Était-ce le AWS Encryption SDK ? - AWS Encryption SDK

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Était-ce le AWS Encryption SDK ?

Le kit AWS Encryption SDK est une bibliothèque de chiffrement client conçue pour faciliter pour tous le chiffrement et le déchiffrement de données à l'aide des normes du secteur et des bonnes pratiques. Il vous permet de vous concentrer sur les fonctionnalités intrinsèques de votre application, plutôt que sur la meilleure façon de chiffrer et de déchiffrer vos données. Le kit AWS Encryption SDK est fourni gratuitement dans le cadre de la licence Apache 2.0.

Le kit AWS Encryption SDK répond aux questions suivantes :

  • Quel algorithme de chiffrement dois-je utiliser ?

  • Comment, ou dans lequel mode, devrais-je utiliser cet algorithme ?

  • Comment puis-je générer la clé de chiffrement ?

  • Comment puis-je protéger la clé de chiffrement, et où dois-je la stocker ?

  • Comment puis-je rendre mes données chiffrées portables ?

  • Comment puis-je m'assurer que le destinataire prévu peut lire mes données chiffrées ?

  • Comment puis-je m'assurer que mes données chiffrées ne sont pas modifiées entre leur écriture et leur lecture ?

Avec l’AWS Encryption SDK, vous définissez unFournisseur de clés principales(Java ou Python) ou unPorte-clés(C ou JavaScript) qui détermine les clés principales que vous utilisez pour protéger vos données. Ensuite, vous chiffrez et déchiffrez vos données à l'aide de méthodes simples fournies par le kit AWS Encryption SDK. Le kit AWS Encryption SDK se charge du reste.

Sans le kit AWS Encryption SDK, il est possible que vous consacriez plus d'efforts au développement d'une solution de chiffrement qu'aux fonctionnalités intrinsèques de votre application. Le kit AWS Encryption SDK répond à ces questions en fournissant les éléments suivants.

Une implémentation par défaut qui respecte les bonnes pratiques de chiffrement

Par défaut, le kit AWS Encryption SDK génère une clé de données unique pour chaque objet de données qu'il chiffre. Cette opération respecte la bonne pratique de chiffrement qui consiste à utiliser des clés de données uniques pour chaque opération de chiffrement.

Le kit AWS Encryption SDK chiffre vos données à l'aide d'un algorithme de clé symétrique sécurisé et authentifié. Pour plus d'informations, consultez Suites d'algorithmes prises en charge dans le kit AWS Encryption SDK.

Un cadre pour protéger les clés de données avec des clés principales

Le kit AWS Encryption SDK protège les clés de données qui chiffrent vos données en les chiffrant sous une ou plusieurs clés principales. En fournissant un cadre pour chiffrer les clés de données avec plusieurs clés principales, le kit AWS Encryption SDK permet de rendre vos données chiffrées portables.

Par exemple, vous pouvez chiffrer des données sous plusieursAWS KMS keys, chacun dans unRégion AWS. Vous pouvez ensuite copier les données chiffrées dans n'importe quelle région et utiliser la AWS KMS key de cette région pour les déchiffrer. Vous pouvez également chiffrer des données sous uneAWS KMS keydansAWS KMSet une clé principale dans un HSM sur site, ce qui vous permet de déchiffrer ultérieurement les données, même si l'une des options n'est pas disponible.

Un message formaté qui stocke les clés de données chiffrées avec les données chiffrées

Le kit AWS Encryption SDK stocke les données chiffrées et la clé de données chiffrée dans un message chiffré qui utilise un format de données défini. Cela signifie que vous n'avez pas besoin d'effectuer le suivi ou de protéger les clés de données utilisées pour chiffrer vos données, car le kit AWS Encryption SDK s'en charge.

Certaines implémentations linguistiques duAWS Encryption SDKnécessite unAWSSDK, mais leAWS Encryption SDKne nécessite pas deCompte AWSet cela ne dépend d'aucunAWSservice. Vous avez besoin d'unCompte AWSuniquement si vous choisissez d'utiliserAWS KMS keyspour protéger vos données.

Développé dans des référentiels open source

LeAWS Encryption SDKest développé dans des référentiels open source sur GitHub. Vous pouvez utiliser ces référentiels pour afficher le code, lire et soumettre des problèmes, et trouver des informations spécifiques à votre implémentation linguistique.

Compatibilité avec les bibliothèques et services de chiffrement

LeAWS Encryption SDKest pris en charge dans plusieursLangages de programmation. Toutes les implémentations de langage sont interopérables. Vous pouvez chiffrer avec une implémentation de langage et déchiffrer avec une autre. L'interopérabilité peut être soumise à des contraintes de langage. Si c'est le cas, ces contraintes sont décrites dans la rubrique relative à l'implémentation du langage. En outre, lors du chiffrement et du déchiffrement, vous devez utiliser des porte-clés compatibles, ou des clés principales et des fournisseurs de clés principales. Pour plus d'informations, consultez Compatibilité du porte-clés.

