AWS KMS中的非对称密钥

Question

我意识到AWS现在在少数几个地区提供KMS中的非对称密钥。我的问题是，按照这个页面链接：https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-choose.html，可以使用公钥加密的数据的大小是有限制的(只有470个字节)。我的理解对吗？

我的计划是在KMS中创建一对公钥/私钥，然后与我的源共享公钥，后者恰好是一家不同的公司。当我从他们那里接收到加密文件时，我的计划是使用私钥解密该文件！

如果KMS支持的长度是470字节，我就不能使用AWS提供的非对称密钥功能！

谢谢你，Ryandam

Answer 1

可以使用公钥加密的数据的大小是有限制的(仅为470字节)。我的理解对吗？

确实如此。非对称密钥(RSA)不是用来加密内容本身的(它非常高性能，而且速度慢)。您应该沿着混合权使用PKI。

它不是AWS KMS的限制，而是安全RSA使用的限制。

其想法是-您可以使用随机对称密钥(数据加密密钥)加密内容，并使用生成的公钥对对称密钥进行加密。这个加密的密钥需要沿着密文发送。对称密钥具有公共长度128或256比特。

请注意文档kms导入键 -您可以在KMS中创建一个键区，但不能导入它。这样，私钥就不会离开KMS。