Шифрование данных с помощью Google Tink

Tink — это библиотека шифрования от Google, альтернатива AWS Encryption. Библиотека помогает сосредоточиться на задаче шифрования и расшифровки данных, не отвлекаясь на выбор правильного алгоритма и параметров шифрования.

Поддерживаются Java и Go версии клиентов для Tink, позволяющие шифровать и расшифровывать данные на ключах KMS Yandex Cloud. Данные шифруются по схеме envelope encryption (объем открытого текста не ограничен).

Добавление зависимости

Перед началом работы необходимо добавить зависимости.

<dependency>
    <groupId>com.yandex.cloud</groupId>
    <artifactId>kms-provider-tink</artifactId>
    <version>2.6</version>
</dependency>

go get github.com/yandex-cloud/kms-clients-go/yckmstink

Шифрование и расшифровка

В коде используются следующие переменные:

• endpoint – api.cloud.yandex.net:443.
• credentialProvider или credentials– определяет способ аутентификации, подробнее читайте в разделе Аутентификация в SDK Yandex Cloud.
• keyId – идентификатор ключа KMS.
• plaintext – открытый текст.
• ciphertext – шифртекст.
• aad – AAD-контекст.

AeadConfig.register(); 
KmsClients.add(new YcKmsClient(credentialProvider).withEndpoint(endpoint));

String keyUri = "yc-kms://" + keyId;
Aead kmsAead = KmsClients.get(keyUri).getAead(keyUri);
Aead aead = new KmsEnvelopeAead(AeadKeyTemplates.AES256_GCM, kmsAead);

...

byte[] ciphertext = aead.encrypt(plaintext, aad);

...

byte[] plaintext = aead.decrypt(ciphertext, aad);

sdk, err := ycsdk.Build(context, ycsdk.Config{
  Endpoint:    endpoint,
  Credentials: credentials,
})
if err != nil {...}

kmsAead := yckmstink.NewYCAEAD(keyId, sdk)
aead := aead.NewKMSEnvelopeAEAD(*aead.AES256GCMKeyTemplate(), kmsAead)

...

ciphertext, err := aead.Encrypt(plaintext, aad)
if err != nil {...}

...

plaintext, err := aead.Decrypt(ciphertext, aad)
if err != nil {...}

См. также

• Google Tink.
• Java-клиент для Tink.
• Примеры использования Java-клиента для Tink.
• Go-клиент для Tink.
• Примеры использования Go-клиента для Tink.