Wie kann ich überprüfen, ob beim Aufrufen von AWS KMS-APIs eine authentifizierte Verschlüsselung mit zugehöriger Datenverschlüsselung verwendet wird?

Kurzbeschreibung

AWS KMS bietet einen Verschlüsselungskontext, den Sie verwenden können, um die Authentizität von AWS KMS-API-Aufrufen und die Integrität des von der AWS Entschlüsselungs-API zurückgegebenen Chiffretextes zu überprüfen.

Lösung

Um die Integrität der mit den AWS KMS-APIs verschlüsselten Daten zu überprüfen, übergeben Sie eine Reihe von Schlüssel-Wert-Paaren als Verschlüsselungskontext während der AWS KMS-Verschlüsselung und erneut, wenn Sie die Entschlüsselungs- oder ReEncrypt-APIs aufrufen. Wenn der Verschlüsselungskontext, den Sie an die Entschlüsselungs-API übergeben, mit dem Verschlüsselungskontext identisch ist, den Sie an die Verschlüsselungs- oder ReEncrypt-APIs übergeben, ist die Integrität des zurückgegebenen Chiffretextes geschützt.

Weitere Informationen zur Verwendung des Verschlüsselungskontextes zum Schutz der Integrität verschlüsselter Daten finden Sie im AWS-Sicherheitsblog So schützen Sie die Integrität Ihrer verschlüsselten Daten mithilfe von AWS KMS und EncryptionContext.