Fonctionnement du kit AWS Encryption SDK - AWS Encryption SDK

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Fonctionnement du kit AWS Encryption SDK

Les flux de travail de cette section expliquent comment leAWS Encryption SDKcrypte les données et décryptemessages chiffrés. Ces workflows décrivent le processus de base utilisant les fonctionnalités par défaut. Pour plus d'informations sur la définition et l'utilisation de composants personnalisés, consultez le GitHub référentiel pour chaque référentiel pris en chargeimplémentation du langage.

LeAWS Encryption SDKutilise le chiffrement d'enveloppe pour protéger vos données. Chaque message est chiffré sous une clé de données unique. La clé de données est ensuite chiffrée par les clés d'encapsulation que vous spécifiez. Pour déchiffrer le message chiffré, leAWS Encryption SDKutilise les clés d'encapsulage que vous spécifiez pour déchiffrer au moins une clé de données chiffrée. Il peut ensuite déchiffrer le texte chiffré et renvoyer un message en texte clair.

Besoin d'aide pour la terminologie que nous utilisons dans leAWS Encryption SDK? Consultez Concepts du kit AWS Encryption SDK.

Comment leAWS Encryption SDKchiffre les données

LeAWS Encryption SDKfournit des méthodes qui chiffrent des chaînes, des tableaux d'octets et des flux d'octets. Pour des exemples de code, consultez la rubrique Exemples de chaqueLangages de programmationSection.

  1. Création d'unPorte-clés(ouFournisseur de clés principales) qui spécifie les clés d'encapsulation qui protègent vos données.

  2. Transmettez le porte-clés et les données en texte brut à une méthode de chiffrement. Nous vous recommandons de transmettre une option non secrète et facultativecontexte de chiffrement.

  3. La méthode de chiffrement demande les matériaux de chiffrement auprès du porte-clés. Le porte-clés renvoie des clés de chiffrement de données uniques pour le message : une clé de données en texte brut et une copie de cette clé de données chiffrées par chacune des clés d'encapsulation spécifiées.

  4. La méthode de chiffrement utilise la clé de données en texte brut pour chiffrer les données, puis la supprime. Si vous fournissez un contexte de chiffrement (unAWS Encryption SDK bonne pratique), la méthode de chiffrement lie cryptographiquement le contexte de chiffrement aux données chiffrées.

  5. La méthode de chiffrement renvoie unMessage chiffréqui contient les données chiffrées, les clés de données chiffrées et d'autres métadonnées, y compris le contexte de chiffrement, si vous en avez utilisé une.

Comment leAWS Encryption SDKdéchiffre un message chiffré

LeAWS Encryption SDKfournit des méthodes qui déchiffrent leMessage chiffréet retournez le texte en clair. Pour des exemples de code, consultez la rubrique Exemples de chaqueLangages de programmationSection.

LePorte-clés(ouFournisseur de clés principales) qui décrypte le message chiffré doit être compatible avec celui utilisé pour chiffrer le message. L'une de ses clés d'encapsulage doit être en mesure de déchiffrer une clé de données chiffrée dans le message chiffré. Pour plus d'informations sur la compatibilité avec les porte-clés et les fournisseurs de clés principales, voirCompatibilité du porte-clés.

  1. Créez un porte-clés ou un fournisseur de clé principale avec des clés d'encapsulage capables de déchiffrer vos données. Vous pouvez utiliser le même porte-clés que celui fourni à la méthode de chiffrement ou un autre porte-clés.

  2. Transmettre leMessage chiffréet le porte-clés d'une méthode de déchiffrement.

  3. La méthode de déchiffrement demande au porte-clés ou au fournisseur de clé principale de déchiffrer l'une des clés de données chiffrées dans le message chiffré. Il transmet des informations à partir du message chiffré, y compris les clés de données chiffrées.

  4. Le porte-clés utilise ses clés d'encapsulage pour déchiffrer l'une des clés de données chiffrées. Si elle réussit, la réponse inclut la clé de données en texte brut. Si aucune des clés d'encapsulation spécifiées par le porte-clés ou le fournisseur de clés principales ne peut déchiffrer une clé de données chiffrée, l'appel de déchiffrement échoue.

  5. La méthode de déchiffrement utilise la clé de données en texte brut pour déchiffrer les données, la rejette et renvoie les données en texte brut.