AWS KMS ECDH-Schlüsselbünde - AWS Datenbankverschlüsselung SDK
AWS KMS ECDHErforderliche Berechtigungen für SchlüsselanhängerEinen Schlüsselbund erstellen AWS KMS ECDHEinen AWS KMS ECDH Discovery-Schlüsselbund erstellen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS KMS ECDH-Schlüsselbünde

Unsere clientseitige Verschlüsselungsbibliothek wurde in AWS Database Encryption umbenannt. SDK Dieses Entwicklerhandbuch enthält weiterhin Informationen zum DynamoDB Encryption Client.
Wichtig

Der AWS KMS ECDH Schlüsselbund ist nur mit Version 1.5.0 der Material Providers Library verfügbar.

Ein AWS KMS ECDH Schlüsselbund verwendet eine asymmetrische Schlüsselvereinbarung, AWS KMS keysum einen gemeinsamen symmetrischen Wrapping-Schlüssel zwischen zwei Parteien abzuleiten. Zunächst verwendet der Schlüsselbund den Elliptic Curve Diffie-Hellman (ECDH) -Schlüsselvereinbarungsalgorithmus, um ein gemeinsames Geheimnis aus dem privaten Schlüssel im key pair des Absenders und dem öffentlichen KMS Schlüssel des Empfängers abzuleiten. Anschließend leitet der Schlüsselbund anhand des gemeinsamen geheimen Schlüssels den gemeinsamen Wrapping-Schlüssel ab, der Ihre Datenverschlüsselungsschlüssel schützt. Die Schlüsselableitungsfunktion, die AWS Database Encryption (KDF_CTR_HMAC_SHA384) SDK verwendet, um den gemeinsamen Wrapping-Schlüssel abzuleiten, entspricht den Empfehlungen für die Schlüsselableitung. NIST

Die Funktion zur Schlüsselableitung gibt 64 Byte an Schlüsselmaterial zurück. Um sicherzustellen, dass beide Parteien das richtige Schlüsselmaterial verwenden, SDK verwendet die AWS Datenbankverschlüsselung die ersten 32 Byte als Commitment-Schlüssel und die letzten 32 Byte als gemeinsamen Wrapping-Schlüssel. Wenn der Schlüsselbund beim Entschlüsseln nicht den gleichen Commitment-Schlüssel und den gemeinsamen Wrapping-Schlüssel reproduzieren kann, die im Materialbeschreibungsfeld des verschlüsselten Datensatzes gespeichert sind, schlägt der Vorgang fehl. Wenn Sie beispielsweise einen Datensatz mit einem Schlüsselbund verschlüsseln, der mit Alices privatem Schlüssel und Bobs öffentlichem Schlüssel konfiguriert ist, reproduziert ein Schlüsselbund, der mit Bobs privatem Schlüssel und Alices öffentlichem Schlüssel konfiguriert ist, denselben Commitment-Schlüssel und gemeinsamen Wrapping-Schlüssel und kann den Datensatz entschlüsseln. Wenn Bobs öffentlicher Schlüssel nicht von einem KMS key pair stammt, kann Bob einen ECDHRaw-Schlüsselbund erstellen, um den Datensatz zu entschlüsseln.

Der AWS KMS ECDH Schlüsselbund verschlüsselt Datensätze mit einem symmetrischen Schlüssel mithilfe von -. AES GCM Der Datenschlüssel wird dann mit dem abgeleiteten gemeinsamen Wrapping-Schlüssel unter Verwendung von - umhüllverschlüsselt. AES GCM Jeder AWS KMS ECDH Schlüsselbund kann nur einen gemeinsamen Umschließungsschlüssel haben, aber Sie können mehrere Schlüsselbunde, allein oder zusammen mit anderen AWS KMS ECDH Schlüsselbunden, zu einem Mehrfachschlüsselbund zusammenfassen.

