Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Unformatierte RSA-Schlüsselbunde
Der Raw RSA-Schlüsselbund führt eine asymmetrische Verschlüsselung und Entschlüsselung von Datenschlüsseln im lokalen Speicher mit den von Ihnen bereitgestellten öffentlichen und privaten RSA-Schlüsseln durch. Sie müssen den privaten Schlüssel generieren, speichern und schützen, vorzugsweise in einem Hardware-Sicherheitsmodul (HSM) oder einem Schlüsselverwaltungssystem. Die Verschlüsselungsfunktion verschlüsselt den Datenschlüssel unter dem öffentlichen RSA-Schlüssel. Die Entschlüsselungsfunktion entschlüsselt den Datenschlüssel mithilfe des privaten Schlüssels. Sie können aus mehreren RSA-Padding-Modi
Ein unformatierter RSA-Schlüsselbund, der verschlüsselt und entschlüsselt, muss ein asymmetrisches öffentliches und privates Schlüsselpaar enthalten. Sie können Daten jedoch mit einem Raw RSA Keyring verschlüsseln, der nur über einen öffentlichen Schlüssel verfügt, und Sie können Daten mit einem Raw RSA Schlüsselbund entschlüsseln, der nur über einen privaten Schlüssel verfügt. Sie können einen beliebigen Raw RSA-Schlüsselbund in einen Mehrfachschlüsselbund aufnehmen. Wenn Sie einen Raw RSA-Schlüsselbund mit einem öffentlichen und einem privaten Schlüssel konfigurieren, stellen Sie sicher, dass sie Teil desselben key pair sind. In einigen Sprachimplementierungen von AWS Encryption SDK wird kein Raw RSA-Schlüsselbund mit Schlüsseln aus verschiedenen Paaren erstellt. Andere verlassen sich darauf, dass Sie überprüfen, ob Ihre Schlüssel von demselben key pair stammen.
Der Raw RSA Keyring entspricht in the und the JceMasterKey
Anmerkung
Der Raw RSA-Schlüsselbund unterstützt keine asymmetrischen KMS-Schlüssel. Wenn Sie asymmetrische RSA-KMS-Schlüssel verwenden möchten, Version 4. x von AWS Encryption SDK für .NET und Version 3. x der AWS-Verschlüsselungs-SDK for Java
unterstützenden AWS KMS Schlüsselbunde, die symmetrische Verschlüsselung (SYMMETRIC_DEFAULT) oder asymmetrisches RSA verwenden. AWS KMS keys
Wenn Sie Daten mit einem RSA-RSA-Schlüsselbund verschlüsseln, der den öffentlichen Schlüssel eines RSA-KMS-Schlüssels enthält, können weder der RSA-KMS-Schlüssel noch ihn entschlüsseln. AWS Encryption SDK AWS KMS Sie können den privaten Schlüssel eines AWS KMS asymmetrischen KMS-Schlüssels nicht in einen Raw RSA-Schlüsselbund exportieren. Der AWS KMS Decrypt-Vorgang kann die verschlüsselte Nachricht, die zurückgegeben wird, nicht entschlüsseln. AWS Encryption SDK
Achten Sie beim Erstellen eines RSA-Schlüsselbunds in der darauf AWS-Verschlüsselungs-SDK for C, dass Sie den Inhalt der PEM-Datei, die jeden Schlüssel enthält, als Null-terminierte C-Zeichenfolge angeben, nicht als Pfad oder Dateiname. Achten Sie bei der Erstellung eines Raw RSA-Schlüsselbundes auf mögliche Inkompatibilitäten mit anderen Sprachimplementierungen JavaScript.
Namespaces und Namen
Um das RSA-Schlüsselmaterial in einem Schlüsselbund zu identifizieren, verwendet der RSA-RSA-Schlüsselbund einen Schlüsselnamespace und einen Schlüsselnamen, die Sie angeben. Diese Werte sind nicht geheim. Sie erscheinen im Klartext in der Kopfzeile der verschlüsselten Nachricht, die der Verschlüsselungsvorgang zurückgibt. Wir empfehlen, den Schlüsselnamespace und den Schlüsselnamen zu verwenden, die das RSA-Schlüsselpaar (oder seinen privaten Schlüssel) in Ihrem HSM oder Schlüsselverwaltungssystem identifizieren.
Anmerkung
Der Schlüsselnamespace und der Schlüsselname entsprechen den Feldern Provider-ID (oder Provider) und Key-ID in den Feldern und. JceMasterKey RawMasterKey
Der AWS-Verschlüsselungs-SDK for C reserviert den aws-kms Schlüsselnamespace-Wert für KMS-Schlüssel. Verwenden Sie ihn nicht in einem Raw AES Keyring oder Raw RSA Keyring mit dem. AWS-Verschlüsselungs-SDK for C
Wenn Sie verschiedene Schlüsselbunde zum Verschlüsseln und Entschlüsseln einer bestimmten Nachricht erstellen, sind der Namespace und die Namenswerte entscheidend. Wenn der Schlüsselnamespace und der Schlüsselname im Entschlüsselungsschlüsselbund nicht exakt und unter Berücksichtigung der Groß- und Kleinschreibung für den Schlüsselnamespace und den Schlüsselnamen im Verschlüsselungsschlüsselbund übereinstimmen, wird der Entschlüsselungsschlüsselbund nicht verwendet, auch wenn die Schlüssel aus demselben key pair stammen.
Der Schlüsselnamespace und der Schlüsselname des Schlüsselmaterials in den Verschlüsselungs- und Entschlüsselungsschlüsselbunden müssen identisch sein, unabhängig davon, ob der Schlüsselbund den öffentlichen RSA-Schlüssel, den privaten RSA-Schlüssel oder beide Schlüssel im key pair enthält. Nehmen wir beispielsweise an, Sie verschlüsseln Daten mit einem RSA-Rohschlüsselbund für einen öffentlichen RSA-Schlüssel mit Schlüsselnamespace und Schlüsselname. HSM_01 RSA_2048_06 Um diese Daten zu entschlüsseln, erstellen Sie einen RSA-Rohschlüsselbund mit dem privaten Schlüssel (oder key pair) und demselben Schlüsselnamespace und Namen.
Padding-Modus
Sie müssen einen Füllmodus für RSA-Rohschlüsselringe angeben, die für die Verschlüsselung und Entschlüsselung verwendet werden, oder Funktionen Ihrer Sprachimplementierung verwenden, die ihn für Sie spezifizieren.
Der AWS Encryption SDK unterstützt die folgenden Füllmodi, die den Einschränkungen der jeweiligen Sprache unterliegen. Wir empfehlen einen OAEP-Padding-Modus, insbesondere OAEP
-
OAEP mit SHA-1 und MGF1 mit SHA-1-Padding
-
OAEP mit SHA-256 und MGF1 mit SHA-256-Padding
-
OAEP mit SHA-384 und MGF1 mit SHA-384-Padding
-
OAEP mit SHA-512 und MGF1 mit SHA-512-Padding
-
PKCS1 v1.5 Polsterung
Die folgenden Beispiele zeigen, wie Sie einen RSA-Rohschlüsselbund mit dem öffentlichen und privaten Schlüssel eines RSA-Schlüsselpaars und den OAEP mit SHA-256 und MGF1 mit dem SHA-256-Padding-Modus erstellen. RSAPublicKeyRSAPrivateKeyDie Variablen und stellen das von Ihnen bereitgestellte Hauptmaterial dar.
