Quais são os benefícios da criptografia de envelope?

A criptografia de envelope é a prática de criptografar dados com uma DEK e, em seguida, criptografar a DEK com uma chave raiz que você pode gerenciar totalmente. Nesse caso, as CMKs não são necessárias para criptografia ou descriptografia.

Benefícios:

• Vantagens em relação à criptografia de CMK no KMS

  Os usuários podem usar CMKs para criptografar e descriptografar dados no console do KMS ou chamando APIs do KMS.

  Uma CMK não pode criptografar e descriptografar dados com mais de 4 KB. Um envelope pode criptografar e descriptografar volumes maiores de dados.

  Os dados criptografados usando envelopes não precisam ser transferidos. Somente as DEKs precisam ser transferidas para o servidor do KMS.

• Vantagens em relação à criptografia usando serviços em nuvem
  • Segurança

    Os dados transferidos para a nuvem para criptografia estão expostos a riscos como interceptação e phishing.

    Durante a criptografia do envelope, o KMS usa Módulos de segurança de hardware (HSMs) para proteger as chaves. Todas as CMKs são protegidas por chaves raiz nos HSMs para evitar vazamento de chaves.

  • Confiabilidade

    Você vai se preocupar com a segurança dos dados na nuvem. Também é difícil para os serviços em nuvem provar que nunca fazem uso indevido ou divulgam esses dados.

    Se você escolher a criptografia de envelope, o KMS controlará o acesso a chaves e registrará todos os usos e operações de chaves com logs rastreáveis, atendendo aos requisitos de conformidade normativa e de auditoria.

  • Desempenho e custo

    Para criptografar ou descriptografar dados usando um serviço de nuvem, você precisa enviar os dados para o servidor de criptografia e receber os dados processados. Esse processo afeta seriamente o desempenho do seu serviço e incorre em altos custos.

    A criptografia de envelope permite gerar DEKs on-line chamando APIs de algoritmo criptográfico do KMS e criptografar uma grande quantidade de dados locais com as DEKs.