Referência da sintaxe e de parâmetros da CLI do AWS Encryption SDK

Obter ajuda

Para obter a sintaxe completa da CLI de criptografia da AWS, com descrições dos parâmetros, use --help ou -h.

aws-encryption-cli (--help | -h)

Obter a versão

Para obter o número da versão da instalação da sua CLI de criptografia da AWS, use --version. Não deixe de incluir a versão ao fazer perguntas, relatar problemas ou compartilhar dicas sobre como usar a CLI de criptografia da AWS.

aws-encryption-cli --version

Criptografar dados

O diagrama da sintaxe a seguir mostra os parâmetros usados por um comando encrypt.

aws-encryption-cli --encrypt
                   --input <input> [--recursive] [--decode]
                   --output <output> [--interactive] [--no-overwrite] [--suffix [<suffix>]] [--encode]
                   --wrapping-keys  [--wrapping-keys] ...
                       key=<keyID> [key=<keyID>] ...
                       [provider=<provider-name>] [region=<aws-region>] [profile=<aws-profile>]
                   --metadata-output <location> [--overwrite-metadata] | --suppress-metadata]
                   [--commitment-policy <commitment-policy>]
                   [--encryption-context <encryption_context> [<encryption_context> ...]]
                   [--max-encrypted-data-keys <integer>]
                   [--algorithm <algorithm_suite>]
                   [--caching <attributes>] 
                   [--frame-length <length>]
                   [-v | -vv | -vvv | -vvvv]
                   [--quiet]

Descriptografar dados

O diagrama da sintaxe a seguir mostra os parâmetros usados por um comando decrypt.

Na versão 1.8.x, o parâmetro --wrapping-keys é opcional ao descriptografar, mas é recomendado. A partir da versão 2.1.x, o parâmetro --wrapping-keys passou a ser necessário ao criptografar e descriptografar. Para AWS KMS keys, você pode usar o atributo key para especificar chaves de encapsulamento (prática recomendada) ou definir o atributo discovery comotrue, o que não limita as chaves de encapsulamento que podem ser usadas pela CLI de criptografia da AWS.

aws-encryption-cli --decrypt (or [--decrypt-unsigned]) 
                   --input <input> [--recursive] [--decode]
                   --output <output> [--interactive] [--no-overwrite]  [--suffix [<suffix>]] [--encode]           
                   --wrapping-keys  [--wrapping-keys] ...
                       [key=<keyID>] [key=<keyID>] ...
                       [discovery={true|false}] [discovery-partition=<aws-partition-name> discovery-account=<aws-account-ID> [discovery-account=<aws-account-ID>] ...] 
                       [provider=<provider-name>] [region=<aws-region>] [profile=<aws-profile>]
                   --metadata-output <location> [--overwrite-metadata] | --suppress-metadata]
                   [--commitment-policy <commitment-policy>]
                   [--encryption-context <encryption_context> [<encryption_context> ...]]
                   [--buffer]
                   [--max-encrypted-data-keys <integer>]
                   [--caching <attributes>]
                   [--max-length <length>]
                   [-v | -vv | -vvv | -vvvv]
                   [--quiet]
                   

Usar arquivos de configuração

Você pode fazer referência a arquivos de configuração que contêm parâmetros e seus valores. Isso é equivalente a digitar os parâmetros e os valores no comando. Para ver um exemplo, consulte Como armazenar parâmetros em um arquivo de configuração.

aws-encryption-cli @<configuration_file>

# In a PowerShell console, use a backtick to escape the @.
aws-encryption-cli `@<configuration_file>

Esta lista fornece uma descrição básica dos parâmetros de comandos da CLI de criptografia daAWS. Para obter uma descrição completa, consulte a Documentação da aws-encryption-sdk-cli.

--encrypt (-e)

Criptografa os dados de entrada. Cada comando deve ter um parâmetro --encrypt, --decrypt ou --decrypt-unsigned.

--decrypt (-d)

Descriptografa os dados de entrada. Cada comando deve ter um parâmetro --encrypt, --decrypt ou --decrypt-unsigned.

--decrypt-unsigned [Introduzido nas versões 1.9.x e 2.2.x]

O parâmetro --decrypt-unsigned descriptografa o texto cifrado e garante que as mensagens não sejam assinadas antes de serem descriptografadas. Use esse parâmetro se você usou o parâmetro --algorithm e selecionou um pacote de algoritmos sem assinatura digital para criptografar dados. Se o texto cifrado for assinado, a descriptografia falhará.