AWS KMS ECDHErforderliche Berechtigungen für Schlüsselanhänger

Für die AWS Datenbankverschlüsselung ist SDK kein AWS Konto erforderlich und sie ist von keinem AWS Dienst abhängig. Um einen AWS KMS ECDH Schlüsselbund verwenden zu können, benötigen Sie jedoch ein AWS Konto und die folgenden Mindestberechtigungen für AWS KMS keys den Schlüsselbund. Die Berechtigungen variieren je nachdem, welches Schlüsselvereinbarungsschema Sie verwenden.

  • Um Datensätze mithilfe des KmsPrivateKeyToStaticPublicKey Schlüsselvereinbarungsschemas zu verschlüsseln und zu entschlüsseln, benötigen Sie kms: GetPublicKey und kms: DeriveSharedSecret für das asymmetrische KMS key pair des Absenders. Wenn Sie den DER -codierten öffentlichen Schlüssel des Absenders direkt angeben, wenn Sie Ihren Schlüsselbund instanziieren, benötigen Sie nur die kms: DeriveSharedSecret -Berechtigung für das asymmetrische key pair des Absenders. KMS

  • Um Datensätze mithilfe des KmsPublicKeyDiscovery Schlüsselvereinbarungsschemas zu entschlüsseln, benötigen Sie die GetPublicKey Berechtigungen kms: DeriveSharedSecret und kms: für das angegebene asymmetrische KMS key pair.

Einen Schlüsselbund erstellen AWS KMS ECDH

Um einen AWS KMS ECDH Schlüsselbund zu erstellen, der Daten ver- und entschlüsselt, müssen Sie das KmsPrivateKeyToStaticPublicKey Schlüsselvereinbarungsschema verwenden. Um einen AWS KMS ECDH Schlüsselbund mit dem Schlüsselvereinbarungsschema zu initialisieren, KmsPrivateKeyToStaticPublicKey geben Sie die folgenden Werte an:

  • ID des Absenders AWS KMS key

    Muss ein asymmetrisches NIST — empfohlenes elliptisches KMS Curve-Schlüsselpaar (ECC) mit einem KeyUsage Wert von identifizieren. KEY_AGREEMENT Der private Schlüssel des Absenders wird verwendet, um den gemeinsamen geheimen Schlüssel abzuleiten.

  • (Optional) Der öffentliche Schlüssel des Absenders

    Muss ein DER -codierter öffentlicher X.509-Schlüssel sein, auch bekannt als SubjectPublicKeyInfo (SPKI), wie in 5280 definiert. RFC

    Die AWS KMS GetPublicKeyOperation gibt den öffentlichen Schlüssel eines asymmetrischen KMS key pair im erforderlichen DER -codierten Format zurück.

    Um die Anzahl der AWS KMS Anrufe zu reduzieren, die Ihr Schlüsselbund tätigt, können Sie den öffentlichen Schlüssel des Absenders direkt angeben. Wenn kein Wert für den öffentlichen Schlüssel des Absenders angegeben wird, ruft der Schlüsselbund auf, AWS KMS um den öffentlichen Schlüssel des Absenders abzurufen.

  • Der öffentliche Schlüssel des Empfängers

    Sie müssen den DER -codierten öffentlichen X.509-Schlüssel des Empfängers, auch bekannt als SubjectPublicKeyInfo (SPKI), wie in 5280 definiert, angeben. RFC

    Die AWS KMS GetPublicKeyOperation gibt den öffentlichen Schlüssel eines asymmetrischen KMS key pair im erforderlichen DER -codierten Format zurück.

  • Kurvenspezifikation

    Identifiziert die Spezifikation für elliptische Kurven in den angegebenen Schlüsselpaaren. Sowohl die Schlüsselpaare des Absenders als auch des Empfängers müssen dieselbe Kurvenspezifikation haben.

    Zulässige Werte: ECC_NIST_P256, ECC_NIS_P384, ECC_NIST_P512

  • (Optional) Eine Liste von Grant-Tokens

    Wenn Sie den Zugriff auf den KMS Schlüssel in Ihrem AWS KMS ECDH Schlüsselbund mit Grants kontrollieren, müssen Sie bei der Initialisierung des Schlüsselbunds alle erforderlichen Grant-Token angeben.

