概述

最近更新时间:2020-03-18 09:16:31

非对称加密提供一对密钥:公钥和私钥;使用公钥加密的内容无法使用公钥进行解密,必须使用其对应的私钥才能解密。在数据通信场景中相对于对称加密具有更好的安全性,通常应用于信任等级不对等的系统之间,对于需要进行较小的敏感数据传递的场景,可以考虑使用非对称密钥进行数据加密。

非对称密钥的类型

KMS 支持的非对称密钥算法类型为:

RSA

目前 KMS 支持模长为2048比特的 RSA 密钥,KeyUsage = ASYMMETRIC_DECRYPT_RSA_2048

SM2

SM2 是国密标准的公钥密钥算法,在中国的商用密码体系中被用来替换 RSA 算法。对于有相应的国密要求的应用,可以考虑使用此类型的密钥,KeyUsage = ASYMMETRIC_DECRYPT_SM2

非对称加密的典型场景

非对称加密在保密通讯场景中具有广泛的应用,通讯有三个主要的参与方:信息发送者,信息接收者和传输介质。主要包括以下几个步骤:

  1. 信息接收者创建公钥私钥对,并将公钥给到一个或多个信息发送者。
  2. 信息发送者使用公钥对敏感信息进行加密,并将加密后的密文通过传输介质发送给信息接收者。
  3. 信息接收者从传输介质上获取到数据后,用自己持有的私钥对信息进行解密,还原出原始信息。

由于密文只有通过私钥才可以解密,而私钥是不公开的,所以即使由于传输介质的安全性比较低而导致信息泄露,拿到密文的人也无法将其破译,从而保证了敏感信息的安全。这种数据加密传递的方式通常用于密钥交换的场景。

由于公私钥使用场景的特殊性,KMS 不支持对非对称的 CMK 进行自动轮转。如果您需要定期或不定期的更新所使用的密钥,可以自行创建新的非对称密钥。