我的问题听起来可能太明显了,但我是亚马逊KMS的新手。在阅读了AWS上的许多文档后,我明白如果我直接使用CMK进行加密和解密,我可以通过创建加密和解密请求来直接完成。但我不清楚的是,当我生成一个数据密钥并使用它进行调试时,文档说我需要传递加密的数据密钥来解密API,我将获得纯文本密钥,我可以使用它在我的"OWN"上调试文本。我不理解这部分。有人能解释一下这一点吗?并举一个关于使用数据密钥解密的小例子。提前感谢
我的样本代码:
public String decrypt(String encryptedTextString) {
ByteBuffer encryptedText = ByteBuffer.wrap(Base64.getDecoder().decode(encryptedTextString));
DecryptRequest req=new DecryptRequest().withCiphertextBlob(encryptedText);
ByteBuffer plainText = client.decrypt(req).getPlaintext();
return new String(plainText.array());
}
public String encrypt(String plainTextString) {
ByteBuffer plainText = ByteBuffer.wrap(Base64.getDecoder().decode(plainTextString));
EncryptRequest req = new EncryptRequest().withKeyId(new String(plainTextKey.array()))
.withPlaintext(plainText);
ByteBuffer encryptedText =client.encrypt(req).getCiphertextBlob();
return new String(encryptedText.array());
}
AWSKMSCryprography() {
this.setCredential(new ClearCredential());
this.genrateKey();
}
private void genrateKey() {
GenerateDataKeyRequest request = new GenerateDataKeyRequest();
request.setKeyId(keyID);
request.setKeySpec("AES_128");
GenerateDataKeyResult dataKeyResult = client.generateDataKey(request);
plainTextKey = dataKeyResult.getPlaintext();
encryptedKey = dataKeyResult.getCiphertextBlob();
}
我也是使用KMS的新手,但关于使用加密和解密方法的教程文档会对使用加密和解码方法产生误导。AWSKMSClient.generateDataKey和AWSKKMSClient.encrypt的API文档指出,encrypt()用于特定的用例,应该使用不同的模式来使用本地密钥。
在dynamodb加密库中可以找到更有用的KMS示例。另请参阅http://netnix.org/2015/04/19/aes-encryption-with-hmac-integrity-in-java/了解基本加密的概述。