翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Raw AESキーリング
AWS Encryption SDK では、データキーを保護するラッピングキーとして指定したAES対称キーを使用できます。できればハードウェアセキュリティモジュール (HSM) またはキー管理システムで、キーマテリアルを生成、保存、保護する必要があります。ラッピングAESキーを指定し、データキーをローカルまたはオフラインで暗号化する必要がある場合は、Raw キーリングを使用します。
Raw AESキーリングは、 AES-GCM アルゴリズムと、バイト配列として指定したラッピングキーを使用してデータを暗号化します。Raw キーリングごとに指定できるラッピングAESキーは 1 つだけですが、複数の Raw AESキーリングを単独で、または他のキーリングとともにマルチキーリングに含めることができます。
Raw AESキーリングは、AES暗号化キーとともに使用される AWS Encryption SDK for Python 場合、 の JceMasterKey クラス AWS Encryption SDK for Java と の RawMasterKey クラスと同等で相互運用されます。ある実装でデータを暗号化し、それを他の実装で、同じラッピングキーを使用して復号することができます。詳細については、「キーリングの互換性」を参照してください。
キーの名前空間と名前
AES キーリング内のキーを識別するために、Raw AESキーリングは指定したキー名前空間とキー名を使用します。これらの値はシークレットではありません。これらは、暗号化オペレーションが返す 暗号化されたメッセージ のヘッダーにプレーンテキストで表示されます。キーの名前空間を HSMまたは キー管理システムとして使用し、そのシステム内のキーを識別するAESキー名を使用することをお勧めします。
キーの名前空間とキー名は、JceMasterKey
と RawMasterKey
のプロバイダー ID (またはプロバイダー) とキー ID フィールドに相当します。
AWS Encryption SDK の AWS Encryption SDK for C と 。NET はaws-kms
キーの名前空間値をKMSキー用に予約します。これらのライブラリでは、この名前空間値を Raw AESキーリングまたは Raw RSAキーリングで使用しないでください。
特定のメッセージを暗号化および復号化するために異なるキーリングを作成する場合、名前空間と名前の値は重要です。復号キーリング内のキー名前空間とキー名が、暗号化キーリング内のキー名前空間とキー名と大文字と小文字を区別して完全に一致しない場合、キーマテリアルのバイトが同じであっても、復号キーリングは使用されません。
例えば、AESキー名前空間 HSM_01
とキー名 を使用して Raw キーリングを定義できますAES_256_012
。その後、そのキーリングを使用して一部のデータを暗号化します。そのデータを復号するには、同じAESキー名前空間、キー名、およびキーマテリアルを使用して Raw キーリングを作成します。
次の例は、Raw AESキーリングを作成する方法を示しています。AESWrappingKey
変数は、指定したキーマテリアルを表します。
- C
-
で Raw AESキーリングをインスタンス化するには AWS Encryption SDK for C、 を使用しますaws_cryptosdk_raw_aes_keyring_new()
。完全な例については、「raw_aes_keyring.c」を参照してください。
struct aws_allocator *alloc = aws_default_allocator();
AWS_STATIC_STRING_FROM_LITERAL(wrapping_key_namespace, "HSM_01");
AWS_STATIC_STRING_FROM_LITERAL(wrapping_key_name, "AES_256_012");
struct aws_cryptosdk_keyring *raw_aes_keyring = aws_cryptosdk_raw_aes_keyring_new(
alloc, wrapping_key_namespace, wrapping_key_name, aes_wrapping_key
, wrapping_key_len);
- C# / .NET
-
AWS Encryption SDK の で Raw AESキーリングを作成するにはNET、 materialProviders.CreateRawAesKeyring()
メソッドを使用します。完全な例については、「RawAESKeyringExample.cs」を参照してください。
次の例では、 AWS Encryption SDK に のバージョン 4.x を使用しています。NET
// Instantiate the AWS Encryption SDK and material providers
var esdk = new ESDK(new AwsEncryptionSdkConfig());
var mpl = new MaterialProviders(new MaterialProvidersConfig());
var keyNamespace = "HSM_01";
var keyName = "AES_256_012";
// This example uses the key generator in Bouncy Castle to generate the key material.
// In production, use key material from a secure source.
var aesWrappingKey = new MemoryStream(GeneratorUtilities.GetKeyGenerator("AES256").GenerateKey());
// Create the keyring that determines how your data keys are protected.
var createKeyringInput = new CreateRawAesKeyringInput
{
KeyNamespace = keyNamespace,
KeyName = keyName,
WrappingKey = aesWrappingKey
,
WrappingAlg = AesWrappingAlg.ALG_AES256_GCM_IV12_TAG16
};
var keyring = materialProviders.CreateRawAesKeyring(createKeyringInput);
- JavaScript Browser
-
ブラウザ AWS Encryption SDK for JavaScript の は、 WebCrypto から暗号化プリミティブを取得しますAPI。キーリングを構築する前に、 RawAesKeyringWebCrypto.importCryptoKey()
を使用して raw キーマテリアルを WebCrypto バックエンドにインポートする必要があります。これにより、 へのすべての呼び出しが非同期であっても、キーリング WebCrypto は完了します。
次に、Raw AESキーリングをインスタンス化するには、 RawAesKeyringWebCrypto()
メソッドを使用します。キーマテリアルの長さに基づいてAESラップアルゴリズム (「ラップスイート」) を指定する必要があります。完全な例については、「aes_simple.ts (JavaScript ブラウザ)」を参照してください。
const keyNamespace = 'HSM_01'
const keyName = 'AES_256_012'
const wrappingSuite =
RawAesWrappingSuiteIdentifier.AES256_GCM_IV12_TAG16_NO_PADDING
/* Import the plaintext AES key into the WebCrypto backend. */
const aesWrappingKey = await RawAesKeyringWebCrypto.importCryptoKey(
rawAesKey,
wrappingSuite
)
const rawAesKeyring = new RawAesKeyringWebCrypto({
keyName,
keyNamespace,
wrappingSuite,
aesWrappingKey
})
- JavaScript Node.js
-
Node.js AWS Encryption SDK for JavaScript の で Raw AESキーリングをインスタンス化するには、 RawAesKeyringNode
クラスのインスタンスを作成します。キーマテリアルの長さに基づいてAES、ラップアルゴリズム (「ラップスイート」) を指定する必要があります。完全な例については、「aes_simple.ts (JavaScript Node.js)」を参照してください。
const keyName = 'AES_256_012'
const keyNamespace = 'HSM_01'
const wrappingSuite =
RawAesWrappingSuiteIdentifier.AES256_GCM_IV12_TAG16_NO_PADDING
const rawAesKeyring = new RawAesKeyringNode({
keyName,
keyNamespace,
aesWrappingKey
,
wrappingSuite,
})
- Java
-
で Raw AESキーリングをインスタンス化するには AWS Encryption SDK for Java、 を使用しますmatProv.CreateRawAesKeyring()
。
final CreateRawAesKeyringInput keyringInput = CreateRawAesKeyringInput.builder()
.keyName("AES_256_012
")
.keyNamespace("HSM_01
")
.wrappingKey(AESWrappingKey
)
.wrappingAlg(AesWrappingAlg.ALG_AES256_GCM_IV12_TAG16)
.build();
final MaterialProviders matProv = MaterialProviders.builder()
.MaterialProvidersConfig(MaterialProvidersConfig.builder().build())
.build();
IKeyring rawAesKeyring = matProv.CreateRawAesKeyring(keyringInput);