Mekanisme enkapsulasi kunci (KEM) adalah proses kriptografi yang digunakan untuk membuat rahasia bersama antara dua pihak melalui saluran yang tidak tepercaya. Mekanisme enkapsulasi utama melibatkan tiga algoritma utama:
- Pembuatan kunci: pasangan kunci dibuat yang terdiri dari kunci publik dan kunci pribadi.
- Enkapsulasi: kunci publik digunakan untuk menghasilkan rahasia bersama dan ciphertext yang cocok.
- Decapsulation: kunci pribadi digunakan untuk memulihkan rahasia bersama dari ciphertext.
Mekanisme enkapsulasi kunci adalah elemen penyusun mendasar untuk protokol pertukaran kunci dan Enkripsi Kunci Publik Hybrid (HPKE).
Alur kerja enkapsulasi dan dekapsulasi
Berikut ini menjelaskan proses penggunaan pasangan kunci KEM untuk mengenkapsulasi dan mendekapsulasi data. Dua peserta dalam alur kerja ini adalah pengirim dan penerima. Pengirim membuat ciphertext dan rahasia bersama menggunakan kunci publik penerima, dan kemudian penerima mendekripsi ciphertext menggunakan kunci pribadi penerima untuk mengambil rahasia bersama. Hanya seseorang yang mengetahui kunci pribadi yang dapat mendekapsulasi teks tersandi untuk mengambil rahasia bersama asli.
Pengirim mengambil kunci publik penerima.
Pengirim menggunakan kunci publik untuk melakukan langkah enkapsulasi, yang menghasilkan rahasia bersama dan teks tersandi yang sesuai.
Pengirim mengirimkan ciphertext kepada penerima.
Penerima menggunakan kunci pribadi penerima untuk mendekapsulasi ciphertext. Penerima dan pengirim kini memiliki rahasia bersama yang sama.
Mekanisme enkapsulasi kunci pasca-kuantum (PQ-KEM)
Komputer kuantum berpotensi mendekripsi materi yang dienkripsi oleh algoritma enkripsi klasik seperti algoritma RSA dan ECDSA yang banyak digunakan, yang dapat membuat materi terenkripsi tersebut rentan terhadap serangan "kumpulkan sekarang, dekripsi nanti". Dalam serangan semacam itu, penyerang mengumpulkan data terenkripsi saat ini yang menggunakan algoritma enkripsi klasik dan menyimpannya, dengan maksud untuk mendekripsinya nanti setelah komputer kuantum yang canggih tersedia. PQ-KEM dirancang agar tahan terhadap serangan kuantum, sehingga memastikan bahwa data yang dienkripsi dengan PQ-KEM saat ini akan tetap aman bahkan di era kuantum, sehingga mencegah dekripsi informasi yang dikumpulkan saat ini pada masa mendatang.
Cloud Key Management Service mendukung ML-KEM-768 dan ML-KEM-1024, yang distandardisasi oleh NIST dalam FIPS-203, dan X-Wing, KEM hibrida yang menggabungkan ML-KEM-768 dengan X25519. Algoritma ini memiliki nilai ukuran berikut (dalam byte):
| Algoritme | Kunci publik | Teks tersandi | Rahasia bersama |
|---|---|---|---|
| ML_KEM_768 | 1184 | 1088 | 32 |
| ML_KEM_1024 | 1568 | 1568 | 32 |
| KEM_XWING | 1216 | 1120 | 32 |
Kemampuan KEM Cloud KMS
Cloud KMS menyediakan kemampuan berikut yang terkait dengan mekanisme enkapsulasi kunci:
Membuat kunci KEM dengan tujuan kunci
KEY_ENCAPSULATIONdan algoritma enkapsulasi kunci.Mengambil kunci publik untuk kunci KEM.
Mendekapsulasi rahasia bersama menggunakan kunci pribadi untuk kunci KEM.
Untuk melakukan enkapsulasi menggunakan kunci Cloud KMS, Anda harus menggunakan SDK dan alat yang tersedia secara terbuka dengan kunci publik. Cloud KMS tidak menyediakan kemampuan enkapsulasi.