Versionen der AWS Encryption SDK - AWS Encryption SDK

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Versionen der AWS Encryption SDK

Die AWS Encryption SDK Sprachimplementierungen verwenden semantische Versionierung, damit Sie den Umfang der Änderungen in den einzelnen Versionen leichter erkennen können. Eine Änderung der Hauptversionsnummer, z. B. 1. x. x bis 2. x. x steht für eine grundlegende Änderung, die wahrscheinlich Codeänderungen und eine geplante Bereitstellung erfordert. Wichtige Änderungen in einer neuen Version wirken sich möglicherweise nicht auf jeden Anwendungsfall aus. Lesen Sie in den Versionshinweisen nach, ob Sie davon betroffen sind. Eine Änderung in einer Nebenversion, wie z. B. x. x auf x .2. x ist immer abwärtskompatibel, kann aber veraltete Elemente enthalten.

Verwenden Sie nach Möglichkeit die neueste Version von AWS Encryption SDK in der von Ihnen gewählten Programmiersprache. Die Wartungs- und Supportrichtlinien für jede Version unterscheiden sich je nach Implementierung der Programmiersprache. Einzelheiten zu den unterstützten Versionen in Ihrer bevorzugten Programmiersprache finden Sie in der SUPPORT_POLICY.rst Datei im zugehörigen GitHubRepository.

Wenn Upgrades neue Funktionen beinhalten, die eine spezielle Konfiguration erfordern, um Verschlüsselungs- oder Entschlüsselungsfehler zu vermeiden, stellen wir eine Zwischenversion und detaillierte Anweisungen zu deren Verwendung zur Verfügung. Zum Beispiel Versionen 1.7. x und 1.8. x sind als Übergangsversionen konzipiert, mit denen Sie ein Upgrade von Versionen vor 1.7 durchführen können. x auf Versionen 2.0. x und später. Details hierzu finden Sie unter Migrieren Sie IhreAWS Encryption SDK.

Anmerkung

Das X in einer Versionsnummer steht für einen beliebigen Patch der Haupt- und Nebenversion. Zum Beispiel Version 1.7. x steht für alle Versionen, die mit 1.7 beginnen, einschließlich 1.7.1 und 1.7.9.

Neue Sicherheitsfunktionen wurden ursprünglich in den AWS CLI Verschlüsselungsversionen 1.7 veröffentlicht. x und 2.0. x. AWS CLIVerschlüsselungsversion 1.8 jedoch. x ersetzt Version 1.7. x und AWS Verschlüsselung CLI 2.1. x ersetzt 2.0. x. Einzelheiten finden Sie in der entsprechenden Sicherheitsempfehlung im aws-encryption-sdk-cliRepository unter GitHub.

Die folgenden Tabellen bieten einen Überblick über die wichtigsten Unterschiede zwischen den unterstützten Versionen von AWS Encryption SDK für die einzelnen Programmiersprachen.

C

Eine ausführliche Beschreibung aller Änderungen finden Sie in der Datei CHANGELOG.md im aws-encryption-sdk-cRepository unter GitHub.

Hauptversion Details SDKLebenszyklusphase der Hauptversion
1.x 1,0 Erstversion. End-of-Support Phase
1,7 Updates für AWS Encryption SDK , die Benutzern früherer Versionen helfen, auf Versionen 2.0 zu aktualisieren. x und später. Weitere Informationen finden Sie in Version 1.7. x.
2.x 2.0 Aktualisierungen der AWS Encryption SDK. Weitere Informationen finden Sie unter Version 2.0. x. Allgemeine Verfügbarkeit (GA)
2.2 Verbesserungen am Prozess der Nachrichtenentschlüsselung.
2.3 Fügt Unterstützung für Schlüssel AWS KMS mit mehreren Regionen hinzu.

C#/. NET

Eine ausführliche Beschreibung aller Änderungen finden Sie in der Datei CHANGELOG.md im aws-encryption-sdk-netRepository unter GitHub.

Hauptversion Details SDKLebenszyklusphase der Hauptversion
3.x 3.0 Erstversion.

Allgemeine Verfügbarkeit (GA)

Version 3.x des AWS Encryption SDK für. NETwird am 13. Mai 2024 in den Wartungsmodus wechseln.

