카테고리:

암호화 함수

ENCRYPT

VARCHAR 암호 구문을 사용하여 VARCHAR 또는 BINARY 값을 암호화합니다.

참고 항목:

ENCRYPT_RAW , DECRYPT , DECRYPT_RAW , TRY_DECRYPT , TRY_DECRYPT_RAW

구문

ENCRYPT( <value_to_encrypt> , <passphrase> ,
         [ [ <additional_authenticated_data> , ] <encryption_method> ]
       )
Copy

인자

필수:

value_to_encrypt

암호화할 VARCHAR 또는 BINARY 값입니다.

passphrase

데이터를 암호화/암호 해독하는 데 사용할 암호 구문입니다. value_to_encrypt 가 VARCHAR 또는 BINARY인지 여부와 관계없이 암호 구문은 항상 VARCHAR입니다.

선택 사항:

additional_authenticated_data

추가 인증 데이터(AAD)는 암호 해독 과정에서 기밀성과 신뢰성이 보장되는 추가 데이터입니다. 그러나 이 AAD는 암호화되지 않으며, ENCRYPT 또는 ENCRYPT_RAW 함수에서 반환된 값의 필드로 포함되지 않습니다.

AAD가 암호화 함수(ENCRYPT 또는 ENCRYPT_RAW)에 전달되는 경우, 동일한 AAD가 암호 해독 함수(DECRYPT 또는 DECRYPT_RAW)에 전달되어야 합니다. 암호 해독 함수에 전달된 AAD가 암호화 함수에 전달된 AAD와 일치하지 않으면 암호 해독이 실패합니다.

AAD와 passphrase 의 차이점은 암호 구문은 시크릿으로 유지되도록 의도된 반면(그렇지 않으면 암호화는 본질적으로 무가치함) AAD는 공개 상태로 둘 수 있다는 것입니다. AAD는 정보의 공개 조각 및 암호화된 값이 서로 연관되어 있음을 인증하는 데 도움이 됩니다. ENCRYPT 함수의 예 섹션에는 AAD가 일치할 때의 동작과 일치하지 않을 때의 동작을 보여주는 예가 포함되어 있습니다.

ENCRYPT_RAW 및 DECRYPT_RAW의 경우, AAD의 데이터 타입은 BINARY여야 합니다. ENCRYPT 및 DECRYPT의 경우, AAD의 데이터 타입은 VARCHAR 또는 BINARY일 수 있으며, 암호화된 값의 데이터 타입과 일치할 필요가 없습니다.

AAD는 GCM(기본값)과 같은 AEAD 지원 암호화 모드에서만 지원됩니다.

encryption_method

이 문자열은 데이터의 암호화/암호 해독에 사용할 방법을 지정합니다. 이 문자열에는 다음과 같이 하위 필드가 포함됩니다.

<algorithm>-<mode> [ /pad: <padding> ]
Copy

algorithm 은 현재 다음으로 제한됩니다.

  • 'AES': 암호 구문이 전달되면(예: ENCRYPT) 이 함수는 AES-256 암호화(256비트)를 사용합니다. 키가 전달되면(예: ENCRYPT_RAW) 이 함수는 키 길이에 따라 128, 192 또는 256비트 암호화를 사용합니다.

algorithm 은 대/소문자를 구분하지 않습니다.

mode 는 메시지를 암호화하는 데 사용해야 하는 블록 암호 모드를 지정합니다. 다음 표는 지원되는 모드, 그리고 그중 어떤 모드가 패딩을 지원하는지 보여줍니다.

모드

패딩

설명

'ECB'

키로 모든 블록을 개별적으로 암호화합니다. 이 모드는 일반적으로 권장되지 않으며, 외부 구현과의 호환성을 위해서만 포함됩니다.

'CBC'

암호화된 블록은 이전 블록과 XOR됩니다.

'GCM'

아니요

Galois/Counter Mode는 AEAD가 지원되는 고성능 암호화 모드입니다. AEAD는 AEAD 태그를 생성하여, 암호화된 데이터의 신뢰성과 기밀성을 추가로 보장합니다. 또한, AEAD는 AAD(추가 인증 데이터)를 지원합니다.

'CTR'

아니요

카운터 모드입니다.

'OFB'

아니요

출력 피드백입니다. 암호 텍스트는 블록의 일반 텍스트와 XOR됩니다.

'CFB'

아니요

암호 피드백은 OFB와 CBC의 조합입니다.

mode 는 대/소문자를 구분하지 않습니다.

padding 은 길이가 블록 크기의 배수가 아닌 메시지를 채우는 방법을 지정합니다. 패딩은 ECB 및 CBC 모드에만 적용됩니다. 다른 모드에서는 패딩이 무시됩니다. 패딩에 가능한 값은 다음과 같습니다.

  • 'PKCS': 블록 패딩에 PKCS5를 사용합니다.

  • 'NONE': 패딩이 없습니다. 사용자는 ECB 또는 CBC 모드를 사용할 때 패딩을 처리해야 합니다.

padding 은 대/소문자를 구분하지 않습니다.

기본 설정: 'AES-GCM'.

mode 를 지정하지 않으면 GCM이 사용됩니다.

padding 을 지정하지 않으면 PKCS가 사용됩니다.

반환

반환된 값의 데이터 타입은 BINARY입니다.

단일 값만 반환되지만, 해당 값에는 두 개 또는 세 개의 연결된 필드가 포함됩니다.

  • 첫 번째 필드는 초기화 벡터(IV)입니다. IV는 CTR-DRBG 난수 생성기를 사용하여 무작위로 생성됩니다. 암호화와 암호 해독 모두 IV를 사용합니다.

