Использует ли AWS KMS шифрование конверта?

Question

Максимальный размер данных для шифрования, разрешенный для AWS KMS, составляет 4 КБ, поэтому всякий раз, когда мы используем шифрование в AWS сервисах / ресурсах, выполняется ли шифрование с использованием шифрования конверта? , т.е. данные шифруются на самой стороне ресурса с помощью ключа, а ключ шифруется другим ключом (cmk) и сохраняется вместе с данными, а дешифрование происходит в порядке, обратном вышеуказанным шагам. Я правильно понимаю ??

Answer 1

Обычно CMK не используется для шифрования данных, которые вы хотите зашифровать.

Несмотря на то, что ограничение в 4 КБ является вопросом мнения, ключи шифрования данных обеспечивают более безопасный подход к шифрованию данных.

Поскольку каждый ресурс может иметь свой собственный ключ шифрования данных, снижается риск расшифровки всех ваших ресурсов, если один ключ шифрования будет скомпрометирован (фактически, если это произойдет, KMS поддерживает повторное шифрование для генерации новых данных key).

То, что вы описываете, подходит для реализации KMS S3. Зашифрованный ключ в кодировке Base64 хранится вместе с зашифрованным объектом. Для расшифровки S3 необходимо расшифровать ключ данных для объекта с помощью CMK, а затем использовать ключ шифрования расшифрованных данных для расшифровки объекта.

Другие службы будут иметь разные реализации, например DynamoDB делает это на на таблицу .

Для получения дополнительной информации о том, как каждая служба реализовала KMS, просмотрите Как AWS службы используют AWS KMS страницу

Answer 2

Наверное. По крайней мере, это верно для S3 :

Шифрование на стороне сервера защищает данные в состоянии покоя. Amazon S3 шифрует каждый объект уникальным ключом . В качестве дополнительной защиты он шифрует сам ключ с помощью главного ключа , который он регулярно меняет. При шифровании на стороне сервера Amazon S3 используется один из самых надежных блочных шифров, доступных для шифрования ваших данных, 256-битный расширенный стандарт шифрования (AES-256).