Festlegen von Cache-Sicherheitsschwellenwerten - AWS Encryption SDK

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Festlegen von Cache-Sicherheitsschwellenwerten

Wenn Sie das Datenschüssel-Caching implementieren möchten, konfigurieren Sie die Sicherheitsschwellenwerte, die derCMM zwischenspeichernerzwingt.

Die Sicherheitsschwellenwerte helfen Ihnen, die Verwendungsdauer jedes im Cache gespeicherten Datenschlüssels und die Menge der unter jedem Datenschlüssel geschützten Daten zu begrenzen. Das Caching-CMM gibt im Cache gespeicherte Datenschlüssel nur dann zurück, wenn der Cache-Eintrag allen Sicherheitsschwellenwerten entspricht. Wenn der Cache-Eintrag einen vorgegebenen Schwellenwert überschreitet, wird der Eintrag für die aktuelle Operation nicht verwendet und so bald wie möglich aus dem Cache entfernt. Die erste Verwendung der einzelnen Datenschlüssel (vor dem Caching) ist davon ausgenommen.

Verwenden Sie als Regel die minimale Menge an Caching, die erforderlich ist, um Ihre Kosten- und Leistungsziele zu erreichen.

Das AWS Encryption SDK speichert nur Datenschlüssel im Cache, die mit einer Schlüsselableitungsfunktion verschlüsselt wurden. Außerdem richtet es Obergrenzen für einige Schwellenwerte ein. Diese Einschränkungen stellen sicher, dass Datenschlüssel nicht über ihre kryptografischen Obergrenzen hinaus wiederverwendet werden. Da Ihre Klartext-Datenschlüssel jedoch im Cache gespeichert werden (standardmäßig im Arbeitsspeicher), sollten Sie versuchen, die Zeit zu minimieren, wie lange die Schlüssel gespeichert werden. Versuchen Sie auch, die Datenmenge zu begrenzen, die offengelegt werden könnte, wenn ein Schlüssel verletzt wird.

Beispiele zum Festlegen von Cache-Sicherheitsschwellenwerten finden Sie unterAWS Encryption SDK: Wie Sie feststellen, ob das Datenschlüssel-Caching für Ihre Anwendung geeignet istimAWSBlog-Blog zur Sicherheit.

Anmerkung

Der Caching-CMM erzwingt alle folgenden Schwellenwerte. Wenn Sie keinen optionalen Wert angeben, verwendet der Caching-CMM den Standardwert.

Um das Datenschüssel-Caching vorübergehend zu deaktivieren, bieten Java- und Python-Implementierungen desAWS Encryption SDKStellen Sie eine bereitCache für kryptografische Materialien(Null-Cache). Der Null-Cache gibt einen Fehler für alle GET-Anfragen zurück und reagiert nicht auf PUT-Anfragen. Wir empfehlen Ihnen die Verwendung des Null-Cache, anstatt die Cache-Kapazität oder den Sicherheitsschwellenwert auf 0 zu setzen. Weitere Informationen finden Sie im Null-Cache in Java und Python.

Höchstalter (erforderlich)

Legt fest, wie lange ein im Cache gespeicherter Eintrag verwendet werden kann, beginnend ab dem Zeitpunkt, zu dem er hinzugefügt wurde. Dieser Wert ist erforderlich. Geben Sie einen Wert größer als 0 ein. Das AWS Encryption SDK beschränkt das Höchstalter nicht.

Alle Sprachimplementierungen desAWS Encryption SDKdefinieren Sie das maximale Alter in Sekunden, mit Ausnahme desAWS-Verschlüsselungs-SDK for JavaScript, das Millisekunden verwendet.

Verwenden Sie das kürzeste Intervall, bei dem Ihre Anwendung noch vom Cache profitieren kann. Sie können die maximale Altersgrenze wie eine Schlüsselrotationsrichtlinie verwenden. Verwenden Sie sie, um die Wiederverwendung von Datenschlüsseln einzuschränken, die Offenlegung von kryptographischem Material zu minimieren und Datenschlüssel zu entfernen, deren Richtlinien sich möglicherweise geändert haben, während sie im Cache gespeichert waren.

Maximale Anzahl verschlüsselter Nachrichten (optional)

Gibt die maximale Anzahl der Nachrichten an, die ein im Cache gespeicherter Datenschlüssel verschlüsseln kann. Dieser Wert ist optional. Geben Sie einen Wert zwischen 1 und 2^32 Nachrichten ein. Der Standardwert beträgt 2^32 Nachrichten

Stellen Sie die Anzahl der durch jeden im Cache gespeicherten Schlüssel geschützten Nachrichten so ein, dass sie groß genug ist, um Nutzen aus der Wiederverwendung zu erhalten, aber klein genug, um die Anzahl der Nachrichten zu begrenzen, die bei einer Gefährdung eines Schlüssels offengelegt werden könnten.

Maximale Anzahl verschlüsselter Bytes (optional)

Gibt die maximale Anzahl der Bytes an, die ein im Cache gespeicherter Datenschlüssel verschlüsseln kann. Dieser Wert ist optional. Geben Sie einen Wert zwischen 0 und 2^63 - 1 ein. Der Standardwert lautet 2^63 - 1. Bei einem Wert von 0 können Sie Datenschlüssel-Caching nur verwenden, wenn Sie leere Nachrichtenzeichenfolgen verschlüsseln.

Die Bytes in der aktuellen Anfrage sind bei der Auswertung dieses Schwellenwerts enthalten. Wenn die verarbeiteten Bytes plus die aktuellen Bytes den Schwellenwert überschreiten, wird der im Cache gespeicherte Datenschlüssel aus dem Cache entfernt, auch wenn er bei einer kleineren Anfrage verwendet werden hätte können.