Понимание ключевых понятий в Tink
Оптимизируйте свои подборки
Сохраняйте и классифицируйте контент в соответствии со своими настройками.
Когда вы впервые начинаете работать с Tink, вам следует понять некоторые ключевые понятия, прежде чем начать свое путешествие; они описаны в следующих разделах.
Примитивы
Tink использует примитивы в качестве криптографических строительных блоков, которые управляют базовым алгоритмом, чтобы пользователи могли безопасно выполнять криптографические задачи. Примитив определяет детали криптографического алгоритма и тип ключа.
Примитивы, поддерживаемые Tink:
- Аутентифицированное шифрование со связанными данными (AEAD) : наиболее распространенный примитив шифрования данных; подходит для большинства задач шифрования. AEAD обеспечивает конфиденциальность открытого текста и позволяет проверять его целостность и подлинность. См. «Аутентифицированное шифрование со связанными данными» (AEAD) .
- Детерминированное шифрование: примитив, который всегда создает один и тот же зашифрованный текст для данного открытого текста и ключа. Это может быть рискованно, поскольку злоумышленнику нужно только выяснить, какой зашифрованный текст соответствует данному входному открытому тексту, чтобы идентифицировать его. См. Детерминированный AEAD .
- Цифровая подпись : асимметричный (см. Шифрование с асимметричным ключом ) примитив для подтверждения подлинности и целостности подписанных данных. См. Цифровая подпись .
- Гибридное шифрование : примитив, сочетающий в себе шифрование с асимметричным ключом и шифрование с симметричным ключом (см. Шифрование с асимметричным ключом и Шифрование с симметричным ключом ). Гибридное шифрование сочетает в себе эффективность симметричного шифрования с удобством шифрования с открытым ключом. Чтобы зашифровать сообщение, генерируется новый симметричный ключ, который используется для шифрования данных открытого текста, тогда как открытый ключ получателя используется только для шифрования симметричного ключа. Окончательный зашифрованный текст состоит из симметричного зашифрованного текста и зашифрованного симметричного ключа. См. Гибридное шифрование .
- Код аутентификации сообщения (MAC) : симметричный (см. Шифрование с симметричным ключом ) примитив для подтверждения подлинности и целостности данных. См. Код аутентификации сообщения (MAC) .
- Потоковая передача AEAD : примитив, обеспечивающий аутентифицированное шифрование для потоковой передачи данных; полезно, когда данные, подлежащие шифрованию, слишком велики, чтобы их можно было обработать за один шаг. См. Потоковое AEAD .
Информацию о совместимости см. в разделе Поддерживаемые примитивы по языкам .
Для получения дополнительной информации см. примитивный дизайн .
Типы ключей
Тип ключа реализует определенный примитив. Большинство примитивов имеют несколько типов ключей на выбор в зависимости от ваших требований к безопасности, времени выполнения и пространству. Например, AES128_GCM — это AEAD , быстрый и эффективный для большинства нужд. Дополнительную информацию см. в разделе «Поддерживаемые типы ключей по языкам» .
Наборы ключей и ручки набора ключей
Tink использует наборы ключей для управления ключами. Набор ключей — это, по сути, набор ключей, которые облегчают вращение клавиш. Примечательными свойствами набора ключей являются:
- Каждый ключ в наборе ключей имеет уникальный идентификатор, который уникален внутри набора ключей. Этот идентификатор обычно добавляется в качестве префикса к каждому произведенному зашифрованному тексту, подписи или тегу, чтобы указать, какой ключ был использован (дополнительную информацию см. в разделе, как Tink помечает зашифрованные тексты ).
- Только один ключ в наборе ключей является первичным . Первичный ключ в наборе ключей — это ключ, «используемый» в данный момент.
- Все ключи в наборе ключей должны быть реализациями одного и того же примитива (например, AEAD), но могут иметь разные типы ключей (например, ключ AES-GCM и XCHACHA20-POLY1305).
Каждая реализация Tink предоставляет API для создания или редактирования наборов ключей. Однако мы рекомендуем использовать Tinkey, наш инструмент CLI.
Пользователи работают с набором ключей, используя дескрипторы набора ключей . Ручка набора ключей ограничивает раскрытие фактического секретного материала ключа. Он также абстрагирует набор ключей, позволяя пользователям получить примитив, который «обертывает» весь набор ключей. Например, вы можете получить примитив AEAD набора ключей с N клавишами; шифрование и дешифрование с помощью полученного примитива затем используют первичный ключ в наборе ключей.
Дополнительную информацию см. в разделе «Дизайн набора клавиш» .
Если не указано иное, контент на этой странице предоставляется по лицензии Creative Commons "С указанием авторства 4.0", а примеры кода – по лицензии Apache 2.0. Подробнее об этом написано в правилах сайта. Java – это зарегистрированный товарный знак корпорации Oracle и ее аффилированных лиц.
Последнее обновление: 2025-07-25 UTC.
