Decrypt - AWS Key Management Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Decrypt

Una chiamata per AWS KMS decrittografare un valore di testo cifrato accetta un testo cifrato con valori crittografati e un contesto di crittografia. AWS KMS autentica la chiamata utilizzando richieste firmate in versione 4 di AWS firma ed estrae l'HBKID per la chiave di wrapping dal testo cifrato. L'HBKID viene utilizzato per ottenere l'EKTnecessario per decrittare il testo cifrato, l'ID chiave e la policy per l'ID chiave. La richiesta è autorizzata in base alla policy di chiave, alle concessioni che possono essere presenti e a eventuali policy IAM associate che fanno riferimento all'ID chiave. La funzione Decrypt è analoga alla funzione di crittografia.

Di seguito è riportata la sintassi di una richiesta Decrypt.

{
	"CiphertextBlob": "blob",
	"EncryptionContext": { "string" : "string" }
	"GrantTokens": ["string"]
}

Di seguito sono riportati i parametri della richiesta.

CiphertextBlob

Testo cifrato che include i metadati.

EncryptionContext

(Facoltativo) Il contesto di crittografia. Se è stato specificato nella funzione Encrypt, deve essere specificato anche qui o l'operazione di decrittografia non avrà esito positivo. Per ulteriori informazioni, consultare Contesto della crittografia nella Guida per gli sviluppatori di AWS Key Management Service .

GrantTokens

(Facoltativo) Un elenco dei token di concessione che rappresentano le concessioni che forniscono autorizzazioni per eseguire la decrittografia.

Il testo cifrato e l'EKT vengono inviati, insieme al contesto di crittografia, su una sessione autenticata a un HSM per la decrittografia.

L'HSM completa le seguenti operazioni:

  1. Decritta l'EKT per ottenere HBK = Decrypt(DKi, EKT).

  2. Estrae il nonce N dalla struttura del testo cifrato.

  3. Rigenera una chiave di crittografia derivata AES-GCM a 256 bit K da HBK e N.

  4. Decritta il testo cifrato per ottenere plaintext = Decrypt(K, context, ciphertext).

L'ID della chiave e il testo in chiaro risultanti vengono restituiti all' AWS KMS host tramite la sessione sicura e quindi nuovamente all'applicazione del cliente chiamante tramite una connessione TLS.

Di seguito è riportata la sintassi della risposta.

{
    "KeyId": "string",
    "Plaintext": blob
}

Se l'applicazione chiamante vuole garantire che l'autenticità del testo in chiaro, deve verificare che l'ID chiave restituito sia quello previsto.