Yandex Cloud
  • Сервисы
  • Решения
  • Почему Yandex Cloud
  • Сообщество
  • Тарифы
  • Документация
  • Связаться с нами
Подключиться
Language / Region
Проект Яндекса
© 2023 ООО «Яндекс.Облако»
Yandex Key Management Service
  • Начало работы
  • Пошаговые инструкции
  • Концепции
  • Практические руководства
    • Все руководства
    • Шифрование данных
      • Какой способ шифрования выбрать?
      • Шифрование с помощью CLI и API Yandex Cloud
      • Шифрование с помощью SDK Yandex Cloud
      • Шифрование с помощью AWS Encryption SDK
      • Шифрование с помощью Google Tink
    • Шифрование секретов в Managed Service for Kubernetes
    • Управление ключами KMS с Hashicorp Terraform
    • Шифрование секретов в Hashicorp Terraform
    • Auto Unseal в Hashicorp Vault
  • Управление доступом
  • Правила тарификации
  • Справочник API
  • Вопросы и ответы
  • Обучающие курсы
  1. Практические руководства
  2. Шифрование данных
  3. Шифрование с помощью Google Tink

Шифрование данных с помощью Google Tink

Статья создана
Yandex Cloud
  • Добавление зависимости
  • Шифрование и расшифровка

Tink — это библиотека шифрования от Google, альтернатива AWS Encryption. Библиотека помогает сосредоточиться на задаче шифрования и расшифровки данных, не отвлекаясь на выбор правильного алгоритма и параметров шифрования.

Поддерживаются Java и Go версии клиентов для Tink, позволяющие шифровать и расшифровывать данные на ключах KMS Yandex Cloud. Данные шифруются по схеме envelope encryption (объем открытого текста не ограничен).

Добавление зависимости

Перед началом работы необходимо добавить зависимости.

Java
Go

Добавьте зависимости с помощью Apache Maven:

<dependency>
    <groupId>com.yandex.cloud</groupId>
    <artifactId>kms-provider-tink</artifactId>
    <version>2.6</version>
</dependency>

Выполните команду:

go get github.com/yandex-cloud/kms-clients-go/yckmstink

Шифрование и расшифровка

В коде используются следующие переменные:

  • endpoint – api.cloud.yandex.net:443.
  • credentialProvider или credentials– определяет способ аутентификации, подробнее читайте в разделе Аутентификация в SDK Yandex Cloud.
  • keyId – идентификатор ключа KMS.
  • plaintext – открытый текст.
  • ciphertext – шифртекст.
  • aad – AAD-контекст.
Java
Go

Создайте Aead-объект и используйте методы encrypt и decrypt для шифрования и расшифровки данных:

AeadConfig.register(); 
KmsClients.add(new YcKmsClient(credentialProvider).withEndpoint(endpoint));

String keyUri = "yc-kms://" + keyId;
Aead kmsAead = KmsClients.get(keyUri).getAead(keyUri);
Aead aead = new KmsEnvelopeAead(AeadKeyTemplates.AES256_GCM, kmsAead);

...

byte[] ciphertext = aead.encrypt(plaintext, aad);

...

byte[] plaintext = aead.decrypt(ciphertext, aad);

Создайте aead-объект и используйте методы encrypt и decrypt для шифрования и расшифровки данных:

sdk, err := ycsdk.Build(context, ycsdk.Config{
  Endpoint:    endpoint,
  Credentials: credentials,
})
if err != nil {...}

kmsAead := yckmstink.NewYCAEAD(keyId, sdk)
aead := aead.NewKMSEnvelopeAEAD(*aead.AES256GCMKeyTemplate(), kmsAead)

...

ciphertext, err := aead.Encrypt(plaintext, aad)
if err != nil {...}

...

plaintext, err := aead.Decrypt(ciphertext, aad)
if err != nil {...}

См. также

  • Google Tink.
  • Java-клиент для Tink.
  • Примеры использования Java-клиента для Tink.
  • Go-клиент для Tink.
  • Примеры использования Go-клиента для Tink.

Была ли статья полезна?

Language / Region
Проект Яндекса
© 2023 ООО «Яндекс.Облако»
В этой статье:
  • Добавление зависимости
  • Шифрование и расшифровка