C# / .NET

Im folgenden Beispiel wird ein AWS KMS ECDH Schlüsselbund mit dem Schlüssel des Absenders, dem öffentlichen KMS Schlüssel des Absenders und dem öffentlichen Schlüssel des Empfängers erstellt. In diesem Beispiel wird der optionale senderPublicKey Parameter verwendet, um den öffentlichen Schlüssel des Absenders bereitzustellen. Wenn Sie den öffentlichen Schlüssel des Absenders nicht angeben, ruft der Schlüsselbund auf, AWS KMS um den öffentlichen Schlüssel des Absenders abzurufen. Sowohl die Schlüsselpaare des Absenders als auch des Empfängers befinden sich auf der ECC_NIST_P256 Kurve. 

// Instantiate material providers
var materialProviders = new MaterialProviders(new MaterialProvidersConfig());

// Must be DER-encoded X.509 public keys
var BobPublicKey = new MemoryStream(new byte[] { });
var AlicePublicKey = new MemoryStream(new byte[] { });

// Create the AWS KMS ECDH static keyring
var staticConfiguration = new KmsEcdhStaticConfigurations
{
    KmsPrivateKeyToStaticPublicKey = new KmsPrivateKeyToStaticPublicKeyInput
    {
        SenderKmsIdentifier = "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        SenderPublicKey = BobPublicKey,
        RecipientPublicKey = AlicePublicKey
    }
};
	    
var createKeyringInput = new CreateAwsKmsEcdhKeyringInput
{
    CurveSpec = ECDHCurveSpec.ECC_NIST_P256,
    KmsClient = new AmazonKeyManagementServiceClient(),
    KeyAgreementScheme = staticConfiguration
};

var keyring = materialProviders.CreateAwsKmsEcdhKeyring(createKeyringInput);
Java

Im folgenden Beispiel wird ein AWS KMS ECDH Schlüsselbund mit dem KMS Schlüssel des Absenders, dem öffentlichen Schlüssel des Absenders und dem öffentlichen Schlüssel des Empfängers erstellt. In diesem Beispiel wird der optionale senderPublicKey Parameter verwendet, um den öffentlichen Schlüssel des Absenders bereitzustellen. Wenn Sie den öffentlichen Schlüssel des Absenders nicht angeben, ruft der Schlüsselbund auf, AWS KMS um den öffentlichen Schlüssel des Absenders abzurufen. Sowohl die Schlüsselpaare des Absenders als auch des Empfängers befinden sich auf der ECC_NIST_P256 Kurve. 

// Retrieve public keys
// Must be DER-encoded X.509 public keys                                
ByteBuffer BobPublicKey = getPublicKeyBytes("arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab");
        ByteBuffer AlicePublicKey = getPublicKeyBytes("arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"); 

// Create the AWS KMS ECDH static keyring
        final CreateAwsKmsEcdhKeyringInput senderKeyringInput =
          CreateAwsKmsEcdhKeyringInput.builder()
            .kmsClient(KmsClient.create())
            .curveSpec(ECDHCurveSpec.ECC_NIST_P256)
            .KeyAgreementScheme(
              KmsEcdhStaticConfigurations.builder()
                .KmsPrivateKeyToStaticPublicKey(
                  KmsPrivateKeyToStaticPublicKeyInput.builder()
                    .senderKmsIdentifier("arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab")
                    .senderPublicKey(BobPublicKey)
                    .recipientPublicKey(AlicePublicKey)
                    .build()).build()).build();

Einen AWS KMS ECDH Discovery-Schlüsselbund erstellen

Beim Entschlüsseln empfiehlt es sich, die Schlüssel anzugeben, die die AWS Datenbankverschlüsselung verwenden SDK kann. Um dieser bewährten Methode zu folgen, verwenden Sie einen AWS KMS ECDH Schlüsselbund mit dem KmsPrivateKeyToStaticPublicKey Schlüsselvereinbarungsschema. Sie können jedoch auch einen AWS KMS ECDH Discovery-Schlüsselbund erstellen, d. h. einen AWS KMS ECDH Schlüsselbund, der jeden Datensatz entschlüsseln kann, bei dem der öffentliche Schlüssel des angegebenen Schlüsselpaars mit dem öffentlichen KMS Schlüssel des Empfängers übereinstimmt, der im Materialbeschreibungsfeld des verschlüsselten Datensatzes gespeichert ist.

