Était-ce le AWS Encryption SDK ?

Le kit AWS Encryption SDK est une bibliothèque de chiffrement client conçue pour faciliter pour tous le chiffrement et le déchiffrement de données à l'aide des normes du secteur et des bonnes pratiques. Il vous permet de vous concentrer sur les fonctionnalités intrinsèques de votre application, plutôt que sur la meilleure façon de chiffrer et de déchiffrer vos données. Le kit AWS Encryption SDK est fourni gratuitement dans le cadre de la licence Apache 2.0.

Le kit AWS Encryption SDK répond aux questions suivantes :

• Quel algorithme de chiffrement dois-je utiliser ?

• Comment, ou dans lequel mode, devrais-je utiliser cet algorithme ?

• Comment puis-je générer la clé de chiffrement ?

• Comment puis-je protéger la clé de chiffrement, et où dois-je la stocker ?

• Comment puis-je rendre mes données chiffrées portables ?

• Comment puis-je m'assurer que le destinataire prévu peut lire mes données chiffrées ?

• Comment puis-je m'assurer que mes données chiffrées ne sont pas modifiées entre leur écriture et leur lecture ?

• Comment utiliser les clés de données quiAWS KMSrenvoie ?

Avec l’AWS Encryption SDK, vous définissez unFournisseur de clés principales(Java et Python) ou unPorte-clés(C, C#/.NET, et JavaScript) qui détermine les clés d'encapsulation que vous utilisez pour protéger vos données. Ensuite, vous chiffrez et déchiffrez vos données à l'aide de méthodes simples fournies par le kit AWS Encryption SDK. Le kit AWS Encryption SDK se charge du reste.

Sans le kit AWS Encryption SDK, il est possible que vous consacriez plus d'efforts au développement d'une solution de chiffrement qu'aux fonctionnalités intrinsèques de votre application. Le kit AWS Encryption SDK répond à ces questions en fournissant les éléments suivants.

Une implémentation par défaut qui respecte les bonnes pratiques de chiffrement

Par défaut, le kit AWS Encryption SDK génère une clé de données unique pour chaque objet de données qu'il chiffre. Cette opération respecte la bonne pratique de chiffrement qui consiste à utiliser des clés de données uniques pour chaque opération de chiffrement.

Le kit AWS Encryption SDK chiffre vos données à l'aide d'un algorithme de clé symétrique sécurisé et authentifié. Pour plus d'informations, consultez Suites d'algorithmes prises en charge dans le kit AWS Encryption SDK.

Un cadre pour protéger les clés de données avec des

LeAWS Encryption SDKprotège les clés de données qui chiffrent vos données en les chiffrant sous une ou plusieurs clés d'encapsulation. En fournissant un cadre pour chiffrer les clés de données avec plusieurs clés d'encapsulation, le kitAWS Encryption SDKaide à rendre vos données chiffrées portables.

Par exemple, chiffrez les données sous unAWS KMS keydansAWS KMSet une clé de votre HSM sur site. Vous pouvez utiliser l'une des clés d'encapsulation pour déchiffrer les données, au cas où une clé n'est pas disponible ou si l'appelant n'est pas autorisé à utiliser les deux clés.

Un message formaté qui stocke les clés de données chiffrées avec les données chiffrées

Le kit AWS Encryption SDK stocke les données chiffrées et la clé de données chiffrée dans un message chiffré qui utilise un format de données défini. Cela signifie que vous n'avez pas besoin d'effectuer le suivi ou de protéger les clés de données utilisées pour chiffrer vos données, car le kit AWS Encryption SDK s'en charge.

Certaines implémentations linguistiques duAWS Encryption SDKnécessite unAWSSDK, mais leAWS Encryption SDKne nécessite pas deCompte AWSet cela ne dépend d'aucunAWSservice. Vous avez besoin d'unCompte AWSuniquement si vous choisissez d'utiliserAWS KMS keyspour protéger vos données.

Développé dans des référentiels open source

LeAWS Encryption SDKest développé dans des référentiels open source sur GitHub. Vous pouvez utiliser ces référentiels pour afficher le code, lire et soumettre des problèmes, et trouver des informations spécifiques à votre implémentation linguistique.

