Расшифровка блочного шифрования от AWS KMS с помощью ключа клиента

Question

Я загрузил ключ в службу управления ключами AWS. Используя его, я могу зашифровать вещи, а затем расшифровать их с помощью службы.

Однако, я хотел бы получить подтверждение, что могу расшифровать Crypttext blob, используя ключ, который я поместил в KMS (чтобы доказать, что это мой ключ), и для целей резервного копирования (если KMS завершится с ошибкой).

Я не могу найти формат и метод использования, которые использует KMS.

Может ли кто-нибудь предоставить пример (openssl/python и т. Д.).

Answer 1

Единственная информация, которую я нашел о KMS ciphertext blob, находится в this document. Начиная с нижней части страницы 23, он говорит:

Всякий раз, когда элемент зашифрован под CMK, результирующий объект является зашифрованным текстом клиента. Шифрованный текст будет содержать два раздела: часть незашифрованного заголовка (или открытого текста), защищенная с помощью схемы аутентифицированного шифрования в качестве дополнительных аутентифицированных данных и зашифрованной части. Часть открытого текста будет включать в себя идентификатор ключа поддержки HSA (HBKID).

я не мог найти больше подробностей формата, даже:

• Какой частью зашифрованного сгустка является зашифрованной частью?
• Какой вектор инициализации (IV) использовался?
• Была ли использована функция деривации ключа (KDF)?

Однако, если вы хотите сделать резервную копию в случае сбоя KMS, при использовании envelope encryption, достаточно сделать резервную копию только ключа данных. В конце концов, это единственный ключ, который необходим для дешифрования данных. Разумеется, сохранение такой ключевой резервной копии должно производиться с одинаковой тщательностью, поскольку вы сохраните импортированный ключевой материал.