Shamir Secret Sharing & Auto-unseal

8️⃣ Shamir Secret Sharing & Auto-unseal

Vault는 고도의 보안 체계를 갖춘 비밀 관리 시스템입니다. 이 중 Shamir Secret Sharing과 Auto-unseal은 Vault 보안 아키텍처의 핵심 개념으로, 초기화 및 시크릿 보호에 깊은 관련이 있습니다.

1. 초기화 시 생성되는 키 의미

Vault를 처음 시작하면 반드시 init 과정을 거쳐야 합니다. 이때 다음과 같은 항목이 생성됩니다.

• 🔑 Unseal Keys: Vault의 잠금을 해제하기 위한 키 조각들
• 🔐 Initial Root Token: 최고 관리자 권한의 인증 토큰

🧪 예시

vault operator init -key-shares=5 -key-threshold=3

📌 위 명령은 5개의 키 조각을 생성하고, 이 중 3개 이상이 모여야 Vault를 해제(unseal) 할 수 있도록 설정합니다.

📦 출력 예시:

Unseal Key 1: ad12c1...
Unseal Key 2: 4cfb8f...
Unseal Key 3: f38cb4...
Unseal Key 4: 8c3eab...
Unseal Key 5: c1dabc...

Initial Root Token: s.Jds8Uja92kdd...

2. Unseal 프로세스 (Shamir 알고리즘 설명)

Vault는 기본적으로 Shamir’s Secret Sharing 알고리즘을 사용합니다. 이는 하나의 중요한 정보를 여러 조각으로 분할해 보관하고, 일부 조각을 조합하여 원본 정보를 복원할 수 있게 해줍니다.

📚 개념 요약

• n: 생성된 조각 수
• k: 복원에 필요한 최소 조각 수 (threshold)

즉, n = 5, k = 3이면 5개의 키 중 3개를 입력해야 Vault를 해제할 수 있습니다.

📊 구조 그림

(※ 요청 시 더욱 정제된 아키텍처 도식 제공 가능)

🧪 Unseal 예시

vault operator unseal ad12c1...
vault operator unseal 4cfb8f...
vault operator unseal f38cb4...

3개 키 입력 후 Vault는 🔓 Unsealed 상태가 됩니다.

3. Auto-unseal 기능과 HSM/KMS 연동 구성

기본 unseal 방식은 수동 입력이 필요하므로 운영환경에서는 불편하고 위험할 수 있습니다. 이를 해결하기 위해 Vault는 Auto-unseal 기능을 제공합니다.

🔑 주요 개념

• Vault가 KMS, HSM 또는 Cloud Key Management 서비스와 연동되어 자동 복호화를 수행
• 운영자가 매번 키를 입력할 필요 없음

☁️ 지원되는 Backend 예시

🧪 Auto-unseal 구성 예시 (AWS KMS)

1️⃣ Vault 서버 설정 파일 (vault.hcl)

seal "awskms" {
  region     = "ap-northeast-2"
  kms_key_id = "alias/vault-key"
}

2️⃣ 서버 재시작 시 자동으로 Unseal 완료됨

4. 보안 사고 방지 시나리오 예시

📌 상황: 해커가 Vault 서버의 파일 시스템 접근

• 🧱 일반 Unseal 모드:
  • 디스크 내 저장된 데이터는 암호화되어 있음
  • Unseal Key가 없으면 복호화 불가
• 🔒 Auto-unseal 모드:
  • 키는 HSM/KMS에 저장 → Vault는 직접 보지 못함
  • Key 관리 권한은 IAM에 따름

🧠 실무 팁

✅ 요약