Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Encrypt
Una función básica de AWS KMS es cifrar un objeto con una clave KMS. Por diseño, AWS KMS proporciona operaciones criptográficas de baja latencia en. HSMs Por lo tanto, hay un límite de 4 KB en la cantidad de texto sin formato que se puede cifrar en una llamada directa a la función de cifrado. Se AWS Encryption SDK puede usar para cifrar mensajes más grandes. AWS KMS, tras autenticar el comando, adquiere el EKT activo actual correspondiente a la clave KMS. Pasa el EKT junto con el texto sin formato y el contexto de cifrado a cualquier HSM disponible en la región. Se envían a través de una sesión autenticada entre el AWS KMS host y un HSM del dominio.
El HSM ejecuta lo siguiente:
-
Descifra el EKT para obtener la HBK = Decrypt(DKi, EKT) .
-
Genera un nonce N aleatorio.
-
Obtiene una clave de cifrado derivada K de AES-GCM de 256 bits desde HBK y N.
-
Cifra el texto sin formato ciphertext = Encrypt(K, context, plaintext).
Se le devuelve el valor del texto cifrado y ni los datos en texto simple ni el texto cifrado se conservan en ninguna parte de la infraestructura. AWS Sin tener el texto cifrado, el contexto de cifrado y la autorización para utilizar la clave de KMS, no se puede devolver el texto sin formato subyacente.