更新时间:2024-05-15 GMT+08:00
分享

密钥概述

用户主密钥包括自定义密钥和默认密钥。本章节涉及创建、查看、启用、禁用、计划删除、取消删除等操作均为自定义密钥。

自定义密钥可以通过创建副本密钥的方式实现跨区域使用。在不同区域生成密钥材料相同的副本密钥,便于在多个区域执行数据的加解密处理,提高业务效率。

自定义密钥分为“对称密钥”“非对称密钥”

对称密钥加密是最常用的数据加密保护方式。相比对称密钥加密,非对称密钥通常用于在信任程度不对等的系统之间,实现数字签名验签或者加密传递敏感信息。非对称密钥由一对公钥和私钥组成,互相关联,其中的公钥可以被分发给任何人,而私钥必须被安全的保护起来,只有受信任者可以使用。

使用非对称密钥生成数字签名以及验证签名:签名者将验签公钥分发给消息接收者,使用签名私钥,对数据产生签名,并将数据以及签名传递给消息接收者。消息接收者获得数据和签名后,使用公钥针对数据验证签名的合法性。

表1 KMS支持的密钥算法类型

密钥类型

算法类型

密钥规格

说明

用途

对称密钥

AES

  • AES_256

AES对称密钥

小量数据的加解密或用于加解密数据密钥。

对称密钥

SM4

  • SM4

国密SM4对称密钥

小量数据的加解密或用于加解密数据密钥。

摘要密钥

SHA

  • HMAC_256
  • HMAC_384
  • HMAC_512

SHA摘要密钥

  • 数据防篡改
  • 数据完整性校验

摘要密钥

SM3

  • HMAC_SM3

国密SM3摘要密钥

  • 数据防篡改
  • 数据完整性校验

非对称密钥

RSA

  • RSA_2048
  • RSA_3072
  • RSA_4096

RSA非对称密钥

小量数据的加解密或数字签名。

ECC

  • EC_P256
  • EC_P384

椭圆曲线密码,使用NIST推荐的椭圆曲线

数字签名

非对称密钥

SM2

  • SM2

国密SM2非对称密钥

小量数据的加解密或数字签名。

相关文档