데이터 보호: 용도 문자열

IDataProtectionProvider를 소비하는 구성 요소는 CreateProtector 메서드를 호출할 때 반드시 고유한 용도(Purpose) 매개변수를 전달해야 합니다. 이 용도 매개변수는 데이터 보호 시스템의 보안에 내재되어 루트 암호화 키가 동일한 경우에도 암호화 소비자들 간에 격리를 제공해줍니다.

소비자가 용도를 지정하면, 루트 암호화 키와 용도 문자열이 함께 적용되어 해당 소비자에 대한 고유한 하위 암호화 키가 파생됩니다. 이로 인해서 해당 소비자와 응용 프로그램 내의 모든 다른 암호화 소비자들이 서로 격리되며, 해당 소비자의 페이로드를 다른 구성 요소들이 읽을 수도, 다른 구성 요소들의 페이로드를 해당 소비자가 읽을 수도 없게 됩니다. 결과적으로 이런 격리 때문에 구성 요소에 대한 전체 범주의 공격도 불가능해집니다.

이 다이어그램에서 IDataProtector의 인스턴스 A 및 B는 서로 상대방의 페이로드를 읽을 수 없으며, 자신의 페이로드만 읽을 수 있습니다.

그러나 용도 문자열 자체가 보안 대상인 것은 아닙니다. 정상적으로 동작하는 다른 구성 요소가 사용하는 용도 문자열과 중복되지 않는 유일한 문자열을 지정하기만 하면 됩니다.

CreateProtector 메서드의 용도 매개변수는 문자열 배열 형식이기 때문에, 위의 매개변수는 대신 [ "Contoso.Security.BearerToken", "v1" ]과 같이 지정할 수도 있습니다. 따라서, 이를 활용하면 용도의 계층적 구조를 구성할 수 있으며 데이터 보호 시스템을 사용하는 다중 테넌트(Multi-Tenancy) 시나리오를 고려해 볼 수 있는 여지를 남겨줍니다.

IDataProtectionProvider, IDataProtector, 및 용도에 의해서 제공되는 격리 및 동작은 다음과 같습니다:

• 특정 IDataProtectionProvider 개체의 CreateProtector 메서드는 IDataProtector 개체를 생성하는 IDataProtectionProvider 개체와 메서드에 전달된 용도 매개변수 양쪽 모두와 고유하게 연결된 IDataProtector 개체를 생성합니다.

• 용도 매개변수에 null을 지정할 수 없습니다. 용도를 배열로 지정할 경우에는 배열의 길이가 0이 될 수 없으며 배열의 모든 요소들은 null이 아니어야 합니다. 기술적으로 용도에 빈 문자열을 지정할 수는 있지만 권장하지는 않습니다.

• 두 개로 요소로 구성된 용도 인자들은 동일한 문자열이 동일한 순서로 담겨진 경우에만 같은 것으로 간주됩니다 (서수 비교자가 사용됩니다). 단일 용도 문자열 인자의 경우, 해당 인자를 담고 있는 단일 요소 용도 배열과 동일합니다.

• 두 개의 IDataProtector 개체는 동일한 용도 매개변수를 이용해서 동일한 IDataProtectionProvider 개체로부터 생성된 경우에만 동일한 것으로 간주됩니다.

• 특정 IDataProtector 개체에서 Unprotect(protectedData)를 호출할 경우, 동일한 IDataProtector 개체에서 "protectedData := Protect(unprotectedData)" 인 경우에만 보호 해제된 원본 데이터가 반환됩니다.