4.x 4,0 Integriert die Unterstützung für den AWS KMS hierarchischen Schlüsselbund, den erforderlichen Verschlüsselungskontext und asymmetrische CMM Schlüsselbunde. RSA AWS KMS Allgemeine Verfügbarkeit (GA)

Befehlszeilenschnittstelle (CLI)

Eine ausführliche Beschreibung aller Änderungen finden Sie unter Versionen desAWSVerschlüsselung CLI und in der Datei CHANGELOG.rst im aws-encryption-sdk-cliRepository. GitHub

Hauptversion Details SDKLebenszyklusphase der Hauptversion
1.x 1,0 Erstversion. End-of-Support Phase
1,7 Updates für AWS Encryption SDK , die Benutzern früherer Versionen helfen, auf Versionen 2.0 zu aktualisieren. x und später. Weitere Informationen finden Sie in Version 1.7. x.
2.x 2.0 Aktualisierungen der AWS Encryption SDK. Weitere Informationen finden Sie unter Version 2.0. x. End-of-Support Phase
2.1

Entfernt den --discovery Parameter und ersetzt ihn durch das discovery Attribut des --wrapping-keys Parameters.

Version 2.1.0 der AWS Verschlüsselung CLI entspricht Version 2.0 in anderen Programmiersprachen.

2.2 Verbesserungen am Prozess der Nachrichtenentschlüsselung.
3.x 3.0 Fügt Unterstützung für Schlüssel AWS KMS mit mehreren Regionen hinzu. End-of-Support Phase
4.x 4,0 Die AWS Verschlüsselung unterstützt Python 2 oder Python 3.4 nicht CLI mehr. Ab Hauptversion 4. x der AWS VerschlüsselungCLI, nur Python 3.5 oder höher wird unterstützt. Allgemeine Verfügbarkeit (GA)
4.1 Die AWS Verschlüsselung unterstützt Python 3.5 nicht CLI mehr. Ab Version 4.1. x der AWS VerschlüsselungCLI, nur Python 3.6 oder höher wird unterstützt.
4.2 Die AWS Verschlüsselung unterstützt Python 3.6 nicht CLI mehr. Ab Version 4.2. x der AWS VerschlüsselungCLI, nur Python 3.7 oder höher wird unterstützt.

Java

Eine ausführliche Beschreibung aller Änderungen finden Sie in der Datei CHANGELOG.rst im aws-encryption-sdk-javaRepository unter. GitHub

Hauptversion Details SDKLebenszyklusphase der Hauptversion
1.x 1,0 Erstversion. End-of-Support Phase
1.3 Integriert die Unterstützung für den Manager für kryptografische Materialien und das Zwischenspeichern von Datenschlüsseln. Auf die deterministische IV-Generation umgestellt.
1.6.1

Verwirft und AwsCrypto.encryptString() und ersetzt sie durch AwsCrypto.decryptString() und. AwsCrypto.encryptData() AwsCrypto.decryptData()

1,7 Updates für, AWS Encryption SDK die Benutzern früherer Versionen beim Upgrade auf Version 2.0 helfen. x und später. Weitere Informationen finden Sie in Version 1.7. x.
2.x 2.0 Aktualisierungen der AWS Encryption SDK. Weitere Informationen finden Sie unter Version 2.0. x.

Allgemeine Verfügbarkeit (GA)

Version 2.x von AWS-Verschlüsselungs-SDK for Java wird 2024 in den Wartungsmodus wechseln.

2.2 Verbesserungen am Prozess der Nachrichtenentschlüsselung.
2.3 Fügt Unterstützung für Schlüssel AWS KMS mit mehreren Regionen hinzu.
2.4 Fügt Unterstützung für AWS SDK for Java 2.x hinzu.
3.x 3.0

Integriert die AWS-Verschlüsselungs-SDK for Java in die Material Providers Library (MPL).

