In [None]:
# 10장 암호문 다루기
# -----------------
# 암호화(encryption)는 아무도 읽어볼 수 없도록 알고리즘을 이용하여 암호화하지 않은 평문을 암호문으로 변환하는 과정이다. 
# 그리고 이러한 암호화 과정을 통해 암호화된 암호문을 푸는 과정을 복호화(decryption)라고 한다. 
# 이번 장에서는 암호화하는 데 사용하는 여러 가지 파이썬 모듈을 알아본다.

## 056 비밀번호를 암호화하여 저장하려면? ― hashlib


In [None]:
# 056 비밀번호를 암호화하여 저장하려면? ― hashlib

# hashlib은 MD5, SHA256 등의 알고리즘으로 문자열을 해싱(hashing)할 때 사용하는 모듈이다.

# 해싱(hashing)이란 원본 문자열을 알아볼 수 없는 난해한 문자열로 정의하는 방법으로, 
# 해시값을 조사하여 데이터 변조 여부를 확인하는 것이 주된 목적이다.

# 문제
# 사용자가 입력한 비밀번호를 passwd.txt 파일에 저장하는 프로그램을 만들어야 한다. 
# 이때 비밀번호는 유추나 복호화가 불가능한 SHA256 방식으로 해싱해야 하며 이미 저장한 비밀번호가 있을 때는 
# 입력한 비밀번호와 일치할 때만 새로운 비밀번호로 저장해야 한다. 이런 프로그램은 어떻게 만들어야 할까?

In [None]:
# 풀이
# 문자열을 해싱하려면 hashlib 모듈을 사용해야 한다.

# >>> import hashlib
# 문자열을 SHA256 방식으로 해싱하는 방법은 다음과 같다.

# >>> m = hashlib.sha256()
# >>> m.update('Life is too short'.encode('utf-8'))

# hashlib.sha256()로 생성한 객체 m에 해싱할 문자열을 인수로 update() 함수를 호출하면 문자열이 해싱된다. 
# 이 함수에 전달하는 문자열은 바이트 문자열이어야 하므로 .encode('utf-8')을 이용하여 
# 유니코드 문자열을 UTF-8 형식의 바이트 문자열로 변환하였다.

# 참고: 부록 01 - 파이썬과 유니코드

# 해싱할 문자열을 추가하고 싶으면 추가할 문자열과 함께 update() 함수를 추가로 호출하면 된다.

# >>> m.update(', you need python.'.encode('utf-8'))
# 문자열을 해싱한 다음에는 digest() 또는 hexdigest() 함수를 사용하여 해싱한 문자열을 얻을 수 있다.

# >>> m.digest()
# b"\x9d\x05'^\xcaK\xf8\xf2\x02w!\xce?\xd7\xe6\xf0\xaa\x06\xdc\xc3\x81 N\xd8G[\xe3B\\,S\x84"
# >>> m.hexdigest()
# '9d05275eca4bf8f2027721ce3fd7e6f0aa06dcc381204ed8475be3425c2c5384'

# digest()는 해싱한 바이트 문자열을 반환하고 hexgigest()는 바이트 문자열을 16진수로 변환한 문자열을 반환한다.

# 해싱은 단방향 암호화 알고리즘이므로 원래의 문자열로 복구할 수는 없다.

In [8]:
import hashlib

m = hashlib.sha256()
m.update('Life is too short 이순천'.encode('euc-kr'))
m.update(', you need python.'.encode('euc_kr'))

print(m.digest())
print(m.hexdigest())
print('-'*70)

n = hashlib.sha256()
n.update('Life is too short 이순천'.encode('utf-8'))
n.update(', you need python.'.encode('utf-8'))

print(n.digest())
print(n.hexdigest())

b'U\xef\xcd\xf6\xb4\x8f"\x9a\xb4\x08\xde\xf4\x82O\xa3\xcd>\xcc\x87\xfd\xf5\x1bY_!S}\x0cO{24'
55efcdf6b48f229ab408def4824fa3cd3ecc87fdf51b595f21537d0c4f7b3234
----------------------------------------------------------------------
b'\xa8\x01W\xf3\xbe5c\xd6\x11\xae\x80]\x97|r\xffD\x7f\x7f\xaaL\x15\xd8\x83\xcf\x8a\xcfw\x8c\x92C\x00'
a80157f3be3563d611ae805d977c72ff447f7faa4c15d883cf8acf778c924300


In [None]:
# 다음은 지금까지의 내용을 모두 적용한 문제 풀이이다.

