Decrypt - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Decrypt

Un appel AWS KMS à pour déchiffrer une valeur de texte chiffré accepte une valeur chiffrée (texte chiffré) et un contexte de chiffrement. AWS KMS authentifie l'appel à l'aide de requêtes signées version 4 de AWS signature et extrait le HBKID pour la clé d'encapsulation du texte chiffré. Le HBKID est utilisé pour obtenir l'EKT nécessaire pour déchiffrer le texte chiffré, l'ID de clé et la politique de l'ID de clé. La demande est autorisée en fonction de la politique de clé, des octrois qui peuvent être présents et des politiques IAM associées qui font référence à l'ID de clé. La fonction Decrypt est similaire à la fonction de chiffrement.

Voici la syntaxe de la demande Decrypt.

{
	"CiphertextBlob": "blob",
	"EncryptionContext": { "string" : "string" }
	"GrantTokens": ["string"]
}

Voici les paramètres de la demande.

CiphertextBlob

Texte chiffré incluant les métadonnées.

EncryptionContext

(Facultatif) Le contexte de chiffrement. Si cela a été précisé dans la fonction Encrypt, cela doit être précisé ici sinon l'opération de déchiffrement échouera. Consultez Contexte de chiffrement dans le AWS Key Management Service guide du développeur pour en savoir plus.

GrantTokens

(Facultatif) Une liste de jetons d'octrois qui représentent les octrois qui fournissent des autorisations permettant d'effectuer le déchiffrement.

Le texte chiffré et l'EKT sont envoyés, avec le contexte de chiffrement, via une session authentifiée à une clé HSM pour déchiffrement.

La clé HSM exécute les opérations suivantes :

  1. Déchiffre l'EKT pour obtenir la clé HBK = Déchiffrer (DKi, EKT).

  2. Extrait le nombre aléatoire à usage unique N à partir de la structure du texte chiffré.

  3. Régénère une clé de chiffrement K dérivée de l'AES-GCM 256 bits à partir d'une clé HBK et N.

  4. Déchiffre le texte chiffré pour obtenir le texte brut = Déchiffrer (K, contexte, texte chiffré).

L'identifiant de clé et le texte en clair qui en résultent sont renvoyés à l' AWS KMS hôte via la session sécurisée, puis renvoyés à l'application client appelante via une connexion TLS.

Voici la syntaxe de la réponse.

{
    "KeyId": "string",
    "Plaintext": blob
}

Si l'application appelante veut s'assurer de l'authenticité du texte brut, elle doit vérifier que l'ID de clé retourné est celui attendu.