如何下载加密的s3对象而不进行解密？

Question

我使用服务器端加密和客户提供的加密密钥(SSE)来存储一些文件。我想下载，但还没有解密。用例有点像“权力的游戏”的结局。我希望有线电视运营商有数据，但在最后一秒钟给他们钥匙。但是，当文件被加密时，解密头是强制性的。也许我可以切换文件被加密的标记？

Answer 1

对于这个应用程序，您不会使用SSE的任何变体。

SSE防止您的内容存储在S3的内部磁盘上，在这种形式下，那些物理磁盘或它们的原始字节(无论多么不可能)发生意外或故意的破坏，都会将您的内容暴露给未经授权的人员。从根本上说，这就是SSE的所有品种的目的。变体的中心是如何管理密钥。

服务器端加密是关于rest的数据加密，也就是说，亚马逊S3在将数据写入其数据中心的磁盘时，在对象级别对数据进行加密，并在访问数据中心时为您解密。 https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html

SSE由S3解密，并在下载过程中使用TLS临时重新加密，以便在网络上传输。客户手中的最终结果是未加密的。

对于所描述的应用程序，您只需将加密的内容上传到S3，而不需要S3知道(外部的、已经应用的)加密。

如果您还使用了某种SSE，这将与您也将应用的外部加密无关。可以说，如果上传前已经对内容进行了加密，SSE就会有些冗余。

事实上，在所述的应用程序中，根据内容的敏感性和价值，每个接收方可能有不同的密钥和/或略有不同的源文件(因此，加密的文件大不相同)，因此可以通过识别哪个源变体被破坏来识别泄漏源。