Tokens de autenticação AES Raw

O AWS Encryption SDK permite que você use uma chave simétrica AES fornecida como uma chave de encapsulamento que protege sua chave de dados. Você precisa gerar, armazenar e proteger o material de chaves, de preferência em um módulo de segurança de hardware (HSM) ou em um sistema de gerenciamento de chaves. Use um token de autenticação AES bruto quando precisar fornecer a chave de encapsulamento e criptografar as chaves de dados local ou offline.

O token de autenticação bruto do AES usa o algoritmo AES-GCM e uma chave de encapsulamento que você especifica como uma matriz de bytes para criptografar chaves de dados. É possível especificar somente uma chave de encapsulamento em cada token de autenticação bruto do AES, mas você pode incluir vários tokens de autenticação brutos do AES, sozinhos ou com outros tokens de autenticação, em um multitoken de autenticação.

O chaveiro AES bruto é equivalente e interopera com a JceMasterKeyclasse no AWS Encryption SDK for Java e com a RawMasterKeyclasse no AWS Encryption SDK for Python quando são usados com chaves de criptografia AES. Você pode criptografar dados com uma implementação e descriptografá-los com qualquer outra implementação usando a mesma chave de encapsulamento. Para obter detalhes, consulte Compatibilidade dos tokens de autenticação.

Nomes e namespaces de chaves

Para identificar a chave AES em um token de autenticação, o token de autenticação bruto do AES usa um namespace de chave e um nome de chave fornecidos por você. Esses valores não são secretos. Eles aparecem em texto simples no cabeçalho da mensagem criptografada que a operação de criptografia retorna. Recomendamos usar um namespace de chave em seu HSM ou sistema de gerenciamento de chaves e um nome de chave que identifique a chave AES nesse sistema.

nota

O namespace da chave e o nome da chave são equivalentes aos campos ID do provedor (ou provedor) e ID da chave no JceMasterKey e no RawMasterKey.

O AWS Encryption SDK for C e o AWS Encryption SDK para .NET reservam o valor do namespace de chave aws-kms para as chaves KMS. Não use esse valor de namespace em um token de autenticação AES bruto ou um token de autenticação RSA bruto com essas bibliotecas.

Se você cria tokens de autenticação diferentes para criptografar e descriptografar determinada mensagem, o namespace e os valores do nome são cruciais. Se o namespace e o nome da chave no token de autenticação de decodificação não corresponderem exatamente e com distinção entre maiúsculas e minúsculas ao namespace e ao nome da chave no token de autenticação de criptografia, o token de autenticação de decodificação não será usado, mesmo que os bytes do material da chave sejam idênticos.

Por exemplo, você pode definir um token de autenticação bruto do AES com namespace HSM_01 e nome de chave AES_256_012. Em seguida, você usa esse token de autenticação para criptografar alguns dados. Para descriptografar esses dados, construa um token de autenticação bruto do AES bruto com o mesmo namespace de chave, nome de chave e material de chave.

O exemplo a seguir mostra como criar um token de autenticação bruto do AES. A variável AESWrappingKey representa o material principal que você fornece.

C

Para instanciar um chaveiro AES bruto noAWS Encryption SDK for C, use. aws_cryptosdk_raw_aes_keyring_new() Para obter um exemplo completo, consulte raw_aes_keyring.c.


struct aws_allocator *alloc = aws_default_allocator();

AWS_STATIC_STRING_FROM_LITERAL(wrapping_key_namespace, "HSM_01");
AWS_STATIC_STRING_FROM_LITERAL(wrapping_key_name, "AES_256_012");

struct aws_cryptosdk_keyring *raw_aes_keyring = aws_cryptosdk_raw_aes_keyring_new(
        alloc, wrapping_key_namespace, wrapping_key_name, aes_wrapping_key, wrapping_key_len);

C# / .NET

Para criar um token de autenticação bruto do AES no AWS Encryption SDK para .NET, use o método materialProviders.CreateRawAesKeyring(). Para ver um exemplo completo, consulte raWAES .cs. KeyringExample

O exemplo a seguir usa a versão 4.x do AWS Encryption SDK para .NET.