Você pode usar --decrypt ou --decrypt-unsigned para fazer a descriptografia, mas não ambos.

--wrapping-keys (-w) [Introduzido na versão 1.8.x]

Especifica as chaves de encapsulamento (ou chaves mestras) usadas em operações de criptografia e descriptografia. Você pode usar vários parâmetros de --wrapping-keys em cada comando.

A partir da versão 2.1.x, o parâmetro --wrapping-keys passou a ser necessário ao criptografar e descriptografar comandos. Na versão 1.8. x, os comandos encrypt requerem um parâmetro --wrapping-keys ou --master-keys. Nos comandos decrypt fs versão 1.8. x um parâmetro --wrapping-keys é opcional, mas recomendado.

Ao usar usam um provedor de chaves mestres personalizado, os comandos encrypt e decrypt exigem os atributos key e provider. Ao usar AWS KMS keys, os comandos encrypt exigem um atributo key. Os comandos decrypt exigem que um atributokey ou um atributo discovery sejam definidos com um valor de true (mas não ambos). Usar o atributo key ao descriptografar é uma prática recomendada do AWS Encryption SDK. Ela particularmente importante se você estiver descriptografando lotes de mensagens desconhecidas, como aquelas em um bucket do Amazon S3 ou em uma fila do Amazon SQS.

Para obter um exemplo de como usar chaves multirregionais do AWS KMS como chaves de encapsulamento, consulte Usando a multirregião AWS KMS keys.

Attributes: o valor do parâmetro --wrapping-keys consiste nos seguintes atributos. O formato é attribute_name=value.

chave

Identifica a chave de encapsulamento usada na operação. O formato é um par de key=ID. Você pode especificar vários atributos key em cada valor do parâmetro --wrapping-keys.

• Comandos encrypt: todos os comandos encrypt exigem o atributo key. Quando você usa um AWS KMS key em um comando encrypt, o valor do atributo key pode ser um ID de chave, um ARN de chave, um nome de alias ou um ARN de alias. Para obter detalhes dos identificadores de chave do AWS KMS, consulte Identificadores de chave no Guia do desenvolvedor do AWS Key Management Service.

• Comandos decrypt: ao descriptografar com as AWS KMS keys, o parâmetro --wrapping-keys exige que o valor de um atributokey seja definido como um ARN de chave ou que o valor de um atributo discovery seja definido como true (mas não ambos). Usar o atributo key é uma prática recomendada do AWS Encryption SDK. Ao descriptografar com um provedor de chave mestra personalizado, o atributo key é obrigatório.

  nota

  Para especificar uma chave de encapsulamento do AWS KMS em um comando decrypt, o valor do atributo da chave deve ser um ARN de chave. Se você usar uma ID de chave, um ARN de chave ou um ARN de alias, a CLI de criptografia da AWS não reconhecerá a chave de encapsulamento.

Você pode especificar vários atributos key em cada valor do parâmetro --wrapping-keys. No entanto, qualquer atributo provider, region e profile em um parâmetro --wrapping-keys será aplicável a todas chaves de encapsulamento no valor desse parâmetro. Para especificar chaves de encapsulamento com diferentes valores de atributos, use vários parâmetros --wrapping-keys no comando.

discovery

Permite que a CLI de criptografia da AWS use qualquer AWS KMS key para descriptografar a mensagem. O valor de discovery pode ser true oufalse. O valor padrão é false. O atributo discovery é válido apenas em comandos decrypt e somente quando o provedor de chaves mestras for do AWS KMS.

Ao descriptografar com AWS KMS keys, o parâmetro --wrapping-keys requer um atributokey ou um atributo discovery com um valor definido como true (mas não ambos). Se você usar o atributo key, poderá usar um atributo de discovery com um valor definido como false para rejeitar explicitamente a descoberta.

• False (padrão): quando o atributo discovery não for especificado ou seu valor for false, a CLI de criptografia da AWS descriptografará a mensagem usando somente as AWS KMS keys especificadas pelo atributo key do parâmetro --wrapping-keys. Se você não especificar um atributo key quando discovery for false, o comando decrypt falhará. Esse valor dá suporte a uma prática recomendada da CLI de criptografia da CLI de criptografia da AWS.