Integriert die Unterstützung für symmetrische und asymmetrische RSA AWS KMS Schlüsselringe, Schlüsselringe, AWS KMS hierarchische AWS KMS ECDH Schlüsselringe, Raw-Schlüsselringe, Raw-Schlüsselringe, AES Raw-Schlüsselringe, RSA Mehrfachschlüsselringe und den erforderlichen ECDH Verschlüsselungskontext. CMM

Allgemeine Verfügbarkeit (GA)

JavaScript

Eine ausführliche Beschreibung aller Änderungen finden Sie in der Datei CHANGELOG.md im aws-encryption-sdk-javascriptRepository unter GitHub.

Hauptversion Details SDKLebenszyklusphase der Hauptversion
1.x 1,0 Erstversion. End-of-Support Phase
1,7 Updates für AWS Encryption SDK , die Benutzern früherer Versionen helfen, auf Versionen 2.0 zu aktualisieren. x und später. Weitere Informationen finden Sie in Version 1.7. x.
2.x 2.0 Aktualisierungen der AWS Encryption SDK. Weitere Informationen finden Sie unter Version 2.0. x. End-of-Support Phase
2.2 Verbesserungen des Entschlüsselungsprozesses für Nachrichten.
2.3 Fügt Unterstützung für Schlüssel AWS KMS mit mehreren Regionen hinzu.
3.x 3.0 Entfernt die CI-Abdeckung für Knoten 10. Führt ein Upgrade der Abhängigkeiten durch, sodass Knoten 8 und Knoten 10 nicht mehr unterstützt werden.

Wartung

Der Support für Version 3.x von AWS-Verschlüsselungs-SDK for JavaScript endet am 17. Januar 2024.

4.x 4,0 Erfordert Version 3 der AWS-Verschlüsselungs-SDK for JavaScript s, kms-client um den AWS KMS Schlüsselbund verwenden zu können. Allgemeine Verfügbarkeit (GA)

Python

Eine ausführliche Beschreibung aller Änderungen finden Sie in der Datei CHANGELOG.rst im aws-encryption-sdk-pythonRepository unter. GitHub

Hauptversion Details SDKLebenszyklusphase der Hauptversion
1.x 1,0 Erstversion. End-of-Support Phase
1.3 Integriert die Unterstützung für den Manager für kryptografische Materialien und das Zwischenspeichern von Datenschlüsseln. Auf die deterministische IV-Generation umgestellt.
1,7 Updates für AWS Encryption SDK , die Benutzern früherer Versionen beim Upgrade auf Version 2.0 helfen. x und später. Weitere Informationen finden Sie in Version 1.7. x.
2.x 2.0 Aktualisierungen der AWS Encryption SDK. Weitere Informationen finden Sie unter Version 2.0. x. End-of-Support Phase
2.2 Verbesserungen des Entschlüsselungsprozesses für Nachrichten.
2.3 Fügt Unterstützung für Schlüssel AWS KMS mit mehreren Regionen hinzu.
3.x 3.0 Das unterstützt Python 2 oder Python 3.4 nicht AWS-Verschlüsselungs-SDK for Python mehr. Ab Hauptversion 3. x von der AWS-Verschlüsselungs-SDK for Python, nur Python 3.5 oder höher wird unterstützt. Allgemeine Verfügbarkeit (GA)
4.x 4,0

Integriert die AWS-Verschlüsselungs-SDK for Python in die Material Providers Library (MPL).

Allgemeine Verfügbarkeit (GA)

Einzelheiten zur Version

In der folgenden Liste werden die Hauptunterschiede zwischen den unterstützten Versionen von beschrieben AWS Encryption SDK.

Versionen vor 1.7. x

Anmerkung

Alle 1. x. x Versionen von AWS Encryption SDK befinden sich in der end-of-supportPhase. Aktualisieren Sie so schnell wie möglich auf die neueste verfügbare Version von AWS Encryption SDK für Ihre Programmiersprache. Um ein Upgrade von einer AWS Encryption SDK Version vor 1.7 durchzuführen. x, Sie müssen zuerst ein Upgrade auf 1.7 durchführen. x. Details hierzu finden Sie unter Migrieren Sie IhreAWS Encryption SDK.

Versionen von AWS Encryption SDK früher als 1.7. x bieten wichtige Sicherheitsfunktionen, darunter die Verschlüsselung mit dem Advanced Encryption Standard-Algorithmus im Galois/Counter-Modus (AES-GCM), eine HMAC basierte extract-and-expand Schlüsselableitungsfunktion (HKDF), Signierung und einen 256-Bit-Verschlüsselungsschlüssel. Diese Versionen unterstützen jedoch nicht die von uns empfohlenen Best Practices, einschließlich Key Commitment.

