AWS KMS misma clave para cada solicitud

1

He estado intentando usar KMS para almacenar datos personales confidenciales. Generamos un CMK y estamos usando la API / Encrypt over https. La idea era almacenar la información de inicio de sesión (correos electrónicos) utilizando KMS, estamos usando una contraseña sin autenticación (JWT). Estos datos de correo electrónico podrían descodificarse potencialmente si alguna característica lo requiere, pero ese no es el problema aquí.

Sé que cifrar la misma entrada utilizando el cifrado de sobre me dará un resultado diferente cada vez, por lo tanto, las claves cifradas deben almacenarse junto con el resultado cifrado, pero quiero hacer una comparación de una manera para permitir inicios de sesión seguros. p>

Necesito que KMS use la misma clave (por lo tanto, ¿no es correcto el cifrado del sobre?) para cada llamada cifrada para que pueda comparar los resultados cifrados. ¿Es esto algo que se puede hacer usando KMS? ¿Debo generar manualmente una clave y almacenarla de forma segura en CMK para permitir esto o puedo usar una clave generada por KMS? He leído todas las documentaciones de KMS, pero todavía está un poco borrosa y no puedo encontrar una fuente decente que explique claramente todo esto. Mi PoC claramente devuelve un resultado diferente cada vez.

Sinceramente espero que esté haciendo la pregunta en el lugar correcto, no creo que sea adecuado para SO. Gracias!

    
pregunta Narcil 12.04.2017 - 13:21
fuente

1 respuesta

1

KMS utiliza el cifrado de sobres. La clave de cifrado cambia cada vez que realiza una solicitud de una clave.

Si necesita una clave que no varíe, deberá administrar su propio cifrado.

    
respondido por el Tim 12.04.2017 - 22:20
fuente

Lea otras preguntas en las etiquetas