数据加密服务 DEW
数据加密服务 DEW
- 最新动态
- 功能总览
- 产品介绍
- 计费说明
- 快速入门
- 用户指南
- 最佳实践
- API参考
- SDK参考
- 场景代码示例
-
常见问题
-
密钥管理类
- 什么是密钥管理?
- 什么是用户主密钥?
- 什么是默认密钥?
- 自定义密钥与默认密钥有什么区别?
- 什么是数据加密密钥?
- 为什么不能立即删除用户主密钥?
- 哪些云服务使用KMS加密数据?
- 华为云服务如何使用KMS加密数据?
- 信封加密方式有什么优势?
- 在KMS中创建的自定义密钥的个数是否有限制?
- 是否可以从KMS中导出用户主密钥?
- 如果自定义密钥被彻底删除,用户数据是否还可以解密?
- 如何使用在线工具加解密数据?
- 是否可以更新KMS管理的密钥?
- 在什么场景下推荐使用导入的密钥?
- 密钥材料被意外删除时如何处理?
- 默认密钥如何生成?
- 没有权限操作KMS,该如何处理?
- 如何修补OpenSSL以使用-id-aes256-wrap-pad包装非对称密钥?
- 如何修补GmSSL以使用-sms4-wrap-pad包装非对称密钥?
- KMS支持的密钥算法类型
- 请求KMS异常,错误码401,应该如何处理?
- 进行SM2签名时,如何计算SM3摘要?
- 调用encrypt-data接口,返回的密文和明文有什么关系?
- KMS如何保护创建的密钥?
- 如何使用非对称密钥对公钥对签名结果进行验签?
- 外部导入的密钥支持轮转吗?
- 密钥管理服务支持离线加解密数据吗?
- 为什么SM2算法签名结果不是64字节?
- 如何将原始EC私钥转换成PKCS8格式的私钥对象?
- 如何将原始SM2私钥转换成PKCS8格式的私钥对象?
- 凭据管理类
-
密钥对管理类
- 密钥对的配额是多少?
- 如何创建密钥对?
- 什么是私有密钥对和账号密钥对?
- 导入通过PuTTYgen工具创建的密钥对失败如何处理?
- 使用IE9浏览器无法导入密钥对如何处理?
- 如何使用私钥登录Linux弹性云服务器?
- 如何通过私钥获取Windows弹性云服务器的登录密码?
- 绑定密钥对失败如何处理?
- 替换密钥对失败如何处理?
- 重置密钥对失败如何处理?
- 解绑密钥对失败如何处理?
- 替换密钥对后,服务器需要重启吗?
- 关闭弹性云服务器的密码登录方式后如何重新开启?
- 解绑密钥对后用户无法登录ECS时如何处理?
- 私钥不慎遗失怎么办?
- 如何转换私钥文件格式?
- 密钥对在创建主机成功之后可以更改吗?
- 密钥对是否支持多用户共享?
- 如何获取密钥对的私钥或公钥文件?
- 账号密钥首次创建、首次升级时系统报错如何处理?
- 私有密钥对升级账号密钥对后,会占用账号密钥对配额吗?
- 用户联邦身份登录时,私有密钥对升级账号密钥对之后,为什么私有密钥对会不可见?
- 专属加密类
- 计费类
- 通用类
-
密钥管理类
- 视频帮助
- 文档下载
- 通用参考
本文导读
展开导读
链接复制成功!
密钥管理服务支持离线加解密数据吗?
