当前位置: 代码迷 >> java >> 为什么AWS KMS的Java SDK的解密功能不需要加密上下文?
  详细解决方案

为什么AWS KMS的Java SDK的解密功能不需要加密上下文?

热度:56   发布时间:2023-08-02 11:02:22.0

问题描述

当在加密请求中提供加密上下文时,它将加密方式绑定到密文,因此需要相同的加密上下文才能解密(或解密和重新加密)数据。 如果解密请求中提供的加密上下文不是完全区分大小写的匹配,则解密请求将失败。 仅加密上下文对的顺序可以变化。

但是, ,它在解密时未指定加密上下文。

crypto.decryptString(prov,密文);

这两篇文章对我来说有点矛盾,因为我认为解密用户需要自己提供加密上下文。 我在sdk中检查了AwsCrypto.decryptString(final CryptoMaterialsManager provider, final String ciphertext))的源代码,并且似乎加密文本中也包含了加密上下文。

我可以知道为什么这样设置吗?

1楼

经过研究,我发现至少有两种方法可以执行加密和解密。 如果有人感兴趣,只需将其发布在这里。 它用kotlin编写。 

class AwsEncryptionSDKWrapper(private val keyIdArn: String, region: String) {
    private val crypto = AwsCrypto()
    private val prov: KmsMasterKeyProvider = KmsMasterKeyProvider.builder().withDefaultRegion(region).withKeysForEncryption(keyIdArn).build()

    fun encrypt(raw: String, encryptionContext: Map<String, String>): String {
        return crypto.encryptString(prov, raw, encryptionContext).result
    }

    fun decrypt(cipherText: String, encryptionContext: Map<String, String>): String {
        val decryptedResponse = crypto.decryptString(prov, cipherText)
        if (decryptedResponse.masterKeyIds[0] != keyIdArn) {
            throw IllegalStateException("Wrong key ID!")
        }

        encryptionContext.entries.forEach { (key, value) ->
            if (value != decryptedResponse.encryptionContext[key]) {
                throw IllegalStateException("Wrong Encryption Context!")
            }
        }
        return decryptedResponse.result
    }
}

class AwsKMSSDKWrapper(region: String) {
    private val client = AWSKMSClientBuilder.standard().withRegion(region).build()

    fun encrypt(keyIdArn: String, raw: String, encryptionContext: Map<String, String>): String {
        val plaintextBytes = raw.toByteArray(StandardCharsets.UTF_8)

        val encReq = EncryptRequest()
        encReq.keyId = keyIdArn
        encReq.plaintext = ByteBuffer.wrap(plaintextBytes)
        encReq.withEncryptionContext(encryptionContext)
        val cipherText = client.encrypt(encReq).ciphertextBlob

        return Base64.getEncoder().encodeToString(cipherText.array())
    }

    fun decrypt(base64CipherText: String, encryptionContext: Map<String, String>, keyIdArn: String): String {
        val req = DecryptRequest()
            .withCiphertextBlob(ByteBuffer.wrap(Base64.getDecoder().decode(base64CipherText)))
            .withEncryptionContext(encryptionContext)

        val resp = client.decrypt(req)
        if (resp.keyId == null || resp.keyId!!.contentEquals(keyIdArn))  throw IllegalStateException("keyid not match ! provided $keyIdArn, actual ${resp.keyId}");

        return resp.plaintext.array().toString(StandardCharsets.UTF_8)
    }
}

感谢@kdgregory指出我的困惑。

  相关解决方案

代码迷 - 您身边的软件异常,代码异常,编程异常助手(发现,解决,分享)
Copyright © 2009-2013 DAIMAMI.COM. All rights reserved.