Wichtig

Wenn Sie Datensätze mithilfe des KmsPublicKeyDiscovery Schlüsselvereinbarungsschemas entschlüsseln, akzeptieren Sie alle öffentlichen Schlüssel, unabhängig davon, wem sie gehören.

Um einen AWS KMS ECDH Schlüsselbund mit dem Schlüsselvereinbarungsschema zu initialisieren, geben Sie die folgenden Werte an: KmsPublicKeyDiscovery

  • ID des Empfängers AWS KMS key

    Muss ein asymmetrisches NIST — empfohlenes elliptisches KMS Curve-Schlüsselpaar (ECC) mit einem KeyUsage Wert von identifizieren. KEY_AGREEMENT

  • Kurvenspezifikation

    Identifiziert die elliptische Kurvenspezifikation im KMS key pair des Empfängers.

    Zulässige Werte: ECC_NIST_P256, ECC_NIS_P384, ECC_NIST_P512

  • (Optional) Eine Liste von Grant-Tokens

    Wenn Sie den Zugriff auf den KMS Schlüssel in Ihrem AWS KMS ECDH Schlüsselbund mit Grants kontrollieren, müssen Sie bei der Initialisierung des Schlüsselbunds alle erforderlichen Grant-Token angeben.

C# / .NET

Im folgenden Beispiel wird ein AWS KMS ECDH Discovery-Schlüsselbund mit einem KMS key pair auf der ECC_NIST_P256 Kurve erstellt. Sie müssen über die DeriveSharedSecret Berechtigungen kms: GetPublicKey und kms: für das angegebene KMS key pair verfügen. Dieser Schlüsselbund kann jeden Datensatz entschlüsseln, bei dem der öffentliche Schlüssel des angegebenen Schlüsselpaars mit dem öffentlichen KMS Schlüssel des Empfängers übereinstimmt, der im Materialbeschreibungsfeld des verschlüsselten Datensatzes gespeichert ist.

// Instantiate material providers
var materialProviders = new MaterialProviders(new MaterialProvidersConfig());

// Create the AWS KMS ECDH discovery keyring
var discoveryConfiguration = new KmsEcdhStaticConfigurations
{
    KmsPublicKeyDiscovery = new KmsPublicKeyDiscoveryInput
    {
        RecipientKmsIdentifier = "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
    }
		    
};
var createKeyringInput = new CreateAwsKmsEcdhKeyringInput
{
    CurveSpec = ECDHCurveSpec.ECC_NIST_P256,
    KmsClient = new AmazonKeyManagementServiceClient(),
    KeyAgreementScheme = discoveryConfiguration
};
var keyring = materialProviders.CreateAwsKmsEcdhKeyring(createKeyringInput);
Java

Im folgenden Beispiel wird ein AWS KMS ECDH Discovery-Schlüsselbund mit einem KMS key pair auf der ECC_NIST_P256 Kurve erstellt. Sie müssen über die DeriveSharedSecret Berechtigungen kms: GetPublicKey und kms: für das angegebene KMS key pair verfügen. Dieser Schlüsselbund kann jeden Datensatz entschlüsseln, bei dem der öffentliche Schlüssel des angegebenen Schlüsselpaars mit dem öffentlichen KMS Schlüssel des Empfängers übereinstimmt, der im Materialbeschreibungsfeld des verschlüsselten Datensatzes gespeichert ist.

// Create the AWS KMS ECDH discovery keyring
final CreateAwsKmsEcdhKeyringInput recipientKeyringInput =
  CreateAwsKmsEcdhKeyringInput.builder()
    .kmsClient(KmsClient.create())
    .curveSpec(ECDHCurveSpec.ECC_NIST_P256)
    .KeyAgreementScheme(
      KmsEcdhStaticConfigurations.builder()
        .KmsPublicKeyDiscovery(
          KmsPublicKeyDiscoveryInput.builder()
            .recipientKmsIdentifier("arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321").build()
        ).build())
    .build();