Como os tokens de autenticação funcionam - AWS SDK de criptografia de banco de dados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como os tokens de autenticação funcionam

Nossa biblioteca de criptografia do lado do cliente foi renomeada para SDK de criptografia de AWS banco de dados. Este guia do desenvolvedor ainda fornece informações sobre o DynamoDB Encryption Client.

Quando você criptografa e assina um campo em seu banco de dados, o SDK de criptografia AWS de banco de dados solicita materiais de criptografia ao chaveiro. O token de autenticação retorna uma chave de dados de texto simples e uma cópia da chave que é criptografada por cada uma das chaves de empacotamento no token de autenticação e uma chave MAC associada à chave de dados. O SDK AWS de criptografia de banco de dados usa a chave de texto simples para criptografar os dados e, em seguida, remove a chave de dados de texto simples da memória assim que possível. Em seguida, o SDK de criptografia de banco de dados da AWS adiciona uma descrição do material que inclui as chaves de dados criptografadas e outras informações, como instruções de criptografia e assinatura. O SDK AWS de criptografia de banco de dados usa a chave MAC para calcular códigos de autenticação de mensagens baseados em hash (HMACs) por meio da canonização da descrição do material e de todos os campos marcados com ou. ENCRYPT_AND_SIGN SIGN_ONLY

Ao descriptografar dados, você pode usar o mesmo token de autenticação usado para criptografar os dados ou um diferente. Para descriptografar os dados, um token de autenticação de decodificação deve ter acesso a pelo menos uma chave de empacotamento no token de autenticação de criptografia.

O SDK AWS de criptografia de banco de dados passa as chaves de dados criptografadas da descrição do material para o chaveiro e solicita que o chaveiro decifre qualquer uma delas. O token de autenticação usa suas chaves de empacotamento para descriptografar uma das chaves de dados criptografadas e retorna uma chave de dados de texto simples. O SDK de criptografia de banco de dados da AWS usa a chave de dados em texto simples para descriptografar os dados. Se nenhuma das chaves de empacotamento no token de autenticação puder descriptografar qualquer uma das chaves de dados criptografadas, a operação de descriptografia falhará.

Você pode usar um único token de autenticação ou também combinar tokens de autenticação do mesmo ou outro tipo em um multitoken de autenticação. Quando você criptografa dados, o multitoken de autenticação retorna uma cópia da chave de dados criptografada por todas as chaves de empacotamento em todos os tokens de autenticação que compreendem o multitoken de autenticação e uma chave MAC associada à chave de dados. É possível descriptografar os dados usando um token de autenticação com qualquer uma das chaves de empacotamento do multitoken de autenticação.