我意识到 AWS 现在在少数地区的 KMS 中提供非对称密钥。我的问题是,根据此页面链接:https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-choose.html,可以使用公钥加密的数据大小有限制(几乎不是 470 字节)。我的理解对吗?
我的计划是在 KMS 中创建一对公钥/私钥,然后与我的来源(恰好是另一家公司)共享公钥。当我从他们那里收到加密文件时,我的计划是使用私钥来解密文件!
好像如果KMS支持的长度是470字节,我就不能使用AWS提供的非对称密钥功能了!!
谢谢, 瑞安丹
【问题讨论】:
标签: amazon-web-services encryption-asymmetric
可以使用公钥加密的数据大小是有限制的(几乎是 470 字节)。我的理解对吗?
确实如此。非对称密钥 (RSA) 不适用于加密内容本身(它非常耗费性能且速度很慢)。您应该使用 PKI 和 hybrid encrption。
这不是 AWS KMS 的限制,而是安全 RSA 使用的限制。
这个想法是 - 您可以使用随机对称密钥(数据加密密钥)对内容进行加密,并使用您生成的公钥加密对称密钥。此加密密钥需要随密文一起发送。对称密钥的共同长度为 128 或 256 位。
请注意文档kms importing-keys - 您可以在 KMS 中创建密钥对,但不能导入它。这样,私钥就不会离开 KMS。
【讨论】:
GPG (gnupg.org)。我不明白的是,GPG 生成的公钥/私钥可用于加密/解密任何卷的文件。但是,AWS 生成的非对称密钥对大小施加了限制!我错过了一些东西!
PG can be used to encrypt/decrypt files of any volumes 不正确 - 该限制是任何非对称加密所固有的。甚至 GPG 在底层也使用混合密码系统(参见 security.stackexchange.com/questions/161997/…)。基本上,非对称密钥实际上从未用于加密或签署真实内容(它不安全,搜索明文 RSA)。它附带强制使用适当的填充。