# [파일명: hashlib_sample.py]

# import hashlib
# import os


# def check_passwd():
#     if os.path.exists('passwd.txt'):
#         before_passwd = input('기존 비밀번호를 입력하세요:')
#         m = hashlib.sha256()
#         m.update(before_passwd.encode('utf-8'))
#         with open('passwd.txt', 'r') as f:
#             return m.hexdigest() == f.read()
#     else:
#         return True


# if check_passwd():
#     passwd = input('새로운 비밀번호를 입력하세요:')
#     with open('passwd.txt', 'w') as f:
#         m = hashlib.sha256()
#         m.update(passwd.encode('utf-8'))
#         f.write(m.hexdigest())
# else:
#     print("비밀번호가 일치하지 않습니다.")


# check_passwd() 함수는 작성한 비밀번호 파일이 없거나 기존 비밀번호와 일치할 때 True를 반환한다. 이 함수가 True를 반환할 때만 새로운 비밀번호를 생성하여 파일로 저장한다. 이미 저장한 비밀번호 파일이 있을 때는 사용자가 입력한 비밀번호와 기존 비밀번호가 일치하는지 비교하고자 사용자가 입력한 값을 해싱하여 저장한 해시값과 비교했다.

# 여기서 주의 깊게 봐야 할 부분은 비밀번호 일치 여부를 검증하고자 사용자로부터 입력받은 이전 비밀번호를 마찬가지 방법으로 해싱하고 나서 파일에 저장한 값과 비교했다는 점이다. 해싱한 문자열은 복구할 수 없으므로 항상 이런 방법으로 검증해야 한다는 점을 꼭 기억하자.

# 참고
# hashlib - 보안 해시와 메시지 요약: https://docs.python.org/ko/3/library/hashlib.html
# 동영상 - https://youtube.com/shorts/7uA11H6lOLA?feature=share

In [20]:
import os
import hashlib

def check_passwd():
    if os.path.exists('./passwd.txt'):
        input_pswd = input('기존 비밀번호를 입력하세요: ')
        m = hashlib.sha256()
        m.update(input_pswd.encode('utf-8'))
        with open('./passwd.txt') as f:
            return m.hexdigest() == f.read()
    else:
        return True

if check_passwd():
    input_pswd = input('기존 비밀번호를 입력하세요: ')
    m = hashlib.sha256()
    m.update(input_pswd.encode('utf-8'))
    with open('./passwd.txt', 'wt') as f:
        print(len(m.hexdigest()))
        f.write(m.hexdigest())
else:
    print('기존 비밀번호와 현재 비밀번호가 틀려요')                

64


In [29]:
with open('data.txt.bz2', 'rb') as f:
    tt = f.read()
    print(hashlib.sha256(tt).hexdigest())

with open('data.txt.bz2', 'rb') as f:
    aa = f.read()

m = hashlib.sha256()
m.update(aa)
print(m.hexdigest())

61df1aab2c2bb22a7d7611d27c26548793fd0054d8185e7884b74e8164984ef4
61df1aab2c2bb22a7d7611d27c26548793fd0054d8185e7884b74e8164984ef4


## 057 메시지 변조를 확인하려면? ― hmac


In [None]:
# 057 메시지 변조를 확인하려면? ― hmac

# hmac는 비밀 키와 해싱 기술을 사용하여 송수신자 간 메시지 변조를 확인할 수 있도록 하는 모듈이다.

# 참고 : 056 비밀번호를 암호화하여 저장하려면? - hashlib

# 문제
# A 씨는 B 씨에게 인터넷으로 중요한 메시지를 파일로 저장하여 전달하려 한다. 
# 하지만, 어떤 해커가 A 씨가 보낸 파일을 중간에서 가로채어 내용을 바꾼 후에 B 씨에게 다시 전달할 가능성이 있다고 한다.

# 이럴 때 A 씨가 보낸 파일이 해커에 의해 변조되었는지 그렇지 않은지 확인할 수 있는 프로그램을 만들려면 어떻게 해야 할까? 
# 단, 해커가 파일의 내용을 보는 것은 상관이 없고 파일이 변조되었는지만 검증할 수 있으면 된다.

