非对称密钥加密通信的过程类似于对称加密,区别在于需要使用公钥进行数据加密,使用私钥进行数据解密。
由于密文只有通过私钥才可以解密,而私钥是不公开的,所以即使由于传输介质的安全性比较低而导致信息泄露,拿到密文的人也无法将其破译,从而保证了敏感信息的安全。这种敏感信息传递的方式,被广泛用于各类密钥交换场景。
操作流程
1. 信息接收者通过KMS控制台或者调用KMS的CreateKey接口,创建一个非对称的用户主密钥(CMK);
2. 信息接收者通过调用KMS的getPublicKey接口获取到公钥,并将公钥分发给消息发送者;
3. 信息发送者使用公钥在本地通过OpenSSL等方式对数据进行加密。特殊需求场景下,也可通过调用KMS的asymmetricEncrypt接口,使用CMK进行加密;
4. 信息发送者将密文数据传递给信息接收者;
5. 信息接收者拿到密文数据之后,可调用KMS的asymmetricDecrypt接口,使用私钥进行数据解密。