「非對稱式加密」的程序是使用公開/私密金鑰組中的公開金鑰加密明文,然後使用對應的私密金鑰解密密文。非對稱式加密依賴非對稱式密碼編譯,也稱為公開金鑰密碼編譯。
另一方面,對稱式加密會使用相同的金鑰來加密與解密資料。
非對稱式加密工作流程
以下說明使用非對稱金鑰加密和解密資料的流程。此工作流程中的兩個參與者分別是傳送者與接收者。傳送者使用接收者的公開金鑰建立密文,然後接收者使用接收者的私密金鑰解密密文。 只有知道私密金鑰的使用者才能解密密文。
傳送者擷取接收者的公開金鑰。
傳送者使用公開金鑰加密明文。
傳送者將密文傳送至接收者。
接收者使用接收者的私密金鑰解密密文。現在,接收者可以查看明文。
非對稱式加密的使用案例範例
非對稱式加密僅支援非常小的明文,因此,非對稱式加密通常用於加密金鑰,而非大量資料。例如,您可以使用非對稱式加密做為信封式加密的變化形式。在此情境中,可以存取公開金鑰的任何使用者都可以加密資料加密金鑰 (DEK)。然後,只有 Cloud KMS 才能代表非對稱金鑰的擁有者解密已加密的 DEK。
非對稱式加密演算法
Cloud Key Management Service 支援非對稱式加密的 RSA 演算法。RSA 是一個業界標準演算,可讓您選擇金鑰大小與摘要演算法。RSA 密碼編譯依賴於將一個大整數分解成兩個或多個因數的難度。金鑰大小越大,分解整數就越困難。
Cloud KMS 非對稱式加密功能
Cloud KMS 提供非對稱式加密的下列相關功能。
建立非對稱金鑰,且金鑰用途為
ASYMMETRIC_DECRYPT。如要瞭解 Cloud KMS 支援的演算法,請參閱非對稱式加密演算法。針對非對稱金鑰擷取公開金鑰的功能。您可以使用公開金鑰來加密資料。Cloud KMS 無法讓您直接以不對稱的方式加密資料。您可以使用開放大眾使用的 SDK 和工具加密資料,例如 OpenSSL。這些 SDK 和工具需要您從 Cloud KMS 擷取的公開金鑰。
使用非對稱金鑰解密資料的功能。