• Kit SDK de chiffrement AWS pour C — aws-encryption-sdk-c

• AWS Encryption SDKpour .NET —aws-encryption-sdk-netdu répertoireaws-encryption-sdk-dafnyrepository.

• AWSCLI de chiffrement —aws-encryption-sdk-cli

• Kit SDK de chiffrement AWS pour Java — aws-encryption-sdk-java

• Kit SDK de chiffrement AWS pour JavaScript — aws-encryption-sdk-javascript

• Kit SDK de chiffrement AWS pour Python — aws-encryption-sdk-python

Compatibilité avec les bibliothèques et services de chiffrement

LeAWS Encryption SDKest pris en charge dans plusieursLangages de programmation. Toutes les implémentations de langage sont interopérables. Vous pouvez chiffrer avec une implémentation de langage et déchiffrer avec une autre. L'interopérabilité peut être soumise à des contraintes de langage. Si c'est le cas, ces contraintes sont décrites dans la rubrique relative à l'implémentation du langage. En outre, lors du chiffrement et du déchiffrement, vous devez utiliser des porte-clés compatibles, ou des clés principales et des fournisseurs de clés principales. Pour plus d'informations, consultez Compatibilité du porte-clés.

Cependant, le kit AWS Encryption SDK ne peut pas interopérer avec d'autres bibliothèques. Comme chaque bibliothèque renvoie des données chiffrées dans un format différent, vous ne pouvez pas chiffrer avec une bibliothèque et déchiffrer avec une autre.

Client de chiffrement DynamoDB et chiffrement côté client Amazon S3

LeAWS Encryption SDKimpossible de déchiffrer les données chiffrées par leClient de chiffrement DynamoDBouChiffrement côté client Amazon S3. Ces bibliothèques ne peuvent pas déchiffrer lemessage chiffréleAWS Encryption SDKrenvoie. 

AWS Key Management Service (AWS KMS)

LeAWS Encryption SDKpeut utiliserAWS KMS keysetclés de donnéespour protéger vos données, y compris les clés KMS multi-régions. Par exemple, vous pouvez configurer le kitAWS Encryption SDKpour chiffrer vos données sous une ou plusieursAWS KMS keysdans vosCompte AWS. Toutefois, vous devez utiliser le AWS Encryption SDK pour déchiffrer ces données.

LeAWS Encryption SDKne peut pas déchiffrer le texte chiffré que leAWS KMS EncryptouReEncryptretour des opérations. De même, l'opération AWS KMS Decrypt ne peut pas déchiffrer le message chiffré renvoyé par AWS Encryption SDK.

LeAWS Encryption SDKprend en charge uniquementclés KMS de chiffrement symétriques. Vous ne pouvez pas utiliser unclé KMS asymétriquepour le chiffrement ou la connexion dansAWS Encryption SDK. Le AWS Encryption SDK génère ses propres clés de signature ECDSA pour les suites d'algorithmes qui signent des messages.

Pour savoir quelle bibliothèque ou service utiliser, consultezComment choisir un outil ou un service de chiffrementdansAWSServices et outils cryptographiques.

Support et maintenance

LeAWS Encryption SDKutilise le mêmepolitique de maintenanceque leAWSUtilisation du SDK et des outils, y compris ses phases de gestion des versions et de cycle de vie. En tant quebonne pratique, nous vous recommandons d'utiliser la dernière version disponible duAWS Encryption SDKpour votre langage de programmation et mise à niveau au fur et à mesure de la sortie de nouvelles versions. Lorsqu'une version nécessite des modifications importantes, telles que la mise à niveau depuisAWS Encryption SDKversions antérieures à 1.7.h/24, j/7vers les versions 2.0.h/24, j/7et plus tard, nous fournissonsinstructions détailléespour vous aider.

Chaque implémentation du langage de programmation duAWS Encryption SDKest développé dans un open source distinct GitHub repository. Le cycle de vie et la phase de prise en charge de chaque version sont susceptibles de varier d'un référentiel à l'autre. Par exemple, une version donnée duAWS Encryption SDKpeut être en phase de disponibilité générale (prise en charge complète) dans un seul langage de programmation, mais le end-of-supportphase dans un langage de programmation différent. Nous vous recommandons d'utiliser une version entièrement prise en charge lorsque cela est possible et d'éviter les versions qui ne sont plus prises en charge.

