Асимметричная ключевая пара шифрования в KMS
Асимметричная ключевая пара шифрования состоит из двух частей: открытого ключа шифрования (Public key) и закрытого ключа шифрования (Private key). Открытый ключ используется для шифрования, закрытый — для расшифрования.
Key Management Service позволяет выгружать открытый ключ для шифрования текста на стороне клиента. Расшифровать такой текст в KMS можно с использованием закрытого ключа. Получить прямой доступ к закрытому ключу в KMS нельзя.
Каждая ключевая пара соответствует одному ключу в квотах KMS.
Параметры ключевой пары шифрования
Для ключевой пары шифрования KMS доступны следующие параметры:
-
Идентификатор — уникальный идентификатор ключевой пары в Yandex Cloud. Используется для работы с ключевыми парами с помощью SDK, API и CLI.
-
Имя — имя ключевой пары, неуникально и может быть использовано для работы с ключевыми парами с помощью CLI, если в каталоге только одна ключевая пара с таким именем.
-
Алгоритм шифрования – алгоритм, используемый для шифрования. Поддерживаются следующие алгоритмы асимметричного шифрования:
rsa-2048-enc-oaep-sha-256
;rsa-3072-enc-oaep-sha-256
;rsa-4096-enc-oaep-sha-256
.
-
Статус — текущее состояние ключевой пары. Возможные статусы:
Creating
— ключевая пара создается.Active
— ключевая пара может использоваться для шифрования и расшифрования.Inactive
— ключевая пара не может использоваться.
Изменить статус ключевой пары с
Active
наInactive
и обратно можно вызовом gRPC API AsymmetricEncryptionKeyService/Update.
Использование ключевой пары шифрования
Асимметричную ключевую пару шифрования можно использовать в операциях шифрования и расшифрования данных при наличии определенных ролей. Вы можете временно заблокировать операции с использованием ключевой пары, отозвав роли или изменив ее статус на Inactive
. Подробнее читайте в разделе Управление доступом в Key Management Service.
Удаление ключевой пары шифрования
Удаление ключевой пары шифрования или родительского ресурса (каталога или облака), в котором содержалась ключевая пара, приводит к уничтожению содержащегося в нем криптографического материала. После этого вы не сможете расшифровать данные, зашифрованные открытым ключом ключевой пары.