  • 두 번째 필드는 value_to_encrypt 의 암호 텍스트(암호화된 값)입니다.

  • 암호화 모드가 AEAD를 사용하는 경우, 반환된 값에는 AEAD 태그인 세 번째 필드도 포함됩니다.

IV 및 태그 크기는 암호화 모드에 따라 다릅니다.

사용법 노트

  • ENCRYPT() 로 암호화된 데이터의 암호를 해독하려면 DECRYPT() 를 사용하십시오. DECRYPT_RAW() 를 사용하지 마십시오.

  • ENCRYPT_RAW() 로 암호화된 데이터의 암호를 해독하려면 DECRYPT_RAW() 를 사용하십시오. DECRYPT() 를 사용하지 마십시오.

  • 함수의 매개 변수는 보안을 위해 마스킹됩니다. 다음과 같은 민감한 정보는 쿼리 로그에 표시되지 않으며 Snowflake에도 표시되지 않습니다.

    • 암호화하거나 암호를 해독할 문자열 또는 이진 값입니다.

    • 암호 구문 또는 키입니다.

  • 함수는 FIPS 호환 암호화 라이브러리를 사용하여 암호화 및 암호 해독을 효과적으로 수행합니다.

  • 데이터 조각의 암호를 해독하는 데 사용되는 암호 구문 또는 키는 해당 데이터를 암호화하는 데 사용되는 암호 구문 또는 키와 동일해야 합니다.

  • 암호 구문은 0(빈 문자열)이라도 임의의 길이일 수 있습니다. 그러나 Snowflake는 최소 8바이트의 암호 구문을 사용할 것을 강력히 권장합니다.

  • Snowflake는 암호 구문이 대문자, 소문자, 숫자, 구두점 혼합 사용과 같이 비밀번호에 대한 일반적인 모범 사례를 따를 것을 권장합니다.

  • 암호 구문은 입력을 암호화/암호 해독하는 데 직접 사용되지 않습니다. 대신 암호 구문은 암호화/암호 해독 키를 파생하는 데 사용되며, 이는 동일한 암호 구문에 대해 항상 동일합니다. Snowflake는 https://en.wikipedia.org/wiki/PBKDF2 key-derivation 함수를 Snowflake 내부 시드와 함께 사용하여, 주어진 암호 구문에서 암호화/암호 해독 키를 계산합니다.

    이 키 파생으로 인해, 암호화/암호 해독 함수를 사용하여 다음을 수행할 수 없습니다.

    • 외부에서 암호화된 데이터의 암호를 해독합니다.

    • 외부에서 암호가 해독될 데이터를 암호화합니다.

    이 중 하나를 수행하려면 ENCRYPT_RAW 또는 DECRYPT_RAW 를 사용하십시오.

  • 초기화 벡터는 항상 무작위로 재생성되기 때문에, 동일한 value_to_encryptpassphraseENCRYPT() 를 호출하면 매번 동일한 결과가 반환되지 않습니다. 동일한 value_to_encryptpassphrase 에 대해 동일한 출력을 생성해야 하는 경우, ENCRYPT_RAW 를 사용하고 초기화 벡터를 지정하는 것이 좋습니다.

이 예는 간단한 암호 구문으로 VARCHAR를 암호화합니다.

SELECT encrypt('Secret!', 'SamplePassphrase');
Copy

출력은 사람이 읽기 쉽지 않은 텍스트입니다.

아래 코드는 암호화 및 암호 해독의 간단한 예를 보여줍니다.

SET passphrase='poiuqewjlkfsd';
Copy
SELECT
    TO_VARCHAR(
        DECRYPT(
            ENCRYPT('Patient tested positive for COVID-19', $passphrase),
            $passphrase),
        'utf-8')
        AS dcrypt
    ;
+--------------------------------------+
| DCRYPT                               |
|--------------------------------------|
| Patient tested positive for COVID-19 |
+--------------------------------------+
Copy

이 예에서는 value_to_encrypt 및 인증된 데이터에 대해 BINARY 값을 사용합니다.

SELECT encrypt(to_binary(hex_encode('Secret!')), 'SamplePassphrase', to_binary(hex_encode('Authenticated Data')));
Copy

출력은 다음과 같습니다.

6E1361E297C22969345F978A45205E3E98EB872844E3A0F151713894C273FAEF50C365S
Copy

이 예에서는 암호화 방법에 대한 지정자의 일부로서 대체 모드(CBC)를 사용하는 방법을 보여줍니다. 이 암호화 방법은 패딩 규칙(PKCS)도 지정합니다. 이 예에서 AAD 매개 변수는 NULL입니다.

SELECT encrypt(to_binary(hex_encode('secret!')), 'sample_passphrase', NULL, 'aes-cbc/pad:pkcs') as encrypted_data;
Copy

이 예는 AAD 사용 방법을 보여줍니다.

SELECT
    TO_VARCHAR(
        DECRYPT(
            ENCRYPT('penicillin', $passphrase, 'John Dough AAD', 'aes-gcm'),
            $passphrase, 'John Dough AAD', 'aes-gcm'),
        'utf-8')
        AS medicine
    ;
+------------+
| MEDICINE   |
|------------|
| penicillin |
+------------+
Copy

잘못된 AAD를 전달하면 다음과 같이 암호 해독이 실패합니다.

SELECT
    DECRYPT(
        ENCRYPT('penicillin', $passphrase, 'John Dough AAD', 'aes-gcm'),
        $passphrase, 'wrong patient AAD', 'aes-gcm') AS medicine
    ;
Copy
100311 (22023): Decryption failed. Check encrypted data, key, AAD, or AEAD tag.
Copy