Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Unterstützte Algorithmen-Pakete im AWS Encryption SDK
Ein Algorithmen-Paket ist eine Sammlung von kryptografischen Algorithmen und zugehörigen Werten. Kryptografische Systeme verwenden die Algorithmen-Implementierung, um die Verschlüsselungstext-Nachricht zu generieren.
Das AWS Encryption SDK-Algorithmen-Paket verwendet den Advanced Encryption Standard (AES)-Algorithmus im Galois/Counter Mode (GCM), als AES-GCM bezeichnet, zur Verschlüsselung von Rohdaten. DieAWS Encryption SDKunterstützt 256-, 192- und 128-Bit-Verschlüsselungsschlüssel. Die Länge des Initialisierungsvektors (IV) beträgt immer 12 Bytes. Die Länge des Authentifizierungs-Tags beträgt immer 16 Bytes.
Standardmäßig ist derAWS Encryption SDKverwendet eine Algorithmus-Suite mit AES-GCM mit einem HMAC-basiertenextract-and-expandFunktion der Schlüsselableitung (HKDF
Empfohlen: AES-GCM mit Schlüsselableitung, Signatur und Schlüsselverpflichtung
DieAWS Encryption SDKempfiehlt eine Algorithmus-Suite, die einen AES-GCM-Verschlüsselungsschlüssel ableitet, indem ein 256-Bit-Datenverschlüsselungsschlüssel für den HMAC bereitgestellt wirdextract-and-expandSchlüsselableitungsfunktion (HKDF). DieAWS Encryption SDKfügt eine ECDSA-Signatur (Elliptic Curve Digital Signature Algorithm) hinzu. Zu -SupportSchlüsselliches Engagementleitet diese Algorithmus-Suite auch einSchlüsselzeichenfolge für Verpflichtungen— Ein ungeheimer Datenschlüssel-Identifikator — der in den Metadaten der verschlüsselten Nachricht gespeichert wird. Diese wichtige Verpflichtungszeichenfolge wird auch durch HKDF mit einem Verfahren abgeleitet, das dem Ableiten des Datenverschlüsselungsschlüssels ähnelt.
AWS Encryption SDKAlgorithmen-Paket | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Verschlüsselungsalgorithmus | Länge des Datenverschlüsselungsschlüssels (in Bit) | Schlüsselableitungsalgorithmus | Signatur-Algorithmus | Wesentliche Verpflichtung | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| AES-GCM | 256 | HKDF mit SHA-384 | ECDSA mit P-384 und SHA-384 | HKDF mit SHA-512 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Das HKDF hilft Ihnen, eine unbeabsichtigte Wiederverwendung eines Datenverschlüsselungsschlüssels zu vermeiden und reduziert das Risiko einer Übernutzung eines Datenschlüssels.
Zum Signieren verwendet dieses Algorithmen-Paket ECDSA mit einem kryptografischen Hash-Funktionsalgorithmus (SHA-384). ECDSA wird standardmäßig verwendet, auch wenn es nicht in der Richtlinie für den zugrundeliegenden Masterschlüssel angegeben ist. Signieren von Nachrichtenüberprüft, dass der Absender der Nachricht berechtigt war, Nachrichten zu verschlüsseln, und stellt keine Ablehnung bereit. Sie ist besonders nützlich, wenn die Berechtigungsrichtlinie für einen Masterschlüssel es einer Gruppe von Benutzern erlaubt, Daten zu verschlüsseln, und einer anderen Gruppe von Benutzern, Daten zu entschlüsseln.
Algorithm Suites mit wesentlicher Verpflichtung stellen sicher, dass jeder Chiffretext nur in einen Klartext entschlüsselt wird. Sie tun dies, indem sie die Identität des Datenschlüssels validieren, der als Eingabe für den Verschlüsselungsalgorithmus verwendet wird. Bei der Verschlüsselung leiten diese Algorithmus-Suiten eine Schlüsselverbindungszeichenfolge ab. Vor dem Entschlüsseln überprüfen sie, ob der Datenschlüssel mit der Schlüsselverpflichtungszeichenfolge übereinstimmt. Wenn dies nicht der Fall ist, schlägt der Entschlüsselungsaufruf fehl.
Andere unterstützte Algorithmen-Pakete
Das AWS Encryption SDK unterstützt die folgenden alternativen Algorithmus-Pakete für Abwärtskompatibilität. Im Allgemeinen empfehlen wir diese Algorithmen-Pakete nicht. Wir sind uns jedoch bewusst, dass die Unterzeichnung die Leistung erheblich behindern kann, daher bieten wir eine wichtige Committing-Suite mit Schlüsselableitung für diese Fälle an. Für Anwendungen, die bedeutendere Leistungskompromisse eingehen müssen, bieten wir weiterhin Suiten an, denen es an Unterzeichnung, Schlüsselverpflichtung und wichtige Ableitung mangelt.
- AES-GCM ohne Schlüsselverpflichtung
-
Algorithm Suites ohne Schlüsselverpflichtung validieren den Datenschlüssel vor dem Entschlüsseln nicht. Infolgedessen entschlüsseln diese Algorithmus-Suiten möglicherweise einen einzelnen Chiffretext in verschiedene Klartext-Nachrichten. Da Algorithmus-Suiten mit wesentlicher Verpflichtung jedoch einetwas größere (+30 Byte) verschlüsselte Nachrichtund dauert länger, um zu verarbeiten, sie sind möglicherweise nicht die beste Wahl für jede Anwendung.
DieAWS Encryption SDKunterstützt eine Algorithmus-Suite mit Schlüsselableitung, Schlüsselverpflichtung, Unterzeichnung und eine mit Schlüsselableitung und Schlüsselverpflichtung, aber nicht Unterzeichnung. Wir raten von der Verwendung einer Algorithmen-Paket ohne Schlüsselverpflichtung ab. Wenn nötig, empfehlen wir eine Algorithmus-Suite mit Schlüsselableitung und Schlüsselverpflichtung, aber nicht signieren. Wenn Ihr Anwendungsleistungsprofil jedoch die Verwendung einer Algorithmus-Suite unterstützt, ist die Verwendung einer Algorithmus-Suite mit wesentlicher Verpflichtung, Schlüsselableitung und Signierung eine bewährte Methode.
- AES-GCM ohne Signatur
-
Dieses Algorithmen-Paket ohne Signatur fehlt die ECDSA-Signatur, die Authentizität und Nachweisbarkeitskonzeption bietet. Verwenden Sie dieses Paket nur, wenn die Benutzer, die Daten verschlüsseln und die, die Daten entschlüsseln, gleichermaßen vertrauenswürdig sind.
Wenn Sie eine Algorithmus-Suite ohne Signieren verwenden, empfehlen wir Ihnen, eine mit Schlüsselableitung und Schlüsselverpflichtung zu wählen.
- AES-GCM ohne Schlüsselableitung
-
Algorithmen-Paket ohne Schlüsselableitung verwenden den Datenverschlüsselungsschlüssel als AES-GCM-Verschlüsselungsschlüssel, anstatt eine Schlüsselableitungsfunktion zu verwenden, um einen eindeutigen Schlüssel abzuleiten. Wir raten davon ab, dieses Paket zur Generierung von Chiffretext zu verwenden, aberAWS Encryption SDKunterstützt es aus Kompatibilitätsgründen.
Weitere Informationen darüber, wie diese Pakete in der Bibliothek dargestellt und verwendet werden, finden Sie unter AWS Encryption SDK Referenz für Algorithmen.
