Encrypt - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Encrypt

Uma função básica do AWS KMS é criptografar um objeto com uma chave KMS. Por design, AWS KMS fornece operações criptográficas de baixa latência ativadas. HSMs Portanto, há um limite de 4 KB na quantidade de texto simples que pode ser criptografado em uma chamada direta para a função de criptografia. Eles AWS Encryption SDK podem ser usados para criptografar mensagens maiores. AWS KMS, depois de autenticar o comando, adquire o EKT ativo atual pertencente à chave KMS. Ele passa o EKT, junto com o texto simples e o contexto de criptografia, para qualquer HSM disponível na região. Eles são enviados por uma sessão autenticada entre o AWS KMS host e um HSM no domínio.

O HSM executa o seguinte:

  1. Descriptografa o EKT para obter o HBK = Descriptografia(DKi, EKT).

  2. Gera um nonce N aleatório.

  3. Deriva uma chave de criptografia derivada do AES-GCM de 256 bits K de HBK e N.

  4. Criptografa o texto simples texto cifrado = Criptografia(K, contexto, texto simples).

O valor do texto cifrado é retornado para você, e nem os dados em texto simples nem o texto cifrado são retidos em nenhum lugar da infraestrutura. AWS Sem a posse do texto cifrado e do contexto de criptografia e a autorização para usar a chave KMS, o texto simples subjacente não pode ser retornado.