모바일 및 데스크톱 앱에서 하드코딩된 경우 키가 노출됨

제품 개요 다운로드

혁신적이고 반응성이 뛰어난 사용자 경험을 제공하는 연결된 앱을 구축하려면 민감한 콘텐츠를 전달하고 유지 관리해야 합니다.

콘텐츠가 몇 바이트의 데이터이든, 기능 업데이트이든, 게임 점수이든, 계정 정보이든, 비디오 스트림이든, 어떤 방식으로, 어디에 이동, 저장되든 반드시 보호되어야 합니다. 콘텐츠와 사용자와의 소통을 보호하지 못하면 정부 제재, 사기, 지적 재산권 침해로 이어질 수 있으며, 고객 신뢰도 하락, 브랜드 이미지 손상, 매출 손실로 이어질 수 있습니다. 위협 행위자 명성, 악명, 정부 비밀을 훔치거나 심지어는 그저 웃음거리로 삼기 위해 앱의 모든 약점을 악용합니다.

정보의 수명 주기(전송 중, 저장 중, 그리고 "앱 내"까지) 전반에 걸쳐 암호화하는 것은 민감한 데이터가 악의적인 목적으로 유출되는 것을 방지하는 데 중요한 요소입니다. 안전한 전송 계층부터 소스 데이터 암호화에 이르기까지, 전송 중인 데이터를 보호하기 위해 상당한 노력이 기울여져 왔습니다. 이러한 노력의 가장 큰 약점은 바로 엔드포인트, 즉 앱입니다. 모바일 앱이든 데스크톱 앱이든 엔드포인트 앱의 취약성은 "Man-at-the-End" 또는 MATE 공격의 증가로 이어졌습니다.

암호화된 콘텐츠를 사용하는 앱은 키를 사용하여 수신 트래픽을 해독하고 발신 트래픽을 암호화합니다. 이러한 작업은 애플리케이션 코드 내부의 함수에 의해 관리됩니다. 앱 코드가 리버스 엔지니어링콘텐츠 암호화/복호화에 사용되는 키가 발견되어 위협 행위자에게 암호화된 정보를 해독하는 데 필요한 정보를 제공할 수 있습니다. 앱에 저장된 데이터는 물론, 앱과 백오피스 시스템 간의 모든 통신이 침해될 수 있습니다.

도전

  • 앱이 역엔지니어링되거나 코드가 해제되면 콘텐츠 암호화/복호화에 사용되는 키가 발견될 수 있습니다.
  • 암호 키가 노출되면 이를 복사, 재배포, 악의적으로 사용할 수 있습니다.
  • 키가 복사되면 백엔드 서버와의 데이터 및 통신을 관찰하는 데 사용할 수 있습니다.
  • 기존 데이터 보호 도구는 역공학 또는 기타 방법으로 손상된 앱 코드로부터 키를 방어하도록 설계되지 않았습니다.

암호 키가 노출되면 복제, 재배포 및 악의적인 용도로 사용될 수 있습니다. 손상된 키의 오용을 탐지하는 것은 거의 불가능합니다. 왜냐하면 합법적인 트래픽을 통해 사용되기 때문입니다. 일단 손상된 키 침해를 해결하는 데는 시간과 리소스가 많이 소요되며, 해당 키를 사용하는 모든 앱과 프로세스를 다시 키로 설정하고 업데이트해야 합니다.

기존의 데이터 보호 도구는 역공학, 코드 리프팅 또는 기타 앱 코드 손상을 통해 키가 발견되는 것을 방지하도록 설계되지 않았습니다.

화이트박스 암호화는 모바일 및 데스크톱 앱의 키와 데이터를 안전하게 보호하여 앱과 백엔드 시스템 간의 통신을 보호합니다.

Digital.ai 키 및 데이터 보호 제품 개요

화이트박스 암호화는 모바일 및 데스크톱 앱의 키와 데이터를 안전하게 보호하여 앱과 백엔드 시스템 간의 통신을 보호합니다.

Digital.ai's 키 및 데이터 보호 모바일 및 데스크톱 앱에 저장된 암호화/복호화 키를 보호하여 전송 중인 데이터를 보호합니다. 키 및 데이터 보호는 수학적 기법과 변환을 사용하여 화이트박스 암호화를 통해 앱 코드와 키를 혼합(또는 *스미어링*)하여 암호화 작업을 보호합니다. 따라서 하드코딩된 키를 찾을 수 없거나 추출할 수 없습니다 앱에서 다른 곳에서 사용할 수 있습니다.

