Encrypt - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Encrypt

L'une des fonctions de base de AWS KMS est de chiffrer un objet sous une clé KMS. De par sa conception, AWS KMS fournit des opérations cryptographiques à faible latence sur HSMs. Par conséquent, il y a une limite de 4 Ko sur la quantité de texte brut qui peut être chiffré lors d'un appel direct à la fonction de chiffrement. Ils AWS Encryption SDK peuvent être utilisés pour chiffrer des messages plus volumineux. AWS KMS, après avoir authentifié la commande, acquiert l'EKT actif actuel relatif à la clé KMS. Il transmet l'EKT ainsi que le texte brut et le contexte de chiffrement à toute clé HSM disponible dans la région. Ils sont envoyés via une session authentifiée entre l' AWS KMS hôte et un HSM du domaine.

La clé HSM exécute les opérations suivantes :

  1. Déchiffre l'EKT pour obtenir la clé HBK = Déchiffrer (DKi, EKT).

  2. Génère un nombre aléatoire à usage unique N.

  3. Dérive une clé de chiffrement K dérivée de l'AES-GCM 256 bits à partir d'une clé HBK et N.

  4. Chiffre le texte brut ciphertext = Chiffrer (K, contexte, texte brut).

La valeur du texte chiffré vous est renvoyée, et ni les données en texte brut ni le texte chiffré ne sont conservés dans l'infrastructure. AWS Sans possession du texte chiffré, du contexte de chiffrement et de l'autorisation d'utiliser la clé KMS, le texte brut sous-jacent ne peut pas être renvoyé.