Version 1.7. x

Anmerkung

Alle 1. x. x Versionen von AWS Encryption SDK befinden sich in der end-of-supportPhase.

Version 1.7. x wurde entwickelt, um Benutzern früherer Versionen von das Upgrade AWS Encryption SDK auf Version 2.0 zu erleichtern. x und später. Wenn Sie mit dem noch nicht vertraut sind AWS Encryption SDK, können Sie diese Version überspringen und mit der neuesten verfügbaren Version in Ihrer Programmiersprache beginnen.

Version 1.7. x ist vollständig abwärtskompatibel; es führt keine grundlegenden Änderungen ein und ändert auch nicht das Verhalten von. AWS Encryption SDK Es ist auch vorwärtskompatibel; es ermöglicht Ihnen, Ihren Code so zu aktualisieren, dass er mit Version 2.0 kompatibel ist. x. Es enthält neue Funktionen, aktiviert sie jedoch nicht vollständig. Und es erfordert Konfigurationswerte, die verhindern, dass Sie sofort alle neuen Funktionen übernehmen, bis Sie bereit sind.

Version 1.7. x beinhaltet die folgenden Änderungen:

AWS KMS Aktualisierungen des Master Key Providers (erforderlich)

Version 1.7. x führt neue Konstruktoren für AWS-Verschlüsselungs-SDK for Java und ein AWS-Verschlüsselungs-SDK for Python , die explizit AWS KMS Master-Key-Anbieter entweder im strikten Modus oder im Discovery-Modus erstellen. Diese Version fügt ähnliche Änderungen an der AWS Encryption SDK Befehlszeilenschnittstelle () hinzu. CLI Details hierzu finden Sie unter Aktualisierung der AWS KMS Hauptschlüsselanbieter.

  • Im strikten Modus benötigen AWS KMS Hauptschlüsselanbieter eine Liste von Wrapping-Schlüsseln, und sie verschlüsseln und entschlüsseln nur mit den von Ihnen angegebenen Wrapping-Schlüsseln. Dies ist eine AWS Encryption SDK bewährte Methode, mit der sichergestellt wird, dass Sie die Umschließungsschlüssel verwenden, die Sie verwenden möchten.

  • Im Discovery-Modus AWS KMS akzeptieren Master-Key-Anbieter keine Wrap-Schlüssel. Sie können sie nicht zum Verschlüsseln verwenden. Beim Entschlüsseln können sie einen beliebigen Umschließungsschlüssel verwenden, um einen verschlüsselten Datenschlüssel zu entschlüsseln. Sie können jedoch die für die Entschlüsselung verwendeten Wrapping-Schlüssel auf diese beschränken. AWS-Konten Die Kontofilterung ist optional, aber es ist eine bewährte Methode, die wir empfehlen.

Die Konstruktoren, die frühere Versionen von AWS KMS Master-Key-Providern erstellen, sind in Version 1.7 veraltet. x und wurde in Version 2.0 entfernt. x. Diese Konstruktoren instanziieren Masterschlüsselanbieter, die mit den von Ihnen angegebenen Wrapping-Schlüsseln verschlüsseln. Sie entschlüsseln jedoch verschlüsselte Datenschlüssel mithilfe des Umschließungsschlüssels, mit dem sie verschlüsselt wurden, ohne Rücksicht auf die angegebenen Umschließungsschlüssel. Benutzer können unbeabsichtigt Nachrichten mit Umschließungsschlüsseln entschlüsseln, die sie nicht verwenden wollen, auch AWS KMS keys in anderen AWS-Konten Regionen.

An den Konstruktoren für AWS KMS Hauptschlüssel wurden keine Änderungen vorgenommen. Beim Verschlüsseln und Entschlüsseln verwenden die AWS KMS Hauptschlüssel nur die, AWS KMS key die Sie angeben.

