什么是信封加密?
信封加密是类似数字信封技术的一种加密手段。这种技术将加密数据的数据密钥封入信封中存储、传递和使用,不再使用用户主密钥(CMK)直接加密和解密数据。
为什么使用信封加密?
信封加密使用对称加密AES+非对称加密RSA两种实现,使用RSA加密AES算法的Key,并将Key与一并存储或传输,密文+加密的AES Key就形象比喻为信封。
信封加密用于加密大量数据的场景,由于RSA加密的长度不允许超过RSA Key长度(通常RSA Key长度为1024/2048/4096 bit),因此对于大文件加密的场景,如图片/视频/文本等,需要使用对称加密算法。对称加密算法的Key在网路或组织之间传输存在泄露风险,因此使用RSA非对称算法加密对称密钥的Key,可以保证Key的安全传输。
加密和解密本地文件
加密流程
-
通过安当KSP创建一个用户CMK。
-
调用generate-data-key接口生成数据密钥(一个明文数据密钥和一个密文数据密钥)。
-
使用明文数据密钥加密明文文件,产生密文文件。
-
将密文数据密钥和密文文件一同存储到设备或者服务中。
解密流程
-
从存储设备中取得数据密钥密文和密文文件
-
用户本地产生RSA密钥对
-
调取export-data-key接口将RSA公钥和数据密钥密文传入,取得被用户公钥加密后的数据密钥
-
用户本地使用私钥解密公钥加密后的数据密钥,获取数据密钥明文
-
使用数据密钥明文解密密文文件获得明文文件
