Présentation du kit Kit SDK de chiffrement AWS - Kit SDK de chiffrement AWS

Si nous fournissons une traduction de la version anglaise du guide, la version anglaise du guide aura préséance en cas de contradiction. La traduction sera une traduction automatique.

Présentation du kit Kit SDK de chiffrement AWS

Le kit Kit SDK de chiffrement AWS est une bibliothèque de chiffrement client conçue pour faciliter pour tous le chiffrement et le déchiffrement de données à l'aide des normes du secteur et des bonnes pratiques. Il vous permet de vous concentrer sur les fonctionnalités intrinsèques de votre application, plutôt que sur la meilleure façon de chiffrer et de déchiffrer vos données. Le kit Kit SDK de chiffrement AWS est fourni gratuitement dans le cadre de la licence Apache 2.0.

Le kit Kit SDK de chiffrement AWS répond aux questions suivantes :

  • Quel algorithme de chiffrement dois-je utiliser ?

  • Comment, ou dans lequel mode, devrais-je utiliser cet algorithme ?

  • Comment puis-je générer la clé de chiffrement ?

  • Comment puis-je protéger la clé de chiffrement, et où dois-je la stocker ?

  • Comment puis-je rendre mes données chiffrées portables ?

  • Comment puis-je m'assurer que le destinataire prévu peut lire mes données chiffrées ?

  • Comment puis-je m'assurer que mes données chiffrées ne sont pas modifiées entre leur écriture et leur lecture ?

Avec le Kit SDK de chiffrement AWS, vous définissez un fournisseur de clés principales (Java ou Python) ou un porte-clés (C ou JavaScript) qui détermine quel clés principales vous utilisez pour protéger vos données. Ensuite, vous chiffrez et déchiffrez vos données à l'aide de méthodes simples fournies par le kit Kit SDK de chiffrement AWS. Le kit Kit SDK de chiffrement AWS se charge du reste.

Sans le kit Kit SDK de chiffrement AWS, il est possible que vous consacriez plus d'efforts au développement d'une solution de chiffrement qu'aux fonctionnalités intrinsèques de votre application. Le kit Kit SDK de chiffrement AWS répond à ces questions en fournissant les éléments suivants.

Une implémentation par défaut qui respecte les bonnes pratiques de chiffrement

Par défaut, le kit Kit SDK de chiffrement AWS génère une clé de données unique pour chaque objet de données qu'il chiffre. Cette opération respecte la bonne pratique de chiffrement qui consiste à utiliser des clés de données uniques pour chaque opération de chiffrement.

Le kit Kit SDK de chiffrement AWS chiffre vos données à l'aide d'un algorithme de clé symétrique sécurisé et authentifié. Pour plus d'informations, consultez Suites d'algorithmes prises en charge dans le kit Kit SDK de chiffrement AWS,

Un cadre pour protéger les clés de données avec des clés principales

Le kit Kit SDK de chiffrement AWS protège les clés de données qui chiffrent vos données en les chiffrant sous une ou plusieurs clés principales. En fournissant un cadre pour chiffrer les clés de données avec plusieurs clé principale, le kit Kit SDK de chiffrement AWS permet de rendre vos données chiffrées portables.

Par exemple, vous pouvez chiffrer des données sous plusieurs AWS Key Management Service (AWS KMS) clés principales client (CMKs), chacune étant dans une région AWS différente. Vous pouvez ensuite copier les données chiffrées dans n'importe quelle région et utiliser la CMK de cette région pour les déchiffrer. Vous pouvez également chiffrer des données sous une CMK dans AWS KMS et une clé principale dans un HSM sur site, ce qui vous permet de déchiffrer ultérieurement les données, même si l'une des options n'est pas disponible.

Un message formaté qui stocke les clés de données chiffrées avec les données chiffrées

Le kit Kit SDK de chiffrement AWS stocke les données chiffrées et la clé de données chiffrée dans un message chiffré qui utilise un format de données défini. Cela signifie que vous n'avez pas besoin d'effectuer le suivi ou de protéger les clés de données utilisées pour chiffrer vos données, car le kit Kit SDK de chiffrement AWS s'en charge.

