2016-11-14 3 views
2

Я загрузил ключ в службу управления ключами AWS. Используя его, я могу зашифровать вещи, а затем расшифровать их с помощью службы.Расшифровка блочного шифрования от AWS KMS с помощью ключа клиента

Однако, я хотел бы получить подтверждение, что могу расшифровать Crypttext blob, используя ключ, который я поместил в KMS (чтобы доказать, что это мой ключ), и для целей резервного копирования (если KMS завершится с ошибкой).

Я не могу найти формат и метод использования, которые использует KMS.

Может ли кто-нибудь предоставить пример (openssl/python и т. Д.).

+0

check: http://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/example-code.html –

+0

Спасибо - это на самом деле может быть лучшим способом добиться на практике того, что я хочу - дважды зашифруйте ключ, один раз используя AWS и один раз используя открытый ключ, который находится на сервере; тем не менее, он по-прежнему не объясняет, как шифрование KWS преобразует случайную строку + ключ клиента I, указанный в блоке CipherText (или как его отменить) без использования их службы. –

ответ

0

Единственная информация, которую я нашел о KMS ciphertext blob, находится в this document. Начиная с нижней части страницы 23, он говорит:

Всякий раз, когда элемент зашифрован под CMK, результирующий объект является зашифрованным текстом клиента. Шифрованный текст будет содержать два раздела: часть незашифрованного заголовка (или открытого текста), защищенная с помощью схемы аутентифицированного шифрования в качестве дополнительных аутентифицированных данных и зашифрованной части. Часть открытого текста будет включать в себя идентификатор ключа поддержки HSA (HBKID).

я не мог найти больше подробностей формата, даже:

  • Какой частью зашифрованного сгустка является зашифрованной частью?
  • Какой вектор инициализации (IV) использовался?
  • Была ли использована функция деривации ключа (KDF)?

Однако, если вы хотите сделать резервную копию в случае сбоя KMS, при использовании envelope encryption, достаточно сделать резервную копию только ключа данных. В конце концов, это единственный ключ, который необходим для дешифрования данных. Разумеется, сохранение такой ключевой резервной копии должно производиться с одинаковой тщательностью, поскольку вы сохраните импортированный ключевой материал.

 Смежные вопросы

  • Нет связанных вопросов^_^