Digital.ai's 키 및 데이터 보호 모바일, 데스크톱 및 서버 앱을 보호하는 완벽한 기능을 갖춘 화이트박스 암호화 제품군을 통해 민감한 키와 데이터를 보호합니다. 키 및 데이터 보호는 모든 주요 암호, 모드 및 키 크기를 지원하며, 서버 측 변경 없이도 사용자 환경의 다른 암호화 패키지(예: OpenSSL) 및 장치와 직접 상호 운용될 수 있습니다.

우리는 대칭 암호화, 디피-헬만 키 교환, 해시 기반 메시지 인증 코드, 비대칭 암호화, 서명 생성, 키 래핑 및 파생, 샤미르 비밀 공유, "BigInteger" 대수를 지원합니다.

모든 주요 알고리즘과 모드를 지원하는 것 외에도 Digital.ai 키 및 데이터 보호 FIPS 140-3 보안 요구 사항을 충족하도록 검증된 유일한 화이트박스 암호화 보안 제품입니다. Digital.ai 화이트박스 암호화는 iOS, Android, Windows, Mac, Linux 플랫폼에서 사용할 수 있습니다.

화이트 박스 암호화

핵심 장점

앱에서 암호화 키 추출 방지

키를 관리, 보호 및 암호화하는 화이트박스 암호화

  • 암호화 작업을 위해 앱 코드와 키를 결합합니다.
  • 동적 계측 툴킷을 통해 앱이 역엔지니어링되는 경우에도 키 숨기기

애플리케이션과 백엔드 서버 간 통신 보호

앱 내에 저장된 암호화/복호화 키를 보호합니다.

  • 키 복사 및 재배포 방지
  • 중간자 공격(MITM) 및 최종 공격(MATE)을 방지합니다.

다양한 플랫폼과 모든 주요 암호, 모드 및 키 크기를 지원합니다.

모바일, 데스크톱 및 서버 앱 보호

  • 모바일, 데스크톱 및 서버 앱에 보호 기능을 추가하는 데 사용할 수 있는 모든 기능을 갖춘 화이트박스 암호화 제품군
  • 서버 측 변경이 필요 없이 사용자 환경의 다른 암호화 패키지(예: OpenSSL) 및 장치와 직접 상호 운용됩니다.
  • Shamir Secret Sharing, Donna Curves, ECC, BigInteger Algebra 및 Seeded XOR과 같은 고급 기술을 활용합니다.

주요 기능

대칭 암호화

  • AES(128 또는 256비트, CBC, ECB, GCM)
  • DES(싱글, 트리플)

키 교환

  • ECC/DH(디피-헬만)
  • FCC/DH

보안 해싱 + HMAC

  • SHA-1 / 2 / 3
  • HMAC(SHA)
  • CMAC(AES)
  • DES 맥3

비대칭 암호화

  • ECC/EG(엘가말)
  • RSA(2048, 3072, 4096 및 더 큰 키 크기)

서명 생성

  • ECC/DSA(디지털 서명 알고리즘)
  • RSA(2048, 3072, 4096 및 더 큰 키 크기)

키 래핑 및 파생

  • NIST 및 CMLA 키 래핑
  • NIST, CMLA 및 OMA 키 파생

BigInteger 대수학

화이트박스 형태로 모듈러 산술(덧셈 및 곱셈)을 수행하는 수단을 제공합니다.

Shamir 비밀 공유

암호화해야 하는 비밀을 다양한 고유한 부분으로 나눕니다.

소개 Digital.ai

Digital.ai 는 글로벌 5000대 기업의 디지털 혁신 목표 달성을 지원하는 업계 선도적인 기술 기업입니다. AI 기반 DevSecOps 플랫폼 소프트웨어 수명 주기 전반에 걸쳐 통합, 보안을 강화하고 예측적 통찰력을 생성합니다. Digital.ai 조직이 소프트웨어 개발팀을 확장하고, 더 높은 품질과 보안을 갖춘 소프트웨어를 지속적으로 제공하는 동시에, 새로운 시장 기회를 발견하고 보다 스마트한 소프트웨어 투자를 통해 비즈니스 가치를 향상할 수 있도록 지원합니다.

추가 정보 Digital.ai 에서 찾을 수 있습니다. digital.ai 및에 트위터, 링크드인 Facebook.

에서 자세한 내용보기 Digital.ai Application Security

플랫폼