In [None]:

# 풀이
# hmac 모듈을 사용하면 이 문제를 쉽게 해결할 수 있다. 이 모듈은 서로 약속한 비밀 키가 필요한데, 
# 이 키는 해커가 알 수 없게 공유한 값이어야 한다(예를 들어 전화 통화 또는 직접 전달).

# A 씨와 B 씨가 공유할 비밀 키는 다음과 같다고 하자.
# PYTHON

# 이제 A 씨는 비밀 키를 이용하여 원본 파일을 해싱한 파일과 원본 파일 2개를 B 씨에게 인터넷으로 전달하면 된다. 
# 그리고 B 씨는 전달받은 원본 파일의 내용을 PYTHON이라는 공유 키로 해싱한 결과가 전달받은 해싱 파일의 내용과 
# 같은지를 비교하여 메시지가 변조되었는지를 확인하면 된다. 
# 물론 해커는 원본 파일과 해싱 파일을 변조할 수 있겠지만, PYTHON이라는 비밀 키값은 알 수 없으므로 
# 파일을 변조했다면 금방 들통나게 될 것이다.

# 다음은 A 씨가 B 씨에게 전달할 원본 파일(message.txt)과 해싱 파일(message_digest.txt)을 만드는 코드이다.

# [파일명: hmac_send_sample.py]

# import hmac
# import hashlib

# SECRET_KEY = 'PYTHON'

# important_message = '이것은 누구나 볼 수 있는 원본 파일의 내용이다.'

# with open('message.txt', 'w') as f:
#     f.write(important_message)

# with open('message_digest.txt', 'w') as f:
#     m = hmac.new(SECRET_KEY.encode('utf-8'), important_message.encode('utf-8'),
#                  hashlib.sha256)
#     f.write(m.hexdigest())
# 비밀 키는 다음처럼 설정했다.

# SECRET_KEY = 'PYTHON'

# 보내야 할 메시지를 message.txt 원본 파일에 저장하고 hmac.new(비밀 키, 메시지, 암호화 방식)을 사용하여 메시지를 해싱한 값을 message_digest.txt 파일에 저장했다. 이때 비밀 키와 메시지는 바이트 문자열을 사용해야 하므로 UTF-8로 문자열을 인코딩해야 한다. 암호화 알고리즘으로는 SHA256을 사용하였다.

# 참고: 부록 - 01 파이썬과 유니코드

# 이제 A 씨는 원본 파일(message.txt)과 해싱 파일(message_digest.txt)을 B 씨에게 인터넷(메일, FTP 등)을 통해 전달하면 된다. 그리고 B 씨는 전달받은 2개의 파일을 다음과 같이 검증하면 된다.

# [파일명: hmac_recv_sample.py]

# import hmac
# import hashlib

# SECRET_KEY = 'PYTHON'

# with open('message_digest.txt') as f:
#     message_digest = f.read()

# with open('message.txt') as f:
#     message = f.read()
#     m = hmac.new(SECRET_KEY.encode('utf-8'), message.encode('utf-8'),
#                  hashlib.sha256)

#     if m.hexdigest() == message_digest:

#         print("메시지가 변조되지 않았습니다. 안전합니다.")
# 전달받은 해싱 파일 내용과 원본 파일 내용을 PYTHON이라는 비밀 키로 해싱했을 때의 값이 같은지를 비교하여 
# 원본 파일 내용이 손상되었는지를 확인할 수 있다.

# 알아두면 좋아요

# hmac 활용 예
# 예를 들어 어떤 고객이 은행을 통해 이체하려 할 때 개인 컴퓨터에서 은행 서버로 데이터를 전송한다고 가정해 보자. 이때 누군가가 네트워크상의 데이터를 변조하여 계좌번호 또는 금액을 바꿔치기할 수도 있을 것이다. 하지만, 고객과 은행 둘만이 공유하는 비밀 키를 통해 해싱 파일을 주고받는다면 이러한 데이터 변조 위험에서 벗어날 수 있을 것이다.

# 이것은 하나의 예일 뿐이고 실제 은행에서 사용하는 암호화나 인증 기술은 훨씬 복잡하다.

# 참고
# hmac - 메시지 인증을 위한 키 해싱: https://docs.python.org/ko/3/library/hmac.html
# 동영상 - https://youtube.com/shorts/MmrZFcdIB6c?feature=share

In [35]:
import hmac
import hashlib

SECRET_KEY = 'PYTHON'
important_message = '원본 파일이야'

with open('message.txt', 'w') as f:
    f.write(important_message)

with open('message_digest.txt', 'w') as f:
    m = hmac.new(SECRET_KEY.encode('utf-8'), important_message.encode('utf-8'), hashlib.sha256)
    f.write(m.hexdigest())



import hmac
import hashlib

SECRET_KEY = 'PYTHON'
with open('message_digest.txt') as f:
    message_digest = f.read()

with open('message.txt') as f:
    message = f.read()
    m = hmac.new(SECRET_KEY.encode('utf-8'), message.encode('utf-8'), hashlib.sha256)

if m.hexdigest() == message_digest:
    print('변조된거 없어')
else:
    print('변조되었어')

