Lorsque vous commencez à utiliser Tink, vous devez comprendre certains concepts clés décrits dans les sections suivantes.
Primitives
Tink utilise des primitives comme composants de base cryptographiques, qui gèrent un algorithme sous-jacent afin que les utilisateurs puissent effectuer des tâches cryptographiques de manière sécurisée. Une primitive définit les détails d'un algorithme cryptographique et le type de clé.
Primitives prises en charge par Tink:
- Authentifier le chiffrement avec des données associées (AEAD): primitive la plus courante pour le chiffrement de données. Adapté à la plupart des besoins de chiffrement. AEAD assure la confidentialité du texte brut, et permet de vérifier son intégrité et son authenticité. Consultez la page Chiffrement authentifié avec les données associées (AEAD).
- Chiffrement déterministe:primitive qui produit toujours le même texte chiffré pour un texte brut et une clé donnés. Cela peut être risqué, car un pirate informatique n'a besoin de trouver que le texte chiffré correspondant à une entrée en texte brut donnée pour l'identifier. Voir AEAD déterministe.
- Signature numérique: primitive asymétrique (voir Chiffrement par clé asymétrique) pour confirmer l'authenticité et l'intégrité des données signées. Consultez Signature numérique.
- Chiffrement hybride: primitive qui combine le chiffrement par clé asymétrique et le chiffrement à clé symétrique (consultez les pages Chiffrement par clé asymétrique et Chiffrement par clé symétrique). Le chiffrement hybride combine l'efficacité du chiffrement symétrique à la commodité du chiffrement à clé publique. Pour chiffrer un message, une nouvelle clé symétrique est générée et utilisée pour chiffrer les données en texte brut, tandis que la clé publique du destinataire est uniquement utilisée pour chiffrer la clé symétrique. Le texte chiffré final se compose du texte chiffré symétrique et de la clé symétrique chiffrée. Consultez la page Chiffrement hybride.
- Message Authentication Code (MAC): primitive symétrique (voir Chiffrement par clé symétrique) permettant de confirmer l'authenticité et l'intégrité des données. Voir Message Authentication Code (MAC).
- AEAD en flux continu: primitive fournissant un chiffrement authentifié pour les flux de données. Ce type de chiffrement est utile lorsque les données à chiffrer sont trop volumineuses pour être traitées en une seule étape. Consultez la section AEAD en flux continu.
Pour en savoir plus sur la compatibilité, consultez la section primitives compatibles par langage.
Pour en savoir plus, consultez la section Conception primitive.
Types de clés
Un type de clé implémente une primitive spécifique. La plupart des primitives proposent plusieurs types de clés en fonction de vos exigences en termes de sécurité, d'exécution et d'espace. Par exemple, AES128_GCM est un AEAD rapide et efficace pour la plupart des besoins. Pour en savoir plus, consultez la section Types de clés compatibles par langage.
Collections de clés et poignées de jeux de clés
Tink utilise des ensembles de clés pour gérer les clés. Une collection de clés est essentiellement un ensemble de clés qui facilitent la rotation des clés. Les propriétés notables d'une collection de clés sont les suivantes:
- Chaque clé d'une collection de clés possède un identifiant unique, qui est unique au sein d'une collection de clés. Cet ID est généralement ajouté en tant que préfixe à chaque texte chiffré, signature ou balise produits pour indiquer la clé utilisée (pour en savoir plus, découvrez comment Tink identifie le texte chiffré).
- Dans une collection de clés, une seule clé à la fois est principale. La clé primaire d'une collection de clés est la clé "en cours d'utilisation".
- Toutes les clés d'une collection de clés doivent être des implémentations de la même primitive (AEAD, par exemple), mais peuvent avoir des types de clés différents (par exemple, une clé AES-GCM et XCHACHA20-POLY1305).
Chaque implémentation de Tink fournit des API permettant de créer ou de modifier des collections de clés. Toutefois, nous vous recommandons d'utiliser notre outil CLI Tinkey.
Les utilisateurs opèrent sur une collection de clés à l'aide de poignées de collection de clés. Un gestionnaire de collection de clés limite l'exposition du matériel de clé sensible réel. Elle extrait également une collection de clés, ce qui permet aux utilisateurs d'obtenir une primitive qui "encapsule" la totalité de cette collection. Par exemple, vous pouvez obtenir la primitive AEAD d'une collection de clés à l'aide de clés N. Le chiffrement et le déchiffrement avec la primitive obtenue utilisent ensuite la clé primaire de la collection.
Pour en savoir plus, consultez la section Conception d'une collection de clés.