간단한 Android 암호화, 계정 및 구독 없이

Source: Dev.to

왜 오프라인 암호화가 계정을 없애는가

대부분의 안드로이드 암호화 앱을 만드는 사람들은 익숙한 체크리스트로 시작합니다: 강력한 암호화, 쉬운 UX, 어쩌면 클라우드 백업, 비밀번호 재설정, 그리고 복구를 지원하는 계정 시스템.
진정한 오프라인 암호화가 목표라면, 그 체크리스트는 깨집니다. 클라우드 백엔드 없이는 비밀번호 재설정이나 계정 로그인을 할 수 없습니다. 그리고 그것이 핵심입니다.

전통적인 앱에서는 “비밀번호 재설정”이 존재합니다. 그 이유는 시스템이:

1. 당신이 누구인지 알고 있다 (계정이 존재함)
2. 당신을 확인할 신뢰할 수 있는 채널을 가지고 있다 (이메일, SMS)
3. 재설정을 허용할 만큼 충분한 상태를 저장하고 있다

이 모델은 회사가 인프라를 제어하기 때문에 작동합니다. 비밀번호를 잊어버리면, 재설정이 가능한 이유는 제2자가 키를 보관하고 있기 때문입니다. 많은 제품에서 이것은 괜찮습니다—편의성이 중요하고, 비밀번호를 잊어버렸을 때 해결해 주는 지원 도구가 존재합니다.

트레이드‑오프: 다른 사람이 제어권을 갖게 됩니다.

오프라인 암호화 앱은 완전히 로컬에서 동작합니다:

• 계정 없음
• 서버 없음
• 클라우드 백업 없음
• 개입할 수 있는 중앙 권한 없음

암호화 키는 비밀번호를 사용해 기기에서 로컬로 파생됩니다. 계정 데이터베이스가 없으며, 마스터 재설정도 없습니다.

즉:

• 비밀번호를 잊어버리면 재설정이 없습니다.
• 클라우드 복구를 원한다면 다른 사람에게 제어권을 넘기는 것입니다.
• 서버 신뢰 없이 강력한 보호를 원한다면 책임을 스스로 떠안는 것입니다.

이는 결함이나 누락된 기능이 아니라 보안 모델의 결과입니다.

아키텍처 선택

계정 및 클라우드 서버가 있는 경우

• 비밀번호 재설정과 편의성을 얻을 수 있습니다.
• 독립성과 절대적인 제어권을 포기합니다.

완전 오프라인 암호화

• 독립성과 제어권을 얻을 수 있습니다.
• 비밀번호 재설정과 서버‑사이드 복구를 포기합니다.

어느 접근법도 본질적으로 더 좋지는 않으며, 서로 다른 트레이드‑오프를 나타냅니다. 목표가 제3자에 의존하지 않는 로컬 암호화라면 독립성을 선택해야 합니다.

비밀번호 재설정의 보안 영향

비밀번호 재설정이 가능하면 또 다른 공격 표면이 생깁니다:

• 이메일을 장악한 공격자는 재설정을 트리거할 수 있습니다.
• 에스크로 키를 보관하는 회사는 강제 압력을 받을 수 있습니다.
• 침해된 서버는 복구 메커니즘을 악용하게 할 수 있습니다.

비밀번호를 재설정할 서버가 없으면, 악용할 복구 채널 자체가 없습니다. 로컬 암호화의 구조적 현실은 단순합니다:

올바른 비밀번호만이 데이터를 잠금 해제합니다.

책임과 트레이드‑오프

오프라인 암호화를 구축하기 전에 이해해야 할 점:

• 강력한 비밀번호를 선택해야 합니다.
• 비밀번호를 잊으면 접근 권한을 영원히 잃게 됩니다.
• 책임이 클라우드에서 사용자에게 이동합니다.

거칠게 들릴 수 있지만, 이것이 솔직한 이야기입니다. 진정한 암호화는 신분증, 지원 티켓, 재설정 링크와 협상하지 않습니다. 올바른 키에만 반응합니다.

트레이드‑오프 요약

두 선택 모두 정당합니다. Vaelri Vault의 경우, 독립성과 로컬 제어를 선택했습니다.

오프라인 암호화의 장점

오프라인 암호화는 데이터가 외부 비즈니스 라이프사이클과 분리됩니다. 클라우드 서비스는:

• 정책을 바꿀 수 있다
• 인수될 수 있다
• 서비스가 종료될 수 있다
• API가 바뀔 수 있다

로컬에 저장된 데이터는 이러한 것들에 의존하지 않습니다. 앱이 실행되고 비밀번호만 있으면 데이터는 언제든 접근 가능합니다.

독립성은 복구 비용을 의미합니다. 이것은 결함이 아니라 바로 그 점이 목적입니다.