AWS KMS Aktualisierungen des Schlüsselbundes (optional)

Version 1.7. x fügt den AWS-Verschlüsselungs-SDK for JavaScript Implementierungen AWS-Verschlüsselungs-SDK for C und einen neuen Filter hinzu, der die AWS KMS Erkennung von Schlüsselanhängern auf bestimmte Bereiche beschränkt. AWS-Konten Dieser neue Kontofilter ist optional, aber er ist eine bewährte Methode, die wir empfehlen. Details hierzu finden Sie unter Wird aktualisiertAWS KMSSchlüsselringe.

Es wurden keine Änderungen an den Konstruktoren für AWS KMS Schlüsselanhänger vorgenommen. AWS KMS Standardschlüsselringe verhalten sich im strikten Modus wie Hauptschlüsselanbieter. AWS KMS Discovery-Schlüsselanhänger werden explizit im Discovery-Modus erstellt.

Übergabe einer Schlüssel-ID an Decrypt AWS KMS

Ab Version 1.7. x, wenn verschlüsselte Datenschlüssel entschlüsselt werden, gibt der AWS KMS key in seinen Aufrufen der AWS KMS Decrypt-Operation AWS Encryption SDK immer an. Der AWS Encryption SDK ruft den Schlüssel-ID-Wert für AWS KMS key aus den Metadaten in jedem verschlüsselten Datenschlüssel ab. Für diese Funktion sind keine Codeänderungen erforderlich.

Die Angabe der Schlüssel-ID von AWS KMS key ist nicht erforderlich, um Chiffretext zu entschlüsseln, der mit einem symmetrischen KMS Verschlüsselungsschlüssel verschlüsselt wurde, aber es hat sich bewährt.AWS KMS Wie bei der Angabe von Wrapping Keys in Ihrem Schlüsselanbieter wird bei dieser Vorgehensweise sichergestellt, dass AWS KMS nur mit dem Wrapping-Schlüssel entschlüsselt wird, den Sie verwenden möchten.

Entschlüsseln Sie Chiffretext mit Schlüsselbindung

Version 1.7. x kann Chiffretext entschlüsseln, der mit oder ohne Schlüsselbindung verschlüsselt wurde. Es kann jedoch keinen Chiffretext mit Schlüsselbindung verschlüsseln. Mit dieser Eigenschaft können Sie Anwendungen vollständig bereitstellen, die mit Key Commitment verschlüsselten Chiffretext entschlüsseln können, bevor sie jemals auf einen solchen Chiffretext stoßen. Da diese Version Nachrichten entschlüsselt, die ohne Schlüsselbindung verschlüsselt wurden, müssen Sie keinen Chiffretext erneut verschlüsseln.

Um dieses Verhalten zu implementieren, Version 1.7. x enthält eine neue Konfigurationseinstellung für Commitment-Richtlinien, die festlegt, ob sie mit Key Commitment ver- oder entschlüsseln AWS Encryption SDK können. In Version 1.7. x, der einzig gültige Wert für die Commitment-RichtlinieForbidEncryptAllowDecrypt, wird bei allen Verschlüsselungs- und Entschlüsselungsvorgängen verwendet. Dieser Wert verhindert, dass der AWS Encryption SDK mit einer der neuen Algorithmus-Suiten verschlüsselt wird, die Key Commitment beinhalten. Er ermöglicht die AWS Encryption SDK Entschlüsselung von Chiffretext mit und ohne Schlüsselbindung.

In Version 1.7 gibt es zwar nur einen gültigen Wert für die Verpflichtungspolitik. x, wir verlangen, dass Sie diesen Wert explizit festlegen können, wenn Sie den in dieser Version APIs eingeführten neuen Wert verwenden. Wenn Sie den Wert explizit festlegen, wird verhindert, dass sich Ihre Verpflichtungsrichtlinie automatisch ändert, require-encrypt-require-decrypt wenn Sie auf Version 2.1 aktualisieren. x. Stattdessen können Sie Ihre Verpflichtungspolitik schrittweise migrieren.

