Fonctionnement des porte-clés

Lorsque vous chiffrez des données, le matériel de cryptage est AWS Encryption SDK demandé au trousseau de clés. Le porte-clés renvoie une clé de données en texte brut et une copie de la clé de données chiffrée par chacune des clés d'encapsulage du trousseau de clés. Il AWS Encryption SDK utilise la clé en texte brut pour chiffrer les données, puis détruit la clé de données en texte brut. Ensuite, il AWS Encryption SDK renvoie un message crypté qui inclut les clés de données cryptées et les données cryptées.

Lorsque vous déchiffrez des données, vous pouvez utiliser le même trousseau de clés que celui que vous avez utilisé pour chiffrer les données, ou un autre. Pour déchiffrer les données, un jeu de clés de déchiffrement doit inclure (ou avoir accès à) au moins une clé d'encapsulation dans le jeu de clés de chiffrement.

Il AWS Encryption SDK transmet les clés de données cryptées du message crypté au trousseau de clés et demande au trousseau de déchiffrer l'une d'entre elles. Le porte-clés utilise ses clés d'encapsulage pour déchiffrer l'une des clés de données chiffrées et renvoie une clé de données en texte brut. Le kit AWS Encryption SDK utilise la clé de données en texte brut pour déchiffrer les données. Si aucune des clés d'encapsulage du porte-clés ne peut déchiffrer les clés de données chiffrées, l'opération de déchiffrement échoue.

Vous pouvez utiliser un seul porte-clés ou également combiner des porte-clés du même type ou de types différents dans un porte-clés multiple. Lorsque vous chiffrez les données, les porte-clés multiple renvoie une copie de la clé de données chiffrée par toutes les clés d'encapsulage dans toutes les porte-clés qui composent le porte-clés multiple. Vous pouvez déchiffrer les données à l'aide d'un trousseau de clés avec n'importe laquelle des clés d'encapsulage du trousseau de clés multiples.