本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 原始 RSA keyring **** | | | --- | | 我們的用戶端加密程式庫已重新命名為 AWS 資料庫加密 SDK。此開發人員指南仍提供有關 [DynamoDB 加密用戶端](legacy-dynamodb-encryption-client.md)的資訊。 | 原始 RSA keyring 會使用您提供的 RSA 公有和私有金鑰,對本機記憶體中的資料金鑰執行非對稱加密和解密。您需要產生、存放和保護私有金鑰,最好是在硬體安全模組 (HSM) 或金鑰管理系統中。加密函數會根據 RSA 公開金鑰加密資料金鑰。解密函數會使用私有金鑰解密資料金鑰。您可以從數個 RSA 填補模式中選擇。 加密和解密的原始 RSA keyring,必須包含非對稱公開金鑰和私有金鑰對。不過,您可以使用只有公有金鑰的原始 RSA keyring 來加密資料,也可以使用只有私有金鑰的原始 RSA keyring 來解密資料。您可以在[多 keyring 中包含任何原始 RSA keyring](use-multi-keyring.md)。如果您使用公有和私有金鑰設定原始 RSA keyring,請確定它們是相同金鑰對的一部分。 當原始 RSA keyring 與 RSA 非對稱加密金鑰搭配使用 適用於 JAVA 的 AWS Encryption SDK 時,其相當於 ,並與 中的 [JceMasterKey](https://aws.github.io/aws-encryption-sdk-java/com/amazonaws/encryptionsdk/jce/JceMasterKey.html) 互通。 **注意** 原始 RSA keyring 不支援非對稱 KMS 金鑰。若要使用非對稱 RSA KMS 金鑰,請建構 [AWS KMS keyring](use-kms-keyring.md)。 **命名空間和名稱** 為了識別 keyring 中的 RSA 金鑰材料,原始 RSA keyring 會使用您提供的*金鑰命名空間*和*金鑰名稱*。這些值並非機密。它們會以純文字顯示在 AWS Database Encryption SDK 新增至記錄[的資料描述](concepts.md#material-description)中。我們建議您使用金鑰命名空間和金鑰名稱,以識別 HSM 或金鑰管理系統中的 RSA 金鑰對 (或其私有金鑰)。 **注意** 金鑰命名空間和金鑰名稱等同於 中的*提供者 ID* (或*提供者*) 和*金鑰 ID* 欄位`JceMasterKey`。 如果您建構不同的 keyring 來加密和解密指定的記錄,命名空間和名稱值至關重要。如果解密 keyring 中的金鑰命名空間和金鑰名稱與加密 keyring 中的金鑰命名空間和金鑰名稱不完全、區分大小寫相符,即使金鑰來自相同的金鑰對,也不會使用解密 keyring。 無論 keyring 包含 RSA 公有金鑰、RSA 私有金鑰或金鑰對中的兩個金鑰,加密和解密 keyring 中金鑰材料的金鑰命名空間和金鑰名稱都必須相同。例如,假設您使用金鑰命名空間和金鑰`HSM_01`名稱 的 RSA 公有金鑰的原始 RSA keyring 來加密資料`RSA_2048_06`。若要解密該資料,請使用私有金鑰 (或金鑰對) 和相同的金鑰命名空間和名稱來建構原始 RSA keyring。 **填補模式** 您必須為用於加密和解密的原始 RSA keyring 指定填補模式,或使用您語言實作的功能來為您指定。 AWS Encryption SDK 支援下列填補模式,受限於每種語言的限制。我們建議使用 [OAEP](https://tools.ietf.org/html/rfc8017#section-7.1) 填補模式,特別是使用 SHA-256 的 OAEP 和使用 SHA-256 填補的 MGF1。[PKCS1](https://tools.ietf.org/html/rfc8017#section-7.2) 填補模式僅支援回溯相容性。 + 使用 SHA-1 的 OAEP 和使用 SHA-1 填補的 MGF1 SHA-1 + OAEP 搭配 SHA-256 和 MGF1 搭配 SHA-256 填補 + OAEP 搭配 SHA-384 和 MGF1 搭配 SHA-384 填補 + OAEP 搭配 SHA-512 和 MGF1 搭配 SHA-512 填補 + PKCS1 v1.5 填補 下列 Java 範例示範如何使用 RSA 金鑰對的公有和私有金鑰建立原始 RSA keyring,以及使用 SHA-256 建立 OAEP,並使用 SHA-256 填補模式建立 MGF1。`RSAPublicKey` 和 `RSAPrivateKey`變數代表您提供的金鑰材料。 ------ #### [ Java ] ``` final CreateRawRsaKeyringInput keyringInput = CreateRawRsaKeyringInput.builder() .keyName("RSA_2048_06") .keyNamespace("HSM_01") .paddingScheme(PaddingScheme.OAEP_SHA256_MGF1) .publicKey(RSAPublicKey) .privateKey(RSAPrivateKey) .build(); final MaterialProviders matProv = MaterialProviders.builder() .MaterialProvidersConfig(MaterialProvidersConfig.builder().build()) .build(); IKeyring rawRsaKeyring = matProv.CreateRawRsaKeyring(keyringInput); ``` ------ #### [ C\$1 / .NET ] ``` var keyNamespace = "HSM_01"; var keyName = "RSA_2048_06"; // Get public and private keys from PEM files var publicKey = new MemoryStream(System.IO.File.ReadAllBytes("RSAKeyringExamplePublicKey.pem")); var privateKey = new MemoryStream(System.IO.File.ReadAllBytes("RSAKeyringExamplePrivateKey.pem")); // Create the keyring input var keyringInput = new CreateRawRsaKeyringInput { KeyNamespace = keyNamespace, KeyName = keyName, PaddingScheme = PaddingScheme.OAEP_SHA512_MGF1, PublicKey = publicKey, PrivateKey = privateKey }; // Create the keyring var matProv = new MaterialProviders(new MaterialProvidersConfig()); var rawRsaKeyring = matProv.CreateRawRsaKeyring(keyringInput); ``` ------ #### [ Rust ] ``` let mpl_config = MaterialProvidersConfig::builder().build()?; let mpl = mpl_client::Client::from_conf(mpl_config)?; let raw_rsa_keyring = mpl .create_raw_rsa_keyring() .key_name("RSA_2048_06") .key_namespace("HSM_01") .padding_scheme(PaddingScheme::OaepSha256Mgf1) .public_key(RSA_public_key) .private_key(RSA_private_key) .send() .await?; ``` ------