密钥管理服务

Question

亚马逊密钥管理服务背后使用了哪些算法或加密方法？

我搜索了它，但只找到了与配置相关的信息，而没有找到集成信息。

Answer 1

在这个答案的开头，我会说，如果你真的感兴趣，KMS密码详细信息文档是非常好的和详细的，我建议你读它。

有两种类型的KMS密钥，客户主键(CMK)和数据密钥(DKs)。客户主密钥从不离开AWS基础设施，它们是通过API调用生成的。有一个警告:它们可以通过这和这 API调用由AWS客户(也就是您)提供。数据密钥通过API调用生成。该API返回密钥的“普通”版本和加密版本。这种加密是使用CMK完成的。

按照开发人员指南，KMS只使用对称加密。

因此，要回答您的问题( KMS使用了哪些算法)，请看一下这个图表(取自这里)：

​

图像底部的加密算法是对DKs进行加密的算法。从上面链接的加密详细信息文档中：

AWS KMS使用可配置的密码算法，以便系统可以快速地从一种算法或模式迁移到另一种算法或模式。密码算法的初始默认集是从联邦信息处理标准(FIPS批准的算法)中选择的，因为它们的安全属性和性能。

还包括：

HSA中使用的所有对称密钥加密命令都使用高级加密标准(AES)，在Galois计数器模式(GCM)中使用256位密钥。对解密的类似调用使用反函数。

生成DK之后，您自己执行加密和解密，使用所需的算法和标准(这是上面图像顶部的加密算法)。但是今天您可以生成的惟一类型的DK是AES，您只能选择需要128位还是256位(文档)。

为了完整起见，当您导入一个主密钥时，通常使用包好你的关键材料 (2048-bit)。

Answer 2

AWS在Galois/计数器模式(GCM)中使用高级加密标准(AES)算法，称为AES-GCM，它与256位密钥(从KMS 文档复制)一起使用该算法。