使用 AWS KMS 托管的客户主密钥是否提供端到端加密？答案

【问题标题】：Does using an AWS KMS-managed customer master key provide end-to-end encryption?使用 AWS KMS 托管的客户主密钥是否提供端到端加密？
【发布时间】：2017-09-14 19:08:56
【问题描述】：

选项 1：如果我们 use an AWS KMS-managed customer master key (CMK)，是否提供端到端加密？

选项 2：或者，我们是否必须 use a client-side master key，以便只有客户端才能解密他们的数据？

【问题讨论】：

最好能获得有关您的用例的更多详细信息。是的，可以这样做，但是这样做你并没有获得信封加密的好处。此外，您正在通过网络发送未加密的数据（TLS 除外）。

标签： encryption amazon-s3

【解决方案1】：

更新：KMS 不是非对称的，但您可以使用信封加密从 CMK 生成数据密钥。密钥是在物理 HSM 上生成的，因此无法从外部访问。您只需担心对 CMK which you can achieve using IAM access control 的访问。

有关该机制如何工作的详细说明，请查看Envelope Encryption section on the KMS Cryptographic Details white paper。

因此，如果您只担心窃听可能是一个很好的解决方案。如果您正在寻找严格的端到端加密，您可能必须使用 KMS 也可以帮助您的非对称密钥。

【讨论】：

如果有人有权访问 CMK，那么他们不能解密使用该 CMK 加密的消息吗？我们只想让用户能够解密他们自己的消息（他们发送或接收的消息）。我们不想让 AWS 账户（根用户）或 AWS Support 解密任何用户的消息。
使用IAM 定义谁可以使用您的密钥。 AWS KMS 密钥生成在专用 HSA 上执行。您甚至可以使用 CloudTrail 了解谁在使用您的密钥。查看KMS FAQ。 The compliance in KMS is quite extensive too.
这不能回答我的问题。我想知道选项 1 是否允许我们这样做，以便只有用户可以解密他们自己的消息。是还是不是？请编辑您的答案，以便我更改投票。
并非如此。我们的问题是：是否可以使用选项1来实现end-to-end encryption，“只有通信用户可以阅读消息”？
仅使用来自 KMS 的客户端加密，没有。有权访问 CMK 的任何人都可以解密消息。如果您想确保您的用户只有他们可以阅读消息，请查看非对称加密选项。

【解决方案2】：

Aws kms 不存储它为您提供两个密钥的任何数据

1个普通密钥：在它的帮助下，您可以加密数据并删除它（密钥）（无需保存在任何地方）。

2.加密数据密钥：-您需要保存此密钥以解密数据（首先解密数据，您使用加密数据密钥从 aws 获得明文密钥）并在明文密钥的帮助下解密数据。

所以加密是在客户端完成的。

【讨论】：