2
我已將密鑰上傳到AWS Key Management Service。使用它我可以加密事物,然後使用該服務解密它們。但是,我想讓我放心,我可以使用我放入KMS的密鑰(證明它是我的密鑰)來解密Ciphertext Blob,並且爲了備份目的(如果KMS失敗)。使用客戶提供的密鑰解密來自AWS KMS的密文blob
我找不到KMS使用的加密格式和方法。
任何人都可以提供示例(openssl/python等)。
A
回答
0
我發現的有關KMS密文blob的唯一信息是this document。從第23頁的底部開始,它說:
每當元素在CMK下加密時,生成的對象就是客戶密文。密文將包含兩部分:未加密的頭部(或明文部分),由經過驗證的加密方案 作爲額外的驗證數據和加密部分進行保護。明文 部分將包含HSA備份密鑰標識符(HBKID)。
我找不到任何更具體的格式,甚至沒有:
- 哪個密文Blob的部分是加密部分?
- 使用了什麼初始化矢量(IV)?
- 有沒有使用密鑰派生函數(KDF)?
但是,如果要在KMS失敗的情況下進行備份,則在使用envelope encryption時,僅備份數據密鑰就足夠了。最後,這是解密數據所需的唯一密鑰。當然,存儲這種密鑰備份必須與存儲導入的密鑰資料時一樣謹慎。
相關問題
- 1. aws kms解密ciphertextblob
- 2. AWS:解密SES/KMS加密郵件
- 3. 解密aws kms密鑰時Nodejs異步問題
- 4. 檢測Blob是否爲AWS KMS加密
- 5. AWS:無法使用我自己的KMS密鑰加密S3對象
- 6. 使用自定義KMS密鑰訪問AWS參數存儲值
- 7. 我可以在Android中使用AWS KMS加密進行客戶端加密嗎?
- 8. AWS Boto S3 API讀取KMS加密密鑰
- 9. 使用AWS KMS在powershell中加密/解密整個文件夾的內容
- 10. 如何使用AWS Powershell腳本中的KMS密鑰加密數據
- 11. 使用解密密鑰解密數據
- 12. 如何使用已提供的密鑰和iv解密AES加密數據
- 13. 在PHP中使用密鑰加密和解密使用密鑰的PHP文件
- 14. 如何來解密密鑰
- 15. AWS:使用KMS加密的主密碼創建RDS實例
- 16. 從KMS獲取KMS密鑰CipherTextBlob
- 17. 加密的客戶端密鑰?
- 18. 用客戶提供的加密密鑰(SSE-C)與使用vfs s3插件的服務器端加密
- 19. 使用terrform更新KMS密鑰策略
- 20. 使用ansible對加密AWS .pem密鑰文件進行加密
- 21. 爲gcloud作業提供解密密鑰提交培訓
- 22. 使用Java解密openssl aes-256-cbc使用提供的密鑰和iv
- 23. 通過標記或具有加密/解密權限的當前角色過濾AWS KMS密鑰?
- 24. Google雲端存儲似乎忽略客戶提供的加密密鑰標題
- 25. gnupg解密使用供應商提供的公鑰
- 26. 沒有客戶端發現密鑰的解密
- 27. 使用Amazon AWS祕密密鑰部署C#客戶端應用程序(S3)?
- 28. 從AWS S3中提取KMS加密的ZIP文件
- 29. Spring SAML:解密加密密鑰時出錯,沒有安裝的提供者支持此密鑰
- 30. AWS STS假設 - 我必須提供訪問密鑰和密鑰嗎?
檢查:http://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/example-code.html –
謝謝 - 這實際上可能是一個更好的方式來實現我想要的東西 - 一次使用AWS和一次使用服務器上的公用密鑰加密密鑰兩次;然而,它仍然沒有解釋加密KWS如何在不使用他們的服務的情況下將隨機字符串+客戶密鑰I提供到CipherText blob(或如何將其反轉)。 –