Tink APIs akzeptieren beliebige binäre Blobs als Eingabe. Wenn Sie also strukturierte Daten wie Protokollpuffer verschlüsseln möchten, müssen Sie die Daten zuerst codieren.
Protokollzwischenspeicher verschlüsseln
So verschlüsseln Sie die Datei:
- Der Protokollzwischenspeicher wird in ein Byte-Array serialisiert.
- Verschlüsseln Sie die serialisierten Byte und speichern oder senden Sie den resultierenden Geheimtext. Verwenden Sie:
So entschlüsseln Sie den Code:
- Entschlüsseln Sie den Geheimtext.
- Wenn Schritt 1 erfolgreich war, deserialisieren Sie den Protokollzwischenspeicher.
Protobuf vor Manipulation schützen
In den meisten Fällen ist die Verschlüsselung eines Protokollzwischenspeichers der Authentifizierung allein vorzuziehen.
So schützen Sie einen Protobuf vor Manipulationen:
- Der Protokollzwischenspeicher wird in ein Byte-Array serialisiert.
- Signieren oder authentifizieren Sie die serialisierten Byte. Verwenden Sie:
- Speichern Sie die serialisierten Bytes zusammen mit der Signatur (oder dem MAC).
So nehmen Sie eine Bestätigung vor:
- Rufen Sie den serialisierten Protokollzwischenspeicher und seine Signatur (oder MAC) ab.
- Überprüfen Sie die Signatur (oder den MAC).
- Deserialisiert den protobuf-Wert.
Beachten Sie, dass eine gültige Signatur oder ein gültiger MAC nicht garantiert, dass die Daten richtig formatiert sind. Bei einer Implementierung, die die Daten parst, sollte immer davon ausgegangen werden, dass die Daten beschädigt sind.
Mehrere Datenelemente schützen
Verwenden Sie eine Serialisierungsmethode, um mehrere Datenelemente zu schützen. Fügen Sie alle Datenelemente zu einem Protokollzwischenspeicher hinzu und verschlüsseln (oder authentifizieren) Sie ihn wie oben beschrieben.
Sie können auch wie folgt serialisieren:
serialize(data1 , data2 , …, datan) = 4-byte-data1's length || data1 || 4-byte-data2's length || data2 || … || 4-byte-dataN's length || dataN
Zum Schluss verschlüsseln (oder authentifizieren) Sie das resultierende Byte-Array.