Decrypt - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Decrypt

Ein Aufruf AWS KMS zur Entschlüsselung eines Chiffretext-Werts akzeptiert einen verschlüsselten Wert, Chiffretext und einen Verschlüsselungskontext. AWS KMS authentifiziert den Anruf mithilfe von signierten Anfragen der AWS Signaturversion 4 und extrahiert die HBKID für den Wrapping-Schlüssel aus dem Chiffretext. Die HBKID wird verwendet, um den EKT zu erhalten, der zum Entschlüsseln des Verschlüsselungstexts, der Schlüssel-ID und der Richtlinie für die Schlüssel-ID erforderlich ist. Die Anforderung wird basierend auf der Schlüsselrichtlinie, möglicherweise vorhandenen Berechtigungen und allen zugehörigen IAM-Richtlinien, die auf die Schlüssel-ID verweisen, autorisiert. Die Decrypt-Funktion ist analog zur Verschlüsselungsfunktion.

Das Folgende ist die Decrypt-Anforderungssyntax.

{
	"CiphertextBlob": "blob",
	"EncryptionContext": { "string" : "string" }
	"GrantTokens": ["string"]
}

Im Folgenden sind die Anforderungsparameter aufgeführt.

CiphertextBlob

Verschlüsselter Text einschließlich Metadaten.

EncryptionContext

(Optional) Der Verschlüsselungskontext. Wenn dies in der Encrypt-Funktion angegeben wurde, muss es hier angegeben werden, sonst schlägt die Entschlüsselung fehl. Weitere Informationen finden Sie unter Verschlüsselungskontext im AWS Key Management Service -Entwicklerhandbuch.

GrantTokens

(Optional) Eine Liste von Erteilungstoken, die Erteilungen darstellen, die Berechtigungen zum Durchführen der Entschlüsselung bereitstellen.

Der Verschlüsselungstext und das EKT werden zusammen mit dem Verschlüsselungskontext über eine authentifizierte Sitzung an ein HSM zur Entschlüsselung gesendet.

Das HSM führt Folgendes aus:

  1. Entschlüsselt den EKT, um HBK = Decrypt(DKi, EKT) zu erhalten.

  2. Extrahiert die Nummer N aus der Verschlüsselungstextstruktur.

  3. Regeneriert einen 256-Bit-AES-GCM-abgeleiteten Verschlüsselungsschlüssel K aus HBK und N.

  4. Entschlüsselt den Verschlüsselungstext, um plaintext = Decrypt(K, context, ciphertext) zu erhalten.

Die resultierende Schlüssel-ID und der Klartext werden über die sichere Sitzung an den AWS KMS Host und dann über eine TLS-Verbindung zurück an die aufrufende Kundenanwendung zurückgegeben.

Das Folgende ist die Antwortsyntax.

{
    "KeyId": "string",
    "Plaintext": blob
}

Wenn die aufrufende Anwendung die Authentizität des Klartexts sicherstellen möchte, muss sie überprüfen, ob die zurückgegebene Schlüssel-ID der erwarteten entspricht.