Algorithmus-Suiten mit hohem Engagement

Version 1.7. x enthält zwei neue Algorithmus-Suiten, die Key Commitment unterstützen. Eine beinhaltet das Signieren, die andere nicht. Wie bereits früher unterstützte Algorithmus-Suiten beinhalten diese beiden neuen Algorithmus-Suiten eine Verschlüsselung mit AES -GCM, einen 256-Bit-Verschlüsselungsschlüssel und eine HMAC basierte extract-and-expand Schlüsselableitungsfunktion (). HKDF

Die standardmäßige Algorithmussuite, die für die Verschlüsselung verwendet wird, ändert sich jedoch nicht. Diese Algorithmus-Suiten wurden zu Version 1.7 hinzugefügt. x, um Ihre Anwendung für die Verwendung in den Versionen 2.0 vorzubereiten. x und später.

CMMÄnderungen an der Implementierung

Version 1.7. x führt Änderungen an der Standardoberfläche des Cryptographic Materials Manager (CMM) ein, um Key Commitment zu unterstützen. Diese Änderung wirkt sich nur auf Sie aus, wenn Sie eine benutzerdefinierte CMM Version geschrieben haben. Einzelheiten finden Sie in der API Dokumentation oder im GitHub Repository für Ihre Programmiersprache.

Version 2.0. x

Ausführung 2.0. x unterstützt die neuen Sicherheitsfunktionen AWS Encryption SDK, die in der angeboten werden, einschließlich spezifizierter Wrapping Keys und Key Commitment. Zur Unterstützung dieser Funktionen, Version 2.0. x enthält wichtige Änderungen für frühere Versionen von AWS Encryption SDK. Sie können sich auf diese Änderungen vorbereiten, indem Sie Version 1.7 bereitstellen. x. Ausführung 2.0. x enthält alle neuen Funktionen, die in Version 1.7 eingeführt wurden. x mit den folgenden Ergänzungen und Änderungen.

Anmerkung

Version 2. x.. x von AWS-Verschlüsselungs-SDK for Python AWS-Verschlüsselungs-SDK for JavaScript, und die AWS Verschlüsselung CLI befinden sich in der end-of-supportPhase.

Informationen zur Unterstützung und Wartung dieser AWS Encryption SDK Version in Ihrer bevorzugten Programmiersprache finden Sie in der SUPPORT_POLICY.rst Datei im entsprechenden GitHubRepository.

AWS KMS Hauptschlüsselanbieter

Die ursprünglichen Konstruktoren des AWS KMS Hauptschlüsselanbieters, die in Version 1.7 veraltet waren. x wurden in Version 2.0 entfernt. x. Sie müssen AWS KMS Master-Key-Anbieter explizit im strikten Modus oder im Discovery-Modus erstellen.

Verschlüsseln und entschlüsseln Sie Chiffretext mit Schlüsselzusage

Version 2.0. x kann Chiffretext mit oder ohne Schlüsselbindung ver- und entschlüsseln. Sein Verhalten wird durch die Richtlinieneinstellung „Commitment“ bestimmt. Standardmäßig verschlüsselt es immer mit Key Commitment und entschlüsselt nur Chiffretext, der mit Key Commitment verschlüsselt wurde. Sofern Sie die Verpflichtungsrichtlinie nicht ändern, AWS Encryption SDK werden Chiffretexte, die mit einer früheren Version von, einschließlich Version 1.7, verschlüsselt wurden, nicht entschlüsselt. AWS Encryption SDKx.

Wichtig

Standardmäßig Version 2.0. x entschlüsselt keinen Chiffretext, der ohne Schlüsselbindung verschlüsselt wurde. Wenn Ihre Anwendung möglicherweise auf einen Chiffretext stößt, der ohne Schlüsselzuweisung verschlüsselt wurde, legen Sie einen Wert für die Commitment-Richtlinie mit fest. AllowDecrypt

In Version 2.0. x, die Richtlinieneinstellung für Verpflichtungen hat drei gültige Werte:

  • ForbidEncryptAllowDecrypt— Sie AWS Encryption SDK können nicht mit dem Schlüssel verschlüsseln. Es kann Chiffretexte entschlüsseln, die mit oder ohne Schlüsselbindung verschlüsselt wurden.

  • RequireEncryptAllowDecrypt— Sie AWS Encryption SDK müssen mit Schlüsselbindung verschlüsseln. Es kann Chiffretexte entschlüsseln, die mit oder ohne Schlüsselbindung verschlüsselt wurden.

