Конвертное шифрование
Что такое Конвертное шифрование?
Конвертное шифрованиеСхема, в которой объёмные данные шифруются быстрым ключом данных, а сам этот ключ шифруется (оборачивается) мастер-ключом, хранящимся в KMS или HSM.
Конвертное шифрование (envelope encryption) разделяет массовое симметричное шифрование и хранение ключей. Для каждого объекта генерируется новый ключ данных (DEK, обычно AES-256), которым шифруется содержимое; затем DEK шифруется долгоживущим ключом шифрования ключей (KEK), или мастер-ключом, который никогда не покидает KMS или HSM. Рядом с шифротекстом сохраняется только обёрнутый DEK; для расшифровки требуется вызов KMS, который под контролем IAM разворачивает DEK. Это даёт быстрое локальное шифрование, отдельные ключи на арендатора или запись, дешёвую ротацию (повторное оборачивание DEK без перешифровки данных) и прозрачный аудит. На этом принципе построены AWS KMS, Google Cloud KMS, S3 SSE-KMS и большинство облачных схем шифрования.
● Примеры
- 01
AWS KMS GenerateDataKey возвращает открытый DEK и его обёрнутую в KMS версию.
- 02
Google Cloud Storage CMEK использует конвертное шифрование с управляемыми клиентом KEK.
● Частые вопросы
Что такое Конвертное шифрование?
Схема, в которой объёмные данные шифруются быстрым ключом данных, а сам этот ключ шифруется (оборачивается) мастер-ключом, хранящимся в KMS или HSM. Относится к категории Криптография в кибербезопасности.
Что означает Конвертное шифрование?
Схема, в которой объёмные данные шифруются быстрым ключом данных, а сам этот ключ шифруется (оборачивается) мастер-ключом, хранящимся в KMS или HSM.
Как защититься от Конвертное шифрование?
Защита от Конвертное шифрование обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Конвертное шифрование?
Распространённые альтернативные названия: Wrapped-key encryption, Схема DEK/KEK.