Decrypt - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Decrypt

Uma chamada para AWS KMS descriptografar um valor de texto cifrado aceita um valor criptografado de texto cifrado e um contexto de criptografia. AWS KMS autentica a chamada usando solicitações assinadas de AWS assinatura versão 4 e extrai o HBKID da chave de encapsulamento do texto cifrado. O HBKID é usado para obter o EKT necessário para descriptografar o texto cifrado, o ID da chave e a política para o ID da chave. A solicitação é autorizada com base na política de chaves, concessões que podem estar presentes e quaisquer políticas do IAM associadas que façam referência ao ID da chave. A função Decrypt é análoga à função de criptografia.

Veja a seguir a sintaxe de solicitação do Decrypt.

{
	"CiphertextBlob": "blob",
	"EncryptionContext": { "string" : "string" }
	"GrantTokens": ["string"]
}

Os parâmetros de solicitação são os seguintes.

CiphertextBlob

Texto cifrado incluindo metadados.

EncryptionContext

(Opcional) O contexto de criptografia. Se isso foi especificado na função Encrypt, deve ser especificado aqui ou a operação de descriptografia falhará. Para obter mais informações, consulte Contexto de criptografia no Guia do desenvolvedor AWS Key Management Service .

GrantTokens

(Opcional) Uma lista de tokens de concessão que representam concessões que fornecem permissões para executar a descriptografia.

O texto cifrado e o EKT são enviados, juntamente com o contexto de criptografia, por uma sessão autenticada para um HSM para descriptografia.

O HSM executa o seguinte:

  1. Descriptografa o EKT para obter o HBK = Descriptografia(DKi, EKT) .

  2. Extrai o nonce N da estrutura do texto cifrado.

  3. Regenera uma chave de criptografia derivada do AES-GCM de 256 bits K de HBK e N.

  4. Descriptografa o texto cifrado para obter o texto simples = Descriptografia(K, contexto, texto cifrado) .

O ID da chave e o texto simples resultantes são devolvidos ao AWS KMS host por meio da sessão segura e, em seguida, de volta ao aplicativo do cliente que está ligando por meio de uma conexão TLS.

Veja, a seguir, a sintaxe de resposta.

{
    "KeyId": "string",
    "Plaintext": blob
}

Se a aplicação de chamada quiser garantir a autenticidade do texto simples, ela deve verificar se o ID de chave retornado é o esperado.