변조된거 없어


In [34]:
import hmac
import hashlib

SECRET_KEY = 'PYTHON'

important_message = '이것은 누구나 볼 수 있는 원본 파일의 내용이다.'

with open('message.txt', 'w') as f:
    f.write(important_message)

with open('message_digest.txt', 'w') as f:
    m = hmac.new(SECRET_KEY.encode('utf-8'), important_message.encode('utf-8'),
                 hashlib.sha256)
    f.write(m.hexdigest())


import hmac
import hashlib

SECRET_KEY = 'PYTHON'

with open('message_digest.txt') as f:
    message_digest = f.read()

with open('message.txt') as f:
    message = f.read()
    m = hmac.new(SECRET_KEY.encode('utf-8'), message.encode('utf-8'),
                 hashlib.sha256)

    if m.hexdigest() == message_digest:

        print("메시지가 변조되지 않았습니다. 안전합니다.")

메시지가 변조되지 않았습니다. 안전합니다.


## 058 안전한 난수를 생성하려면? ― secrets


In [None]:
# 058 안전한 난수를 생성하려면? ― secrets

# secrets는 비밀 관리에 필요한 안전한 난수를 생성하고자 할 때 사용하는 모듈이다.

# 문제
# 암호, 계정 인증, 보안 토큰 등의 보안 관리용으로 16진수 문자로 구성된 32자리의 난수 문자열을 생성하고자 한다
# (예: ffaca23207ec8cd4d7a25fc85f0fadfb). 이럴 때는 프로그램을 어떻게 작성해야 할까?

# 16진수 문자는 숫자 0~9와 문자 a~f로 표현한다.


In [None]:
# 풀이
# random 모듈과는 달리 secrets 모듈은 보안이 필요한 난수를 생성하는 데 사용한다. 
# 다음은 secrets 모듈을 사용한 문제 풀이이다.

# 참고: 021 로또 번호를 뽑으려면? - random

# [파일명: secrets_sample.py]

# import secrets

# key = secrets.token_hex(16)
# print(key)
# 출력 결과는 다음과 같다(난수이므로 실행할 때마다 값은 달라진다).

# 3f9c82af943b6e5b6279f4fb5985f1d2
# secrets.token_hex(nbytes)에서 nbytes는 바이트 수이다. 1바이트는 2개의 16진수 문자열로 변환되므로 secrets.token_hex(16)처럼 하면 32자리로 구성된 난수 문자열을 얻을 수 있다. 따라서 16자리의 난수 문자열을 얻고 싶다면 다음처럼 하면 된다.

# key = secrets.token_hex(8)

# 참고
# secrets - 비밀 관리를 위한 안전한 난수 생성: https://docs.python.org/ko/3/library/secrets.html
# 동영상 - https://youtube.com/shorts/I80UTbs-F0w?feature=share

In [45]:
import secrets
import base64

key = secrets.token_hex(16)

key1 = secrets.token_bytes(10)
b64 = base64.b64encode(key1)
key2 = base64.b64decode(b64)
print(b64)
print(key1, key2)


b'4u886N/7VGIMsQ=='
b'\xe2\xef<\xe8\xdf\xfbTb\x0c\xb1' b'\xe2\xef<\xe8\xdf\xfbTb\x0c\xb1'


In [51]:
import base64

text = '인생은 나그네길 abcd'
enc_text = text.encode('utf-8')
b64_text = base64.b64encode(enc_text)
print(enc_text, b64_text)

enc_text = base64.b64decode(b64_text)
text = enc_text.decode('utf-8')
print(enc_text, b64_text)


b'\xec\x9d\xb8\xec\x83\x9d\xec\x9d\x80 \xeb\x82\x98\xea\xb7\xb8\xeb\x84\xa4\xea\xb8\xb8 abcd' b'7J247IOd7J2AIOuCmOq3uOuEpOq4uCBhYmNk'
b'\xec\x9d\xb8\xec\x83\x9d\xec\x9d\x80 \xeb\x82\x98\xea\xb7\xb8\xeb\x84\xa4\xea\xb8\xb8 abcd' b'7J247IOd7J2AIOuCmOq3uOuEpOq4uCBhYmNk'
