Fonctionnement du kit AWS Encryption SDK - AWS Encryption SDK
Comment AWS Encryption SDK crypte les donnéesComment AWS Encryption SDK décrypte un message crypté

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Fonctionnement du kit AWS Encryption SDK

Les flux de travail présentés dans cette section expliquent comment AWS Encryption SDK crypte les données et déchiffre les messages chiffrés. Ces flux de travail décrivent le processus de base utilisant les fonctionnalités par défaut. Pour plus de détails sur la définition et l'utilisation de composants personnalisés, consultez le GitHub référentiel de chaque implémentation de langage prise en charge.

Il AWS Encryption SDK utilise le cryptage des enveloppes pour protéger vos données. Chaque message est crypté sous une clé de données unique. La clé de données est ensuite chiffrée par les clés d'encapsulation que vous spécifiez. Pour déchiffrer le message chiffré, il AWS Encryption SDK utilise les clés d'encapsulation que vous spécifiez pour déchiffrer au moins une clé de données cryptée. Il peut ensuite déchiffrer le texte chiffré et renvoyer un message en texte clair.

Vous avez besoin d'aide avec la terminologie que nous utilisons dans le AWS Encryption SDK ? Consultez Concepts du kit AWS Encryption SDK.

Comment AWS Encryption SDK crypte les données

AWS Encryption SDKFournit des méthodes qui chiffrent les chaînes, les tableaux d'octets et les flux d'octets. Pour des exemples de code, consultez la rubrique Exemples de chaque Langages de programmation section.

  1. Créez un trousseau de clés (ou un fournisseur de clés principales) qui spécifie les clés d'encapsulation qui protègent vos données.

  2. Transmettez le trousseau de clés et les données en texte brut à une méthode de cryptage. Nous vous recommandons de transmettre un contexte de chiffrement facultatif et non secret.

  3. La méthode de cryptage demande au trousseau de clés le matériel de cryptage. Le trousseau de clés renvoie des clés de chiffrement de données uniques pour le message : une clé de données en texte brut et une copie de cette clé de données chiffrée par chacune des clés d'encapsulation spécifiées.

  4. La méthode de chiffrement utilise la clé de données en texte brut pour chiffrer les données, puis la supprime. Si vous fournissez un contexte de chiffrement (une AWS Encryption SDK bonne pratique), la méthode de chiffrement lie cryptographiquement le contexte de chiffrement aux données chiffrées.

  5. La méthode de chiffrement renvoie un message chiffré contenant les données chiffrées, les clés de données chiffrées et d'autres métadonnées, y compris le contexte de chiffrement, si vous en avez utilisé un.

Comment AWS Encryption SDK décrypte un message crypté

AWS Encryption SDKfournit des méthodes qui déchiffrent le message chiffré et renvoient du texte en clair. Pour des exemples de code, consultez la rubrique Exemples de chaque Langages de programmation section.

Le trousseau de clés (ou fournisseur de clé principale) qui déchiffre le message chiffré doit être compatible avec celui utilisé pour chiffrer le message. L'une de ses clés d'encapsulation doit être capable de déchiffrer une clé de données cryptée dans le message crypté. Pour plus d'informations sur la compatibilité avec les trousseaux de clés et les fournisseurs de clés principales, consultezCompatibilité du porte-clés.

  1. Créez un trousseau de clés ou un fournisseur de clés principales avec des clés d'encapsulation capables de déchiffrer vos données. Vous pouvez utiliser le même trousseau de clés que celui que vous avez fourni pour la méthode de chiffrement ou un autre.

  2. Passez le message crypté et le trousseau de clés à une méthode de déchiffrement.

  3. La méthode de déchiffrement demande au trousseau de clés ou au fournisseur de clés principales de déchiffrer l'une des clés de données chiffrées du message chiffré. Il transmet des informations à partir du message chiffré, y compris les clés de données chiffrées.

  4. Le porte-clés utilise ses clés d'encapsulage pour déchiffrer l'une des clés de données chiffrées. En cas de succès, la réponse inclut la clé de données en texte brut. Si aucune des clés d'encapsulation spécifiées par le trousseau de clés ou le fournisseur de clés principales ne peut déchiffrer une clé de données chiffrée, l'appel de déchiffrement échoue.

  5. La méthode de déchiffrement utilise la clé de données en texte brut pour déchiffrer les données, supprime la clé de données en texte clair et renvoie les données en texte clair.