_obfuscation_toolkit.DESDecrypt(input => encrypted_raw,
key => raw_key, decrypted_data => decrypted_raw);
dbms_output.put_line('> Decrypted raw output : ' ||
UTL_RAW.CAST_TO_VARCHAR2(decrypted_raw));
dbms_output.put_line('> ');
if UTL_RAW.CAST_TO_VARCHAR2(raw_input) =
UTL_RAW.CAST_TO_VARCHAR2(decrypted_raw) THEN
dbms_output.put_line('> Raw DES Encyption and Decryption successful');
END if;
EXCEPTION
WHEN error_in_input_buffer_length THEN
dbms_output.put_line('> ' || INPUT_BUFFER_LENGTH_ERR_MSG);
END;
dbms_output.put_line('> ');
END;
/


[ 결과 ]

SQL> start encrypt
Please enter a password - Must be 8 characters !

wildwind
old 2: input_string VARCHAR2(16) := '&PASSWD';
new 2: input_string VARCHAR2(16) := 'wildwind';
========= BEGIN TEST RAW DATA =========
Raw input : wildwind
encrypted hex value : 28EAA8E9E2CEA710
Decrypted raw output : wildwind

Raw DES Encyption and Decryption successful
PL/SQL procedure successfully completed.