Cómo funcionan los conjuntos de claves

Al cifrar datos, AWS Encryption SDK solicita al conjunto de claves los materiales de cifrado. Este devuelve una clave en texto no cifrado y una copia de dicha clave cifrada por cada una de las claves de encapsulamiento del conjunto de claves. AWS Encryption SDK Utiliza la clave de texto sin formato para cifrar los datos y, a continuación, destruye la clave de datos de texto sin formato. A continuación, AWS Encryption SDK devuelve un mensaje cifrado que incluye las claves de datos cifrados y los datos cifrados.

Al descifrar datos, puede utilizar el mismo conjunto de claves que utilizó para cifrar los datos o uno diferente. Para descifrar los datos, un conjunto de claves de descifrado debe incluir (o tener acceso a) al menos una clave de encapsulamiento en el conjunto de claves de cifrado.

AWS Encryption SDK Pasa las claves de datos cifrados del mensaje cifrado al conjunto de claves y pide al conjunto de claves que descifre cualquiera de ellas. Este utiliza sus claves de encapsulamiento para descifrar una de las claves de datos cifradas y devuelve una clave de datos en texto no cifrado. El AWS Encryption SDK usa la clave en texto no cifrado para descifrar los datos. Si ninguna de las claves de encapsulamiento del conjunto de claves puede descifrar ninguna de las claves de datos cifradas, se producirá un error en la operación de descifrado.

Puede utilizar un único conjunto de claves o además combinar conjuntos de claves del mismo tipo o de un tipo distinto en un conjunto de claves múltiple. Al cifrar los datos, el conjunto de claves múltiple devuelve una copia de la clave de datos cifrada por todas las claves de encapsulamiento en todos los conjuntos de claves que componen el conjunto de claves múltiple. Puede descifrar los datos utilizando un conjunto de claves configurado con cualquiera de las claves de encapsulamiento del conjunto de claves múltiple.