Pour trouver la phase du cycle de vie deAWS Encryption SDKpour votre langage de programmation, consultezSUPPORT_POLICY.rstfichier dans chaqueAWS Encryption SDKrepository.

• Kit SDK de chiffrement AWS pour C—Support_Policy.RST

• AWS Encryption SDKpour .NET —Support_Policy.RST

• AWSCLI de chiffrement —Support_Policy.RST

• Kit SDK de chiffrement AWS pour Java—Support_Policy.RST

• Kit SDK de chiffrement AWS pour JavaScript—Support_Policy.RST

• Kit SDK de chiffrement AWS pour Python—Support_Policy.RST

Pour de plus amples informations, veuillez consulterVersions du AWS Encryption SDKetAWSStratégie de maintenance des kits SDK et des outilsdans leAWSGuide de référence des kits SDK et des outils.

En savoir plus

Si vous souhaitez en savoir plus sur le kit AWS Encryption SDK et le chiffrement côté client, veuillez consulter ces sources.

• Pour obtenir de l'aide concernant les termes et les concepts utilisés dans ce kit SDK, consultez Concepts du kit AWS Encryption SDK.

• Pour obtenir des directives sur les meilleures pratiques, voirBonnes pratiques pour AWS Encryption SDK.

• Pour plus d'informations sur le fonctionnement de ce kit SDK, consultez Fonctionnement du kit SDK.

• Pour obtenir des exemples qui illustre comment configurer les options dans leAWS Encryption SDK, voirConfiguration du AWS Encryption SDK.

• Pour obtenir des informations techniques détaillées, consultez le document Référence AWS Encryption SDK.

• Pour connaître les spécifications techniques duAWS Encryption SDK, consultezAWS Encryption SDKSpécificationdans GitHub.

• Pour obtenir des réponses à vos questions sur l'utilisation du kitAWS Encryption SDK, lisez et publiez sur leAWSForum de discussion sur les outils de chiffrement.

Pour de plus amples informations sur l'implémentation du kit AWS Encryption SDK dans différents langages de programmation.

• C : VoirKit SDK de chiffrement AWS pour C, leAWS Encryption SDK Documentation C, et leaws-encryption-sdk-crepository sur GitHub.

• C#/.NET : VoirAWS Encryption SDKpour .NETet l'aws-encryption-sdk-netdu répertoireaws-encryption-sdk-dafnyrepository sur GitHub.

• Interface de ligne de commande : VoirInterface de ligne de commande AWS Encryption SDK,Lire les documentspour laAWSL'interface de ligne de commande de chiffrement et leaws-encryption-sdk-clirepository sur GitHub.

• Java : VoirKit SDK de chiffrement AWS pour Java, leAWS Encryption SDK Javadoc, et leaws-encryption-sdk-javarepository sur GitHub.

  JavaScript : VoirKit SDK de chiffrement AWS pour JavaScriptet l'aws-encryption-sdk-javascriptrepository sur GitHub.

• Python : VoirKit SDK de chiffrement AWS pour Python, leAWS Encryption SDK Documentation Python, et leaws-encryption-sdk-pythonrepository sur GitHub.

Envoyer un commentaire

Nous apprécions vos commentaires. Si vous avez une question ou un commentaire, ou un problème à signaler, veuillez utiliser les ressources suivantes.

• Si vous découvrez une vulnérabilité de sécurité potentielle dans le kit AWS Encryption SDK, veuillez avertir la sécurité AWS. Ne pas créer de public GitHub problème.

• Pour émettre des commentaires sur leAWS Encryption SDK, déposez un problème dans le GitHub repository pour le langage de programmation que vous utilisez.

• Pour émettre des commentaires sur cette documentation, utilisez leCommentaireliens sur cette page. Vous pouvez également déposer un problème ou contribuer àaws-encryption-sdk-docs, le référentiel open source de cette documentation sur GitHub.