As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
RSAChaveiros Raw
O RSA chaveiro Raw executa criptografia e descriptografia assimétricas de chaves de dados na memória local com as chaves RSA públicas e privadas fornecidas por você. Você precisa gerar, armazenar e proteger a chave privada, preferencialmente em um módulo de segurança de hardware (HSM) ou sistema de gerenciamento de chaves. A função de criptografia criptografa a chave de dados sob a chave RSA pública. A função de descriptografia descriptografa a chave de dados usando a chave privada. Você pode selecionar entre os vários modos de RSA preenchimento
Um RSA chaveiro bruto que criptografa e descriptografa deve incluir um par assimétrico de chave pública e chave privada. No entanto, você pode criptografar dados com um RSA chaveiro bruto que tenha apenas uma chave pública e descriptografar dados com um RSA chaveiro bruto que tenha apenas uma chave privada. Você pode incluir qualquer RSA chaveiro Raw em um chaveiro múltiplo. Se você configurar um RSA chaveiro Raw com uma chave pública e privada, certifique-se de que eles façam parte do mesmo par de chaves. Algumas implementações de linguagem do não AWS Encryption SDK construirão um RSA chaveiro Raw com chaves de pares diferentes. Outras pessoas confiam em você para verificar se suas chaves são do mesmo par de chaves.
O RSA chaveiro Raw é equivalente e interopera com o JceMasterKey
nota
O RSA chaveiro Raw não suporta teclas assimétricasKMS. Se você quiser usar RSA KMS chaves assimétricas, versão 4. x do AWS Encryption SDK formulário. NETe a versão 3. x dos AWS KMS chaveiros de AWS Encryption SDK for Java
suporte que usam criptografia simétrica (SYMMETRIC_DEFAULT
) ou assimétrica. RSA AWS KMS keys
Se você criptografar dados com um RSA chaveiro Raw que inclua a chave pública de uma RSA KMS chave, nem o AWS Encryption SDK nem AWS KMS poderá decifrá-la. Você não pode exportar a chave privada de uma chave AWS KMS assimétrica para um KMS chaveiro RawRSA. A operação de AWS KMS descriptografia não pode descriptografar a mensagem criptografada retornada. AWS Encryption SDK
Ao criar um RSA chaveiro Raw no AWS Encryption SDK for C, certifique-se de fornecer o conteúdo do PEM arquivo que inclui cada chave como uma string C terminada em nulo, não como um caminho ou nome de arquivo. Ao criar um RSA chaveiro Raw JavaScript, esteja ciente da possível incompatibilidade com outras implementações de linguagem.
Namespaces e nomes
Para identificar o material RSA chave em um chaveiro, o RSA chaveiro Raw usa um namespace e um nome de chave fornecidos por você. Esses valores não são secretos. Eles aparecem em texto simples no cabeçalho da mensagem criptografada que a operação de criptografia retorna. Recomendamos usar o namespace e o nome da chave que identificam o par de chaves (ou sua RSA chave privada) no seu HSM sistema ou no sistema de gerenciamento de chaves.
nota
O namespace da chave e o nome da chave são equivalentes aos campos ID do provedor (ou provedor) e ID da chave no JceMasterKey
e no RawMasterKey
.
O AWS Encryption SDK for C reserva o valor do namespace da aws-kms
chave para KMS as chaves. Não o use em um AES chaveiro Raw ou em um RSA chaveiro Raw com o. AWS Encryption SDK for C
Se você cria tokens de autenticação diferentes para criptografar e descriptografar determinada mensagem, o namespace e os valores do nome são cruciais. Se o namespace e o nome da chave no token de autenticação de descriptografia não corresponderem exatamente e com distinção entre maiúsculas e minúsculas ao namespace e ao nome da chave no token de autenticação de criptografia, o token de autenticação de descriptografia não será usado, mesmo que as chaves sejam do mesmo par de chaves.
O namespace da chave e o nome da chave do material da chave nos chaveiros de criptografia e decodificação devem ser os mesmos, independentemente de o chaveiro conter a chave RSA pública, a chave RSA privada ou ambas as chaves no par de chaves. Por exemplo, suponha que você criptografe dados com um RSA chaveiro bruto para uma chave RSA pública com namespace HSM_01
e nome de chave. RSA_2048_06
Para descriptografar esses dados, construa um RSA chaveiro Raw com a chave privada (ou par de chaves) e o mesmo namespace e nome de chave.
Modo de preenchimento
Você deve especificar um modo de preenchimento para RSA chaveiros Raw usados para criptografia e descriptografia, ou usar recursos de sua implementação de linguagem que o especifiquem para você.
O AWS Encryption SDK suporta os seguintes modos de preenchimento, sujeitos às restrições de cada idioma. Recomendamos um modo OAEP
-
OAEPcom SHA -1 e MGF1 com SHA -1 Padding
-
OAEPcom SHA -256 e MGF1 com SHA -256 Padding
-
OAEPcom SHA -384 e MGF1 com SHA preenchimento -384
-
OAEPcom SHA -512 e MGF1 com SHA -512 Padding
-
PKCS1Acolchoamento v1.5
Os exemplos a seguir mostram como criar um RSA chaveiro Raw com a chave pública e privada de um par de RSA chaves e o modo de preenchimento OAEP com SHA -256 e MGF1 SHA -256. As variáveis RSAPublicKey
e RSAPrivateKey
representam o material principal fornecido por você.