• True: quando o valor do atributo discovery é true, a CLI de criptografia da AWS obterá os AWS KMS keys dos metadados da mensagem criptografada e usará esses AWS KMS keys para descriptografar a mensagem. O atributo discovery com um valor definido como true se comporta como as versões da CLI de criptografia da AWS anteriores à versão 1.8.x, que não permitiam que você especificasse uma chave de encapsulamento ao descriptografar. No entanto, sua intenção de usar qualquer AWS KMS key é explícita. Se você especificar um atributo key quando discovery for true, o comando decrypt falhará.

  O valor true pode fazer com que a CLI de criptografiada AWS use AWS KMS keys em diferentes Contas da AWS e regiões ou tente usar AWS KMS keys que o usuário não tenha autorização para uso.

Quando discovery for true, é uma prática recomendada usar os atributos discovery-partition e discovery-account para limitar o uso das AWS KMS keys àquelas presentes na Contas da AWS especificadas por você.

discovery-account

Limita as AWS KMS keys usadas para descriptografia às Conta da AWS especificadas. O único valor válido para esse atributo é um ID de Conta da AWS.

Esse atributo é opcional e válido somente em comandos decrypt com AWS KMS keys em que o atributo discovery esteja definido como true e o atributo discovery-partition esteja especificado.

Cada atributo discovery-account usa apenas um ID de Conta da AWS, mas você pode especificar vários atributos de discovery-account no mesmo parâmetro de --wrapping-keys. Todas as contas especificadas em um determinado parâmetro --wrapping-keys devem estar na partição daAWS especificada.

discovery-partition

Especifica a partição da AWS para as contas no atributo discovery-account. Seu valor deve ser uma partição da AWS, como aws, aws-cn, ou aws-gov-cloud. Para obter mais informações, consulte Nomes de atributo da Amazon no Referência geral da AWS.

Esse atributo é obrigatório quando você usa o atributo discovery-account. Você pode especificar somente um atributo discovery-partition em cada parâmetro --wrapping keys. Para especificar Contas da AWS em várias partições, use um parâmetro --wrapping-keys adicional.

provider

Identifica o provedor de chaves mestres. O formato é um par de provider=ID. O valor padrão, aws-kms, representa o AWS KMS. Esse atributo é necessário somente quando o provedor de chaves mestras não é o AWS KMS.

region

Identifica a Região da AWS de uma AWS KMS key . Esse atributo é válido apenas para AWS KMS keys. É usado apenas quando o identificador da chave não especifica uma região; caso contrário, é ignorado. Quando é usado, ele substitui a região padrão no perfil nomeado da CLI da AWS.

profile

Identifica um AWS CLIperfil nomeado da . Esse atributo é válido apenas para AWS KMS keys. A região no perfil é usada apenas quando o identificador da chave não especifica uma região e não há nenhum atributo region no comando.

--input (-i)

Especifica o local dos dados a serem criptografados ou descriptografados. Esse parâmetro é obrigatório. O valor pode ser um caminho para um arquivo ou diretório ou um nome de arquivo padrão. Se você estiver redirecionando a entrada para o comando (stdin), use -.

Se a entrada não existir, o comando é concluído com êxito sem erro ou aviso.

--recursive (-r, -R)

Executa a operação nos arquivos no diretório de entrada e em seus subdiretórios. Esse parâmetro é necessário quando o valor de --input é um diretório.

--decode

Decodifica entrada codificada em Base64.

Se estiver descriptografando uma mensagem que foi criptografada e, em seguida, codificado, você deverá decodificar a mensagem antes de descriptografá-la. Esse parâmetro faz isso para você.

Por exemplo, se você tiver usado o parâmetro --encode em um comando encrypt, use o parâmetro --decode no comando decrypt correspondente. Você também pode usar esse parâmetro para decodificar a entrada codificada em Base64 antes de criptografá-la.

--output (-o)

Especifica um destino para a saída. Esse parâmetro é obrigatório. O valor pode ser um nome de arquivo, um diretório existente ou -, que grava a saída na linha de comando (stdout).

Se o diretório de saída especificado não existir, o comando falhará. Se a entrada contiver subdiretórios, a CLI de criptografia da AWS reproduzirá os subdiretórios sob o diretório de saída especificado.