// Instantiate the AWS Encryption SDK and material providers
var esdk =  new ESDK(new AwsEncryptionSdkConfig());
var mpl = new MaterialProviders(new MaterialProvidersConfig());

var keyNamespace = "HSM_01";
var keyName = "AES_256_012";

// This example uses the key generator in Bouncy Castle to generate the key material.
// In production, use key material from a secure source.
var aesWrappingKey = new MemoryStream(GeneratorUtilities.GetKeyGenerator("AES256").GenerateKey());

// Create the keyring that determines how your data keys are protected.
var createKeyringInput = new CreateRawAesKeyringInput
{
    KeyNamespace = keyNamespace,
    KeyName = keyName,
    WrappingKey = aesWrappingKey,
    WrappingAlg = AesWrappingAlg.ALG_AES256_GCM_IV12_TAG16
};

var keyring = materialProviders.CreateRawAesKeyring(createKeyringInput);

JavaScript Browser

O AWS Encryption SDK para JavaScript no navegador obtém suas primitivas criptográficas da WebCryptoAPI. Antes de construir o chaveiro, você deve usá-lo RawAesKeyringWebCrypto.importCryptoKey() para importar o material bruto da chave para o WebCrypto backend. Isso garante que o chaveiro esteja completo, mesmo que todas as chamadas sejam WebCrypto assíncronas.

Em seguida, para instanciar um token de autenticação AES bruto, use o método RawAesKeyringWebCrypto(). Você deve especificar o algoritmo de encapsulamento AES (“pacote de encapsulamento”) com base no tamanho do seu material de chave. Para obter um exemplo completo, consulte aes_simple.ts (Browser). JavaScript


const keyNamespace = 'HSM_01'
const keyName = 'AES_256_012'

const wrappingSuite =
  RawAesWrappingSuiteIdentifier.AES256_GCM_IV12_TAG16_NO_PADDING

/* Import the plaintext AES key into the WebCrypto backend. */
const aesWrappingKey = await RawAesKeyringWebCrypto.importCryptoKey(
  rawAesKey,
  wrappingSuite
)

const rawAesKeyring = new RawAesKeyringWebCrypto({
  keyName,
  keyNamespace,
  wrappingSuite,
  aesWrappingKey
})

JavaScript Node.js

Para instanciar um token de autenticação bruto do AES no AWS Encryption SDK para JavaScript para Node.js, crie uma instância da classe RawAesKeyringNode. Você deve especificar o algoritmo de encapsulamento AES (“pacote de encapsulamento”) com base no tamanho do seu material de chave. Para obter um exemplo completo, consulte aes_simple.ts (Node.js). JavaScript


const keyName = 'AES_256_012'
const keyNamespace = 'HSM_01'

const wrappingSuite =
  RawAesWrappingSuiteIdentifier.AES256_GCM_IV12_TAG16_NO_PADDING

const rawAesKeyring = new RawAesKeyringNode({
  keyName,
  keyNamespace,
  aesWrappingKey,
  wrappingSuite,
})

Java

Para instanciar um chaveiro AES bruto noAWS Encryption SDK for Java, use. matProv.CreateRawAesKeyring()


final CreateRawAesKeyringInput keyringInput = CreateRawAesKeyringInput.builder()
        .keyName("AES_256_012")
        .keyNamespace("HSM_01")
        .wrappingKey(AESWrappingKey)
        .wrappingAlg(AesWrappingAlg.ALG_AES256_GCM_IV12_TAG16)
        .build();
final MaterialProviders matProv = MaterialProviders.builder()
        .MaterialProvidersConfig(MaterialProvidersConfig.builder().build())
        .build();
IKeyring rawAesKeyring = matProv.CreateRawAesKeyring(keyringInput);

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Tokens de autenticação hierárquicos do AWS KMS

Tokens de autenticação brutos do RSA