[[["Прост для понимания","easyToUnderstand","thumb-up"],["Помог мне решить мою проблему","solvedMyProblem","thumb-up"],["Другое","otherUp","thumb-up"]],[["Отсутствует нужная мне информация","missingTheInformationINeed","thumb-down"],["Слишком сложен/слишком много шагов","tooComplicatedTooManySteps","thumb-down"],["Устарел","outOfDate","thumb-down"],["Проблема с переводом текста","translationIssue","thumb-down"],["Проблемы образцов/кода","samplesCodeIssue","thumb-down"],["Другое","otherDown","thumb-down"]],["Последнее обновление: 2025-07-25 UTC."],[[["\u003cp\u003eTink utilizes primitives as fundamental cryptographic building blocks for secure data operations, covering encryption, signatures, and message authentication.\u003c/p\u003e\n"],["\u003cp\u003eKeysets in Tink efficiently manage multiple keys for a single purpose, enabling features like key rotation and supporting various key types within a set.\u003c/p\u003e\n"],["\u003cp\u003eKeyset handles provide a secure abstraction layer, allowing users to interact with keys and perform cryptographic operations without directly exposing sensitive key material.\u003c/p\u003e\n"],["\u003cp\u003eTink offers a diverse selection of primitives and key types, accommodating varying security, performance, and storage requirements, with options like AEAD, digital signatures, and hybrid encryption.\u003c/p\u003e\n"]]],["Tink employs cryptographic building blocks called *primitives*, which define algorithms and key types. These include AEAD, Deterministic encryption, Digital signature, Hybrid encryption, MAC, and Streaming AEAD. *Key types* implement primitives, offering choices based on security and performance. *Keysets*, a set of keys with unique IDs, manage key rotation. *Keyset handles* abstract keysets, providing access to a primitive that operates over the entire keyset, including encryption/decryption with the primary key.\n"],null,["# Understand Key Concepts in Tink\n\nWhen you start working with Tink for the first time, there are some key concepts\nyou should understand before you begin your journey; these are described in the\nfollowing sections.\n\nPrimitives\n----------\n\nTink uses *primitives* as cryptographic building blocks that manage an\nunderlying algorithm so users can perform cryptographic tasks safely. A\nprimitive defines the details of a cryptographic algorithm and the key type.\n\nPrimitives supported by Tink:\n\n- **Authenticated Encryption with Associated Data (AEAD)** : The most common primitive for data encryption; suitable for most encryption needs. AEAD provides plaintext confidentiality, and allows verification of its integrity and authenticity. See [Authenticated Encryption with Associated Data\n (AEAD)](/tink/aead).\n- **Deterministic encryption:** A primitive that always produces the same ciphertext for a given plaintext and key. This can be risky, because an attacker only needs to find out which ciphertext corresponds to a given plaintext input to identify it. See [Deterministic\n AEAD](/tink/deterministic-aead).\n- **Digital signature** : An asymmetric (see *Asymmetric key encryption* ) primitive for confirming the authenticity and integrity of signed data. See [Digital signature](/tink/digital-signature).\n- **Hybrid encryption** : A primitive that combines asymmetric key encryption and symmetric key encryption (see *Asymmetric key encryption* and *Symmetric\n key encryption* ). Hybrid encryption combines the efficiency of symmetric encryption with the convenience of public-key encryption. To encrypt a message, a fresh symmetric key is generated and used to encrypt the plaintext data, while the recipient's public key is used to encrypt the symmetric key only. The final ciphertext consists of the symmetric ciphertext and the encrypted symmetric key. See [Hybrid\n encryption](/tink/hybrid).\n- **Message Authentication Code (MAC)** : A symmetric (see *Symmetric key\n encryption* ) primitive for confirming the authenticity and integrity of data. See [Message Authentication Code (MAC)](/tink/mac).\n- **Streaming AEAD** : A primitive providing authenticated encryption for streaming data; useful when the data to be encrypted is too large to be processed in a single step. See [Streaming AEAD](/tink/streaming-aead).\n\nSee [Supported primitives by language](/tink/primitives-by-language) for\ncompatibility information.\n\nFor more info, see [primitive design](/tink/design/primitives_and_interfaces).\n\nKey types\n---------\n\nA *key type* implements a specific primitive. Most primitives have several key\ntypes to choose from depending on your requirements for security, runtime, and\nspace. For example, AES128_GCM is an [AEAD](/tink/aead) that is fast and\neffective for most needs. See more at [Supported key types by\nlanguage](/tink/supported-key-types).\n\nKeysets \\& keyset handles\n-------------------------\n\nTink uses *keysets* for managing keys. A keyset is essentially a set of keys\nthat facilitate key rotation. Noteworthy properties of a keyset are:\n\n- Each key in a keyset has a unique ID, which is unique within a keyset. This ID is usually added as a prefix to each produced ciphertext, signature or tag to indicate which key was used (see how Tink [tags\n ciphertexts](/tink/design/keysets#tagging_ciphertexts) for more info).\n- Only one key at a time in a keyset is *primary*. A primary key in a keyset is the key \"in use\" at the moment.\n- All the keys in a keyset *must* be implementations of the same primitive (such as AEAD), but can have different key types (for example, an AES-GCM and XCHACHA20-POLY1305 key).\n\nEach Tink implementation provides APIs to create or edit keysets. However, we\nrecommend using [Tinkey](/tink/tinkey-overview) our CLI tool.\n\nUsers operate over a keyset using *keyset handles* . A keyset handle limits the\nexposure of the actual sensitive key material. It also abstracts a keyset\nallowing users to obtain a primitive that \"wraps\" the entire keyset. For\nexample, you can get an AEAD primitive of a keyset with `N` keys; encryption and\ndecryption with the obtained primitive then uses the primary key in the keyset.\n\nFor more info, see [keyset design](/tink/design/keysets)."]]