Por padrão, a CLI de criptografia da AWS substitui arquivos com o mesmo nome. Para alterar esse comportamento, use os parâmetros --interactive ou --no-overwrite. Para suprimir o aviso de substituição, use o parâmetro --quiet.

nota

Se um comando que deve substituir um arquivo de saída falhar, o arquivo de saída será excluído.

--interactive

Solicita antes de substituir o arquivo.

--no-overwrite

Não substitui arquivos. Em vez disso, se o arquivo de saída existir, a CLI de criptografia da AWS ignorará a entrada correspondente.

--sufixo

Especifica um sufixo de nome de arquivo personalizado para arquivos criados pela a CLI de criptografia da AWS. Para indicar nenhum sufixo, use o parâmetro sem um valor (--suffix).

Por padrão, quando o parâmetro --output não especifica um nome de arquivo, o nome do arquivo de saída tem o mesmo nome que o nome do arquivo de entrada mais o sufixo. O sufixo para comandos encrypt é .encrypted. O sufixo para comandos decrypt é .decrypted.

--encode

Aplica codificação de Base64 (de binário para texto) à saída. A codificação impede que o programa shell do host interprete incorretamente caracteres não ASCII no texto de saída.

Use esse parâmetro ao gravar a saída criptografada em stdout (--output -), especialmente em um console do PowerShell, mesmo quando você estiver redirecionando a saída para outro comando ou salvando-a em uma variável.

--metadata-output

Especifica um local para metadados sobre as operações de criptografia. Insira um caminho e um nome de arquivo. Se o diretório não existir, o comando falhará. Para gravar os metadados na linha de comando (stdout), use -.

Você não pode gravar a saída do comando (--output) e a saída dos metadados (--metadata-output) em stdout no mesmo comando. Além disso, quando o valor de --input ou --output for um diretório (sem nomes de arquivos), você não poderá gravar a saída de metadados no mesmo diretório ou em qualquer subdiretório desse diretório.

Se você especificar um arquivo existente, por padrão, CLI de criptografia da AWS acrescentará novos registros de metadados a qualquer conteúdo no arquivo. Esse recurso permite que você crie um único arquivo que contém os metadados de todas as suas operações de criptografia. Para substituir o conteúdo em um arquivo existente, use o parâmetro --overwrite-metadata.

A CLI de criptografia da AWS retorna um registro de metadados formatado em JSON para cada operação de criptografia ou descriptografia executada pelo comando. Cada registro de metadados inclui os caminhos completos para os arquivos de entrada e de saída, o contexto de criptografia, o pacote de algoritmos e outras informações valiosas que você pode usar para rever a operação e verificar se ela atende a seus padrões de segurança.

--overwrite-metadata

Substitui o conteúdo no arquivo de saída de metadados. Por padrão, o parâmetro --metadata-output acrescenta metadados a qualquer conteúdo existente no arquivo.

--suppress-metadata (-S)

Suprime os metadados sobre a operação de criptografia ou de descriptografia.

--commitment-policy

Especifica a política de compromisso para comandos encrypt e decrypt. A política de compromisso determina se sua mensagem será criptografada e descriptografada com o atributo de segurança confirmação de chave.

O parâmetro --commitment-policy foi introduzido na versão 1.8.x.. Ele 'é válido em comandos de criptografia e descriptografia.

Na versão 1.8.x, a CLI de criptografia da AWS usa a política de compromisso forbid-encrypt-allow-decrypt para todas as operações de criptografia e descriptografia. Quando você usa o parâmetro --wrapping-keys em um comando encrypt ou decrypt, é obrigatório que um parâmetro --commitment-policy seja definido com o valor forbid-encrypt-allow-decrypt. Se você não usar o parâmetro--wrapping-keys, o parâmetro --commitment-policy será inválido. Definir uma política de compromisso explicitamente impede que sua política de compromisso seja alterada automaticamente para require-encrypt-require-decrypt quando você atualizar para a versão 2.1.x

A partir da versão 2.1.x, todos os valores da política de compromisso são compatíveis. O parâmetro --commitment-policy é opcional e o valor padrão é require-encrypt-require-decrypt.

Esse parâmetro tem os valores a seguir:

• forbid-encrypt-allow-decrypt: não é possível criptografar com confirmação de chave. Ele pode descriptografar textos cifrados criptografados com ou sem confirmação de chave.