Certaines implémentations de langage du kit Kit SDK de chiffrement AWS nécessitent un kit AWS SDK, mais le kit Kit SDK de chiffrement AWS ne nécessite pas de compte AWS et ne dépend d'aucun service AWS. Vous n'avez besoin d'un compte AWS que si vous choisissez d'utiliser AWS Key Management Service (AWS KMS) clés principales client pour protéger vos données.

Compatibilité avec les bibliothèques et services de chiffrement

Le kit Kit SDK de chiffrement AWS est pris en charge dans plusieurs langages de programmation. Toutes les implémentations de langage sont interopérables. Vous pouvez chiffrer avec une implémentation de langage et déchiffrer avec une autre. L'interopérabilité peut être soumise à des contraintes de langage. Si c'est le cas, ces contraintes sont décrites dans la rubrique relative à l'implémentation du langage. En outre, lors du chiffrement et du déchiffrement, vous devez utiliser des porte-clés compatibles, ou des clés principales et des fournisseurs de clés principales. Pour plus d'informations, consultez Compatibilité du porte-clés.

Cependant, le kit Kit SDK de chiffrement AWS ne peut pas interopérer avec d'autres bibliothèques. Comme chaque bibliothèque renvoie des données chiffrées dans un format différent, vous ne pouvez pas chiffrer avec une bibliothèque et déchiffrer avec une autre.

Chiffrement côté client Client de chiffrement DynamoDB et Amazon S3

Le kit Kit SDK de chiffrement AWS ne peut pas de déchiffrer les données chiffrées par le Client de chiffrement DynamoDB ou le chiffrement côté client Amazon S3. Et ces bibliothèques ne peuvent pas déchiffrer le message chiffré renvoyé par Kit SDK de chiffrement AWS. 

AWS Key Management Service (AWS KMS)

Le Kit SDK de chiffrement AWS peut utiliser AWS KMS clés principales client (CMKs) et les clés de données pour protéger vos données. Par exemple, vous pouvez configurer le Kit SDK de chiffrement AWS pour chiffrer vos données sous un ou plusieurs CMKs de votre compte AWS. Toutefois, vous devez utiliser le Kit SDK de chiffrement AWS pour déchiffrer ces données.

Le kit Kit SDK de chiffrement AWS ne peut pas déchiffrer le texte chiffre que les opérations AWS KMS Encrypt ou ReEncrypt envoient. De même, l'opération AWS KMS Decrypt ne peut pas déchiffrer le message chiffré renvoyé par Kit SDK de chiffrement AWS.

Le kit Kit SDK de chiffrement AWS prend en charge uniquement les CMKs symétriques. Vous ne pouvez pas utiliser de CMK asymétrique pour le chiffrement ou la connexion dans le Kit SDK de chiffrement AWS. Le Kit SDK de chiffrement AWS génère ses propres clés de signature ECDSA pour les suites d'algorithmes qui signent des messages.

Pour savoir quelle bibliothèque ou service utiliser, veuillez consulter Comment choisir un outil ou un service de chiffrement dans Services et outils de chiffrement AWS.

En savoir plus

Si vous souhaitez en savoir plus sur le kit Kit SDK de chiffrement AWS et le chiffrement côté client, veuillez consulter ces sources.

Pour de plus amples informations sur l'implémentation du kit Kit SDK de chiffrement AWS dans différents langages de programmation.

Envoyer un commentaire

Nous apprécions vos commentaires. Si vous avez une question ou un commentaire, ou un problème à signaler, veuillez utiliser les ressources suivantes.

  • Si vous découvrez une vulnérabilité de sécurité potentielle dans le kit Kit SDK de chiffrement AWS, veuillez avertir la sécurité AWS. Ne créez pas de problème GitHub public.

  • Pour communiquer des commentaires sur le kit Kit SDK de chiffrement AWS, soumettez un problème dans le référentiel GitHub pour le langage de programmation que vous utilisez.

  • Pour fournir des commentaires sur cette documentation, utilisez le lien Commentaires sur cette page. Vous pouvez également soumettre un problème ou contribuer à aws-encryption-sdk-docs, le référentiel open source de cette documentation sur GitHub.