Почему функция дешифрования Java SDK AWS KMS не требует контекста шифрования?

Из описания AWS

Когда контекст шифрования предоставляется в запросе на шифрование, он криптографически привязан к зашифрованному тексту, так что тот же контекст шифрования требуется для дешифрования (или дешифрования и повторного шифрования) данных. Если контекст шифрования, указанный в запросе дешифрования, не является точным совпадением с учетом регистра, запрос дешифрования не выполняется. Может изменяться только порядок пар контекста шифрования.

Однако в примере кода JAVA SDK, в нем не указывается контекст шифрования при расшифровке.

crypto.decryptString (пров, зашифрованный текст);

Эти два сообщения кажутся мне немного противоречивыми, поскольку я думаю, что пользователь дешифрования должен предоставить контекст шифрования самостоятельно. Я проверил исходный код AwsCrypto.decryptString(final CryptoMaterialsManager provider, final String ciphertext)) в sdk, и кажется, что контекст шифрования также содержится в зашифрованном тексте.

Могу я узнать, почему это так?


java encryption amazon-web-services aws-kms
person David    schedule 19.02.2019    source источник
comment
В этом примере используется AWS Encryption SDK, а не Java SDK. Java SDK принимает контекст шифрования как часть запроса на дешифрование, как вы можете видеть здесь   -  person kdgregory    schedule 19.02.2019
comment
спасибо, что указали на это. Эти двое меня сбили с толку. Кажется, что зашифрованный результат, возвращаемый из encryption sdk, отличается от зашифрованного результата из Java SDK с использованием объекта EncryptRequest. Могу я узнать, есть ли у вас какие-нибудь сведения, почему существует такая разница?   -  person David    schedule 19.02.2019

Ответы (1)


arrow_upward
0
arrow_downward

После некоторого исследования я обнаружил, что есть как минимум два способа выполнить шифрование и дешифрование. Просто разместите их здесь, если кому-то интересно. Написано на котлине.

class AwsEncryptionSDKWrapper(private val keyIdArn: String, region: String) {
    private val crypto = AwsCrypto()
    private val prov: KmsMasterKeyProvider = KmsMasterKeyProvider.builder().withDefaultRegion(region).withKeysForEncryption(keyIdArn).build()

    fun encrypt(raw: String, encryptionContext: Map<String, String>): String {
        return crypto.encryptString(prov, raw, encryptionContext).result
    }

    fun decrypt(cipherText: String, encryptionContext: Map<String, String>): String {
        val decryptedResponse = crypto.decryptString(prov, cipherText)
        if (decryptedResponse.masterKeyIds[0] != keyIdArn) {
            throw IllegalStateException("Wrong key ID!")
        }

        encryptionContext.entries.forEach { (key, value) ->
            if (value != decryptedResponse.encryptionContext[key]) {
                throw IllegalStateException("Wrong Encryption Context!")
            }
        }
        return decryptedResponse.result
    }
}

class AwsKMSSDKWrapper(region: String) {
    private val client = AWSKMSClientBuilder.standard().withRegion(region).build()

    fun encrypt(keyIdArn: String, raw: String, encryptionContext: Map<String, String>): String {
        val plaintextBytes = raw.toByteArray(StandardCharsets.UTF_8)

        val encReq = EncryptRequest()
        encReq.keyId = keyIdArn
        encReq.plaintext = ByteBuffer.wrap(plaintextBytes)
        encReq.withEncryptionContext(encryptionContext)
        val cipherText = client.encrypt(encReq).ciphertextBlob

        return Base64.getEncoder().encodeToString(cipherText.array())
    }

    fun decrypt(base64CipherText: String, encryptionContext: Map<String, String>, keyIdArn: String): String {
        val req = DecryptRequest()
            .withCiphertextBlob(ByteBuffer.wrap(Base64.getDecoder().decode(base64CipherText)))
            .withEncryptionContext(encryptionContext)

        val resp = client.decrypt(req)
        if (resp.keyId == null || resp.keyId!!.contentEquals(keyIdArn))  throw IllegalStateException("keyid not match ! provided $keyIdArn, actual ${resp.keyId}");

        return resp.plaintext.array().toString(StandardCharsets.UTF_8)
    }
}

Особая благодарность @kdgregory за указание на мое замешательство.

person David    schedule 19.02.2019