[SpringBoot] yml, propertise 설정 값 암호화 (Jasypt)

🔒 Jasypt(Java Simplified Encryption)

---

- 개발자가 암호화 작동 방식에 대한 깊은 지식이 없어도 최소한의 노력으로 프로젝트에 기본 암호화 기능을 추가할 수 있는 자바 라이브러리
- 프로퍼티로 관리하는 DB 계정 정보와 같은 설정 값을 평문이 아닌 암호문으로 관리
 

🐡 Jasypt Spring Stater 동작 방식

---

@SpringBootApplication

 
- 애플리케이션 구동 단계에서 ENC(암호화 된 값) 형식의 속성을 찾아 복호화 수행 후 복호화 된 값으로 원래의 암호화된 속성 값 대체
 

🧩 Jasypt 주요 메소드

---

Key	Required	Default Value
jasypt.encryptor.password	True	-
jasypt.encryptor.algorithm	False	PBEWITHHMACSHA512ANDAES_256
jasypt.encryptor.key-obtention-iterations	False	1000
jasypt.encryptor.pool-size	False	1
jasypt.encryptor.provider-name	False	SunJCE
jasypt.encryptor.provider-class-name	False	null
jasypt.encryptor.salt-generator-classname	False	org.jasypt.salt.RandomSaltGenerator
jasypt.encryptor.iv-generator-classname	False	org.jasypt.iv.RandomIvGenerator
jasypt.encryptor.string-output-type	False	base64
jasypt.encryptor.proxy-property-sources	False	false
jasypt.encryptor.skip-property-sources	False	empty list

랜덤 솔트 생성기 - 랜덤 솔트 생성기를 사용하므로 동일한 메시지에 대한 두개의 암호화 결과가 다름
무작위 IV 생성기 - IV는 무작위여야 하고 한 번만 사용해야 하므로 org.jasypt.RandomIvGenerator가 권장 됨.
 

🎨 대표적인 Jasypt 암호화 알고리즘 

---

PBEWithMD5AndDES

- MD5 해시 함수와 DES 대칭키 암호화를 조합하여 데이터 암호화
- 빠른 암복호화 속도를 가지지만 상대적으로 보안에 취약
 

PBES2WithHmacSHA512AndAES_256 (default)

- HmacSHA512 : Hmac을 사용하여 SHA-512 해시 알고리즘 구현
- HmacSHA512로 부터 생성된 키를 사용하여 데이터를 AES-256 알고리즘을 이용하여 암호화

 

🏄‍♂️ 사용 예시

---

build.gradle 의존성 추가

implementation 'com.github.ulisesbocchio:jasypt-spring-boot-starter:3.0.5'

 

application.yml

jasypt:
  encryptor:
    key: ${jasypt-key}

 

JasyptConfig.java

import org.jasypt.encryption.StringEncryptor;
import org.jasypt.encryption.pbe.PooledPBEStringEncryptor;
import org.jasypt.encryption.pbe.config.SimpleStringPBEConfig;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class JasyptConfig {

    @Value("${jasypt.encryptor.key}")
    private String key;

    @Bean(name = "jasyptStringEncryptor")
    public StringEncryptor stringEncryptor() {
        PooledPBEStringEncryptor encryptor = new PooledPBEStringEncryptor();
        SimpleStringPBEConfig config = new SimpleStringPBEConfig();
        config.setPassword(key); // 암호화 키
        config.setAlgorithm("PBEWithHMACSHA512AndAES_256"); // 암호화 알고리즘
        config.setIvGenerator(new RandomIvGenerator()); // PBE-AES 기반 알고리즘의 경우 IV 생성 필수
        config.setKeyObtentionIterations("1000"); // 반복할 해싱 회수
        config.setPoolSize("1"); // 인스턴스 pool
        config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator"); // salt 생성 클래스
        config.setStringOutputType("base64"); // 인코딩
        encryptor.setConfig(config);
        return encryptor;
    }
}

 
- application.yml의 jasypt.encryptor.key 값이 노출되면 안되므로 환경 변수로 할당

 

class JasyptConfigTest {

    private static final String SECRET_KEY = "my_secret_key";

    @Test
    void string_encryption() {
        PooledPBEStringEncryptor encryptor = new PooledPBEStringEncryptor();
        SimpleStringPBEConfig config = new SimpleStringPBEConfig();
        config.setPassword(SECRET_KEY);
        config.setAlgorithm("PBEWithHMACSHA512AndAES_256");
        config.setIvGenerator(new RandomIvGenerator());
        config.setKeyObtentionIterations("1000");
        config.setPoolSize("1");
        config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator");
        config.setStringOutputType("base64");
        encryptor.setConfig(config);

        String originalString = "my_password";

        // 암호화
        String encryptedString = encryptor.encrypt(originalString);
        System.out.println("Encrypted String ::: ENC(" + encryptedString + ")");

        // 복호화
        String decryptedString = encryptor.decrypt(encryptedString);
        System.out.println("Decrypted String ::: " + decryptedString);

        assertEquals(originalString, decryptedString);
    }
}

테스트 코드를 실행해 나온 enc 값으로 대체
 

🧘 reference

https://github.com/ulisesbocchio/jasypt-spring-boot#use-you-own-custom-encryptor
http://www.jasypt.org/encrypting-texts.html