  • RequireEncryptRequireDecrypt(Standard) — Sie AWS Encryption SDK müssen mit Schlüsselzuweisung verschlüsseln. Es entschlüsselt nur Chiffretexte mit Schlüsselbindung.

Wenn Sie von einer früheren Version von auf Version 2.0 migrieren. AWS Encryption SDK x, setzen Sie die Commitment-Richtlinie auf einen Wert, der sicherstellt, dass Sie alle vorhandenen Chiffretexte entschlüsseln können, auf die Ihre Anwendung stoßen könnte. Sie werden diese Einstellung wahrscheinlich im Laufe der Zeit anpassen.

Version 2.2. x

Integriert die Unterstützung für digitale Signaturen und die Beschränkung verschlüsselter Datenschlüssel.

Anmerkung

Version 2. x.. x von AWS-Verschlüsselungs-SDK for Python AWS-Verschlüsselungs-SDK for JavaScript, und die AWS Verschlüsselung CLI befinden sich in der end-of-supportPhase.

Informationen zur Unterstützung und Wartung dieser AWS Encryption SDK Version in Ihrer bevorzugten Programmiersprache finden Sie in der SUPPORT_POLICY.rst Datei im entsprechenden GitHubRepository.

Digitale Signaturen

Um den Umgang mit digitalen Signaturen beim Entschlüsseln zu verbessern, AWS Encryption SDK umfasst das die folgenden Funktionen:

  • Nicht-Streaming-Modus — gibt Klartext erst zurück, nachdem alle Eingaben verarbeitet wurden, einschließlich der Überprüfung der digitalen Signatur, falls vorhanden. Diese Funktion verhindert, dass Sie vor der Überprüfung der digitalen Signatur Klartext verwenden. Verwenden Sie diese Funktion immer dann, wenn Sie mit digitalen Signaturen verschlüsselte Daten entschlüsseln (die standardmäßige Algorithmussuite). Da die AWS Verschlüsselung beispielsweise Daten CLI immer im Streaming-Modus verarbeitet, sollten Sie den - -buffer Parameter verwenden, wenn Sie Chiffretext mit digitalen Signaturen entschlüsseln.

  • Entschlüsselungsmodus „Nur unsigniert“ — diese Funktion entschlüsselt nur unsignierten Chiffretext. Wenn bei der Entschlüsselung eine digitale Signatur im Chiffretext gefunden wird, schlägt der Vorgang fehl. Verwenden Sie diese Funktion, um zu verhindern, dass unbeabsichtigt Klartext aus signierten Nachrichten verarbeitet wird, bevor die Signatur überprüft wird.

Beschränkung verschlüsselter Datenschlüssel

Sie können die Anzahl der verschlüsselten Datenschlüssel in einer verschlüsselten Nachricht einschränken. Mit dieser Funktion können Sie beim Verschlüsseln einen falsch konfigurierten Hauptschlüsselanbieter oder einen falsch konfigurierten Schlüsselbund oder beim Entschlüsseln einen bösartigen Chiffretext erkennen.

Sie sollten verschlüsselte Datenschlüssel einschränken, wenn Sie Nachrichten aus einer nicht vertrauenswürdigen Quelle entschlüsseln. Dadurch werden unnötige, teure und potenziell erschöpfende Zugriffe auf Ihre Schlüsselinfrastruktur verhindert.

Version 2.3. x

Fügt Unterstützung für Schlüssel AWS KMS mit mehreren Regionen hinzu. Details hierzu finden Sie unter Verwenden Sie mehrere Regionen AWS KMS keys.

Anmerkung

Die AWS Verschlüsselung CLI unterstützt ab Version 3.0 Schlüssel für mehrere Regionen. x.

Ausführung 2. x.. x von AWS-Verschlüsselungs-SDK for Python AWS-Verschlüsselungs-SDK for JavaScript, und die AWS Verschlüsselung CLI befinden sich in der end-of-supportPhase.

Informationen zur Unterstützung und Wartung dieser AWS Encryption SDK Version in Ihrer bevorzugten Programmiersprache finden Sie in der SUPPORT_POLICY.rst Datei im entsprechenden GitHubRepository.