在调用 AWS KMS API 时,我该如何确认使用的是经过身份验证的加密及关联数据加密?

上次更新时间:2019 年 9 月 6 日

在调用 AWS Key Management Service (AWS KMS) EncryptDecryptReEncrypt API 时,我该如何确认使用的是经过身份验证的加密及关联数据加密?

简短描述

AWS KMS 提供了一种加密上下文,您可以用它验证 AWS KMS API 调用的真实性及 AWS Decrypt API 所返回的密文的完整性。

解决方法

要验证使用 AWS KMS API 加密的数据的完整性,您可以在 AWS KMS 加密期间及调用 DecryptReEncrypt API 时将名称值对组作为加密上下文传递。如果您传递至 Decrypt API 的加密上下文与您传递至 EncryptReEncrypt API 的加密上下文相同,则所返回密文的完整性得到保护。

要了解使用加密上下文保护加密数据完整性的更多信息,请参阅 AWS 安全博客如何使用 AWS Key Management Service 和 EncryptionContext 保护加密数据的完整性


这篇文章对您有帮助吗?

我们可以改进什么?


需要更多帮助吗?