正常来说,密钥管理服务提供小数据加解密的公开API“encrypt-data”和“decrypt-data”。该接口的运算基于密钥管理服务,密钥管理服务对密文进行一定的包装。因此是不支持离线加解密数据的。
但是针对非对称密钥场景,密钥管理服务遵从通用规范,不会对密文进行重新包装。因此是支持公钥离线加密,私钥在线解密的。
本文提供如下示例:
使用RSA_3072主密钥,密钥用途为ENCRYPT_DECRYPT。使用公钥离线加密"hello world!",调用decrypt-data使用私钥进行解密,加解密使用的算法为"RSA/ECB/OAEPWithSHA-256AndMGF1Padding":
public class RsaEncryptDataExample { /** * 基础认证信息: * - ACCESS_KEY: 华为云账号Access Key,获取方式请参见获取AK/SK。 * - SECRET_ACCESS_KEY: 华为云账号Secret Access Key, 敏感信息,建议密文存储,获取方式请参见获取AK/SK。 * - IAM_ENDPOINT: 华为云IAM服务访问终端地址,获取方式请参见IAM终端节点。 * - KMS_REGION_ID: 华为云KMS支持的地域,,获取方式请参见地区和终端节点。 * - KMS_ENDPOINT: 华为云KMS服务访问终端地址,获取方式请参见终端节点。 * - 认证用的ak和sk直接写到代码中有很大的安全风险,建议在配置文件或者环境变量中密文存放,使用时解密,确保安全。 * - 本示例以ak和sk保存在环境变量中来实现身份验证为例,运行本示例前请先在本地环境中设置环境变量HUAWEICLOUD_SDK_AK和HUAWEICLOUD_SDK_SK。 */ private static final String ACCESS_KEY = System.getenv("HUAWEICLOUD_SDK_AK"); private static final String SECRET_ACCESS_KEY = System.getenv("HUAWEICLOUD_SDK_SK"); private static final String IAM_ENDPOINT = "https://<IamEndpoint>"; private static final String KMS_REGION_ID = "<RegionId>"; private static final String KMS_ENDPOINT = "https://<KmsEndpoint>"; private static final String RSA_PUBLIC_KEY_BEGIN = "-----BEGIN PUBLIC KEY-----\n"; private static final String RSA_PUBLIC_KEY_END = "-----END PUBLIC KEY-----"; private static final String RSAES_OAEP_SHA_256 = "RSA/ECB/OAEPWithSHA-256AndMGF1Padding"; private static final String SHA_256 = "SHA-256"; private static final String MGF1 = "MGF1"; private static final String HELLO_WORLD = "hello world!"; public static void main(String[] args) throws Exception { final String keyId = args[0]; publicKeyEncrypt(keyId); } private static void publicKeyEncrypt(String keyId) throws NoSuchAlgorithmException, InvalidKeySpecException, NoSuchPaddingException, InvalidAlgorithmParameterException, InvalidKeyException, IllegalBlockSizeException, BadPaddingException { // 1.准备访问华为云的认证信息 final BasicCredentials auth = new BasicCredentials() .withIamEndpoint(IAM_ENDPOINT).withAk(ACCESS_KEY).withSk(SECRET_ACCESS_KEY); // 2.初始化SDK,传入认证信息及KMS访问终端地址 final KmsClient kmsClient = KmsClient.newBuilder() .withRegion(new Region(KMS_REGION_ID, KMS_ENDPOINT)).withHttpConfig(new HttpConfig() .withIgnoreSSLVerification(true)).withCredential(auth).build(); // 3.获取公钥信息,返回的是PKCS8格式 final ShowPublicKeyRequest showPublicKeyRequest = new ShowPublicKeyRequest() .withBody(new OperateKeyRequestBody().withKeyId(keyId)); final ShowPublicKeyResponse showPublicKeyResponse = kmsClient.showPublicKey(showPublicKeyRequest); // 4.获取公钥字符串 final String publicKeyStr = showPublicKeyResponse.getPublicKey().replace(RSA_PUBLIC_KEY_BEGIN, "") .replaceAll("\n", "").replace(RSA_PUBLIC_KEY_END, ""); // 5.获取公钥二进制 final X509EncodedKeySpec keySpec = new X509EncodedKeySpec(Base64.getDecoder().decode(publicKeyStr)); final KeyFactory keyFactory = KeyFactory.getInstance("RSA", new BouncyCastleProvider()); final PublicKey publicKey = keyFactory.generatePublic(keySpec); // 6.公钥离线加密字符串"hello world!" final Cipher cipher = Cipher.getInstance(RSAES_OAEP_SHA_256); final OAEPParameterSpec oaepParameterSpec = new OAEPParameterSpec(SHA_256, MGF1, new MGF1ParameterSpec(SHA_256), PSource.PSpecified.DEFAULT); cipher.init(Cipher.ENCRYPT_MODE, publicKey, oaepParameterSpec); final byte[] cipherData = cipher.doFinal(HELLO_WORLD.getBytes(StandardCharsets.UTF_8)); // 7.私钥在线解密 final DecryptDataRequest decryptDataRequest = new DecryptDataRequest() .withBody(new DecryptDataRequestBody().withKeyId(keyId) .withEncryptionAlgorithm(DecryptDataRequestBody.EncryptionAlgorithmEnum.RSAES_OAEP_SHA_256) .withCipherText(Base64.getEncoder().encodeToString(cipherData))); final DecryptDataResponse decryptDataResponse = kmsClient.decryptData(decryptDataRequest); assert HELLO_WORLD.equals(decryptDataResponse.getPlainText()); } }
父主题: 密钥管理类