Cependant, le kit AWS Encryption SDK ne peut pas interopérer avec d'autres bibliothèques. Comme chaque bibliothèque renvoie des données chiffrées dans un format différent, vous ne pouvez pas chiffrer avec une bibliothèque et déchiffrer avec une autre.

Client de chiffrement DynamoDB et chiffrement côté client Amazon S3

LeAWS Encryption SDKImpossible de déchiffrer les données chiffrées par leClient de chiffrement DynamoDBouChiffrement côté client Amazon S3. Et ces bibliothèques ne peuvent pas déchiffrer lemessage chiffréleAWS Encryption SDKrenvoie. 

AWS Key Management Service (AWS KMS)

LeAWS Encryption SDKpeut utiliserAWS KMS keysetclés de donnéespour protéger vos données. Par exemple, vous pouvez configurer leAWS Encryption SDKpour chiffrer vos données sous une ou plusieursAWS KMS keysdans vosCompte AWS. Toutefois, vous devez utiliser le AWS Encryption SDK pour déchiffrer ces données.

Le kit AWS Encryption SDK ne peut pas déchiffrer le texte chiffre que les opérations AWS KMS Encrypt ou ReEncrypt envoient. De même, l'opération AWS KMS Decrypt ne peut pas déchiffrer le message chiffré renvoyé par AWS Encryption SDK.

LeAWS Encryption SDKprend en charge uniquementchiffrement symétrique KMS. Vous ne pouvez pas utiliser declé KMS asymétriquepour le chiffrement ou la connexion dans leAWS Encryption SDK. Le AWS Encryption SDK génère ses propres clés de signature ECDSA pour les suites d'algorithmes qui signent des messages.

Pour savoir quelle bibliothèque ou service utiliser, veuillez consulterComment choisir un outil ou un service de chiffrementdansAWSServices et outils cryptographiques.

Support et maintenance

LeAWS Encryption SDKutilise le mêmepolitique de maintenanceque leAWSUtilisation du SDK et des outils, y compris ses phases de gestion des versions et de cycle de vie. En tant quebonne pratique, nous vous recommandons d'utiliser la dernière version disponible duAWS Encryption SDKpour votre langage de programmation, et mettez à niveau dès que de nouvelles versions sont publiées. Lorsqu'une version nécessite des modifications importantes, telles que la mise à niveau depuisAWS Encryption SDKversions antérieures à 1.7.h/24, j/7vers les versions 2.0.h/24, j/7et plus tard, nous fournissonsinstructions détailléespour vous aider.

L'implémentation de chaque langage de programmation duAWS Encryption SDKest développé dans un code open source distinct GitHub repository. Le cycle de vie et la phase de prise en charge de chaque version sont susceptibles de varier d'un référentiel à l'autre. Par exemple, une version donnée duAWS Encryption SDKpeut être en phase de disponibilité générale (prise en charge complète) dans un langage de programmation, mais la phase de fin de prise en charge dans un langage de programmation différent. Nous vous recommandons d'utiliser une version entièrement prise en charge lorsque cela est possible et d'éviter les versions qui ne sont plus prises en charge.

Pour trouver la phase du cycle de vie deAWS Encryption SDKpour votre langage de programmation, consultezSUPPORT_POLICY.rstfichier dans chaqueAWS Encryption SDKrepository.

Pour de plus amples informations, veuillez consulterVersions duAWS Encryption SDKetStratégie de maintenance des kits SDK et des outils AWSdans leAWSGuide de référence des kits SDK et des outils.

En savoir plus

Si vous souhaitez en savoir plus sur le kit AWS Encryption SDK et le chiffrement côté client, veuillez consulter ces sources.

Pour de plus amples informations sur l'implémentation du kit AWS Encryption SDK dans différents langages de programmation.

Envoyer un commentaire

Nous apprécions vos commentaires. Si vous avez une question ou un commentaire, ou un problème à signaler, veuillez utiliser les ressources suivantes.

  • Si vous découvrez une vulnérabilité de sécurité potentielle dans le kit AWS Encryption SDK, veuillez avertir la sécurité AWS. Ne pas créer de public GitHub problème.

  • Pour communiquer des commentaires sur leAWS Encryption SDK, déposez un problème dans le GitHub référentiel pour le langage de programmation que vous utilisez.

  • Pour fournir des commentaires sur cette documentation, utilisez le lien Commentaires sur cette page. Vous pouvez également soumettre un problème ou contribuer à aws-encryption-sdk-docs, le référentiel open source de cette documentation sur GitHub.