AWS KMS 如何确定解密时使用哪个密钥？

Question

我对如何 aws-kms select 使用哪个密钥解密密文感到困惑？

调用解密方法时，没有提供密钥信息。

Answer 1

加密时，KMS将CMK信息作为元数据存储在密文blob（CiphertextBlob：Ciphertext including metadata）中。因此在调用 decrypt 时，KMS 知道使用哪个 CMK。

更多详细信息：https://d1.awsstatic.com/whitepapers/aws-kms-best-practices.pdf https://docs.aws.amazon.com/cli/latest/reference/kms/encrypt.html

Answer 2

如果您查看两个不同 --plaintext 的 CiphertextBlob 输出（如下所示），您可以观察到一定是某种元数据的模式。不确定是否记录了此元数据。

aws kms encrypt --key-id <my-key> --plaintext first-text --query "CiphertextBlob"  --output text  >> encryption_outputs.out
aws kms encrypt --key-id <my-key> --plaintext second-text --query "CiphertextBlob"  --output text  >> encryption_outputs.out
cat encryption_outputs.out 
AQICAHiHuhOJgMFOzLCxr9JLvFbwcvLJ1ujdFhqufo6u+0DOZAFcwvj+uW9S0ogPZqWnn2o0AAAAaDBmBgkqhkiG9w0BBwagWTBXAgEAMFIGCSqGSIb3DQEHATAeBglghkgBZQMEAS4wEQQMKCO7GDmhCkqkISldAgEQgCXJaFxGsprON7JHfoLWFXM/VVg9tv76Ndp9ABZ5zd8VOlK2rtPK
AQICAHiHuhOJgMFOzLCxr9JLvFbwcvLJ1ujdFhqufo6u+0DOZAGMZIUoMTRnPxLZLGx/cD7fAAAAaTBnBgkqhkiG9w0BBwagWjBYAgEAMFMGCSqGSIb3DQEHATAeBglghkgBZQMEAS4wEQQMmXxBMotXpz0dByd5AgEQgCayx6uiIjJopXsHOeGWAvC5i83CLnp1M7gAVYPQck8lEPtykghR7Q==

AWS KMS 如何确定解密时使用哪个密钥？

How AWS KMS determine which key to use when decrypt?

amazon-web-services

security

aws-kms