  Na versão 1.8.x, esse é o único valor válido. A CLI de criptografia da AWS usa a política de compromisso forbid-encrypt-allow-decrypt para todas as operações de criptografia e descriptografia.

• require-encrypt-allow-decrypt: criptografa somente com confirmação de chave. Descriptografa com e sem compromisso chave. Esse valor foi introduzido na versão 2.1.x..

• require-encrypt-require-decrypt (padrão): criptografa e descriptografa somente com confirmação de chave. Esse valor foi introduzido na versão 2.1.x.. É o valor padrão em versões 2.1.x. e posteriores. Com esse valor, a CLI de criptografia da AWS não descriptografará nenhum texto cifrado que tenha sido criptografado com versões anteriores do AWS Encryption SDK.

Para obter informações detalhadas sobre como definir sua política de compromisso, consulte Como migrar seu AWS Encryption SDK.

--encryption-context (-c)

Especifica um contexto de criptografia para a operação. Esse parâmetro não é obrigatório, mas é recomendado.

• Em um comando --encrypt, insira um ou mais pares de name=value. Use espaços para separar os pares.

• Em um comando --decrypt, insira pares de name=value, elementos name sem valores ou ambos.

Se o name ou o value em um par de name=value incluir espaços ou caracteres especiais, coloque o par inteiro entre aspas. Por exemplo, --encryption-context "department=software development".

--buffer (-b) [Introduzido nas versões 1.9.x e 2.2.x]

Retorna texto simples somente após o processamento de todas as entradas, incluindo a verificação da assinatura digital, se houver uma.

--max-encrypted-data-keys [Introduzido nas versões 1.9.x e 2.2.x]

Especifica o número máximo de chaves de dados criptografadas em uma mensagem criptografada. Esse parâmetro é opcional.

Os valores válidos são 1–65.535. Se você omitir esse parâmetro, a CLI de criptografia da AWS não aplicará nenhum valor máximo. Uma mensagem criptografada pode conter até 65.535 (2^16 - 1) chaves de dados criptografadas.

Você pode usar esse parâmetro em comandos encrypt para evitar a malformação de uma mensagem. Você pode usá-lo em comandos decrypt para detectar mensagens maliciosas e evitar descriptografar mensagens com várias chaves de dados criptografadas que você não pode descriptografar. Para obter detalhes e um exemplo, consulte Limitar as chaves de dados criptografadas.

--help (-h)

Imprime o uso e a sintaxe na linha de comando.

--version

Obtém a versão da CLI de criptografia da AWS.

-v | -vv | -vvv | -vvvv

Exibe informações, avisos e mensagens de depuração detalhados. Os detalhes na saída aumentam com o número de vs no parâmetro. A configuração mais detalhada (-vvvv) retorna dados em nível de depuração da CLI de criptografia da AWS e de todos os componentes que ela usa.

--quiet (-q)

Suprime mensagens de aviso, como a mensagem que aparece quando você substitui um arquivo de saída.

--master-keys (-m) [Descontinuado]

nota

O parâmetro --master-keys foi descontinuado na versão 1.8.x foi removido na versão 2.1.x. Em vez dele, use o parâmetro --wrapping-keys.

Especifica as chaves mestres usadas em operações de criptografia e descriptografia. Você pode usar vários parâmetros de chaves mestras em cada comando.

O parâmetro --master-keys é necessário em comandos encrypt. Ele é necessário em comandos decrypt somente quando você estiver usando um provedor de chaves mestras personalizado (que não seja do AWS KMS).

Attributes: o valor do parâmetro --master-keys consiste nos seguintes atributos. O formato é attribute_name=value.

chave

Identifica a chave de encapsulamento usada na operação. O formato é um par de key=ID. O atributo key é obrigatório em todos os comandos encrypt.

Quando você usa um AWS KMS key em um comando encrypt, o valor do atributo key pode ser um ID de chave, um ARN de chave, um nome de alias ou um ARN de alias. Para obter detalhes sobre os identificadores de chave do AWS KMS, consulte identificadores de chave no Guia do desenvolvedor do AWS Key Management Service.

O atributo key é necessário em comandos decrypt quando o provedor de chaves mestras não for o AWS KMS. O atributo key não é permitido em comandos que descriptografam dados que foram criptografados com uma AWS KMS key.

Você pode especificar vários atributos key em cada valor do parâmetro --master-keys. No entanto, qualquer atributo provider, region e profile aplica-se a todas as chaves mestres no valor do parâmetro. Para especificar chaves mestras com diferentes valores de atributos, use vários parâmetros --master-keys no comando.

provider

Identifica o provedor de chaves mestres. O formato é um par de provider=ID. O valor padrão, aws-kms, representa o AWS KMS. Esse atributo é necessário somente quando o provedor de chaves mestras não é o AWS KMS.

region

Identifica a Região da AWS de uma AWS KMS key . Esse atributo é válido apenas para AWS KMS keys. É usado apenas quando o identificador da chave não especifica uma região; caso contrário, é ignorado. Quando é usado, ele substitui a região padrão no perfil nomeado da CLI da AWS.

profile

Identifica um AWS CLIperfil nomeado da . Esse atributo é válido apenas para AWS KMS keys. A região no perfil é usada apenas quando o identificador da chave não especifica uma região e não há nenhum atributo region no comando.

--algorithm

Especifica um pacote de algoritmos alternativo. Esse parâmetro é opcional e válido apenas em comandos encrypt.

Se você omitir esse parâmetro, a CLI de criptografia da AWS usará um dos pacotes de algoritmos padrão para o AWS Encryption SDK apresentados na versão 1.8.x.. Ambos os algoritmos padrão usam o AES-GCM com um HKDF, uma assinatura ECDSA e uma chave de criptografia de 256 bits. Um usa confirmação de chave; o outro não. A escolha do pacote de algoritmos padrão é determinada pela política de compromisso do comando.

Os pacotes de algoritmo padrão são recomendados para a maioria das operações de criptografia. Para obter uma lista de valores válidos, consulte os valores do parâmetro algorithm em Leia os documentos.

--frame-length

Cria uma saída com o tamanho da moldura especificado. Esse parâmetro é opcional e válido apenas em comandos encrypt.

Digite um valor em bytes. Os valores válidos são 0 e 1–2^31-1. Um valor igual a 0 indica dados sem moldura. O padrão é 4.096 (bytes).

nota

Sempre que possível, use dados com moldura. O AWS Encryption SDK oferece suporte dados não emoldurados somente para uso herdado. Algumas implementações de linguagem do AWS Encryption SDK ainda podem gerar texto cifrado sem moldura. Todas as implementações de linguagem compatíveis podem descriptografar texto cifrado e não emoldurado.

--max-length

Indica o tamanho máximo da moldura (ou o tamanho máximo do conteúdo de mensagens sem moldura) a ser lido em mensagens criptografadas. Esse parâmetro é opcional e válido apenas em comandos decrypt. Ele foi projetado para proteção contra a descriptografia de texto cifrado mal-intencionado extremamente grande.

Digite um valor em bytes. Se você omitir esse parâmetro, o AWS Encryption SDK não limitará o tamanho do quadro ao descriptografar.

--caching

Habilita o recurso de armazenamento em cache de chaves de dados, que reutiliza chaves de dados, em vez de gerar uma nova chave de dados para cada arquivo de entrada. Esse parâmetro é compatível com um cenário avançado. Não deixe de ler a documentação Armazenamento em cache de chaves de dados antes de usar esse recurso.

O parâmetro --caching tem os seguintes atributos.

capacity (obrigatório)

Determina o número máximo de entradas no cache.

O valor mínimo é 1. Não há um valor máximo.

max_age (obrigatório)

Determina o tempo em que as entradas do cache são usadas, em segundos, a partir do momento em que são adicionadas ao cache.

Digite um valor maior que 0. Não há um valor máximo.

max_messages_encrypted (opcional)

Determina o número máximo de mensagens que uma entrada armazenada em cache pode criptografar.

Os valores válidos são 1–2^32. O valor padrão é 2^32 (mensagens).

max_bytes_encrypted (opcional)

Determina o número máximo de bytes que uma entrada armazenada em cache pode criptografar.

Os valores válidos são 0 e 1–2^63 - 1. O valor padrão é 2^63 - 1 (mensagens). Um valor de 0 permite usar armazenamento em cache de chaves de dados somente quando você está criptografando strings de mensagem vazias.