术语库

非对称密钥加密：使用配对密钥（公钥和私钥）来加密和解密数据的加密系统。公钥用于加密数据，并且可以共享。私钥用于解密数据，并且只有所有者知道私钥。

加密文本：使用算法对明文执行加密的结果。在使用密钥将加密转换回明文之前，加密不可理解。

一致性：表示 Tink 在所有编程语言中的行为都“相同”。例如，Tink 可提供评估一致性，这意味着对于给定密钥集，如果基元创建以两种语言成功完成，则基元的行为将相同。

密钥：加密或解密数据所需的一条信息（例如字符串）。如需了解其表示方式，请参阅键对象。

密钥集和密钥集句柄：Tink 使用密钥集管理密钥。密钥集实质上是一组有助于密钥轮替的密钥。密钥集的值得注意的属性包括：

• 密钥集中的每个密钥均有一个唯一 ID，该 ID 在一个密钥集中具有唯一性。此 ID 通常作为前缀添加到每个生成的密文、签名或标记中，以指示使用了哪个密钥（如需了解详情，请参阅 Tink 如何标记密文）。
• 一个密钥集中一次只能有一个密钥为主密钥。密钥集中的主键就是当前“正在使用”的键。
• 密钥集中的所有密钥必须是相同基元（例如 AEAD）的实现，但可以具有不同的密钥类型（例如 AES-GCM 和 XCHACHA20-POLY1305 密钥）。

每个 Tink 实现都提供了用于创建或修改密钥集的 API。不过，我们建议您使用 Tinkey 我们的 CLI 工具。

用户使用密钥集句柄对密钥集执行操作。密钥集句柄可限制实际敏感密钥材料的公开。它还会对密钥集进行抽象化处理，以便用户获取用于“封装”整个密钥集的基元。例如，您可以使用 N 密钥获取密钥集的 AEAD 基元；使用获取的基元进行加密和解密时，会使用密钥集中的主密钥。

密钥管理系统 (KMS)：用于管理加密密钥（包括密钥的生成、存储、使用、轮替、销毁和替换）的系统。

密钥类型：密钥类型会实现特定基元。大多数基元都有多种键类型可供选择，具体取决于您对安全性、运行时和空间的要求。例如，AES128_GCM 是一种 AEAD，可以快速有效地满足大多数需求。如需了解详情，请参阅按语言支持的密钥类型。

参数：完整描述了创建密钥所需的信息，不包括密钥材料和密钥 ID。如需了解其表示方式，请参阅参数对象。

纯文本：加密文本或其元素的可理解输入形式。

Primitive：Tink 使用基元作为加密构建块来管理底层算法，以便用户可以安全地执行加密任务。基元定义了加密算法和密钥类型的详细信息。

Tink 支持的原语：

• 带关联数据的身份验证加密 (AEAD)：最常见的数据加密基元；适合大多数加密需求。AEAD 提供明文机密性，并允许验证其完整性和真实性。请参阅使用关联数据的身份验证加密 (AEAD)。
• 确定性加密：始终为给定明文和密钥生成相同密文的基元。这可能会有风险，因为攻击者只需要知道哪个密文与给定的明文输入相对应即可识别。请参阅确定性 AEAD。
• 数字签名：用于确认签名数据的真实性和完整性的非对称（请参阅非对称密钥加密）基元。请参阅数字签名。
• 混合加密：结合了非对称密钥加密和对称密钥加密的基元（请参阅非对称密钥加密和对称密钥加密）。混合加密将对称加密的效率与公钥加密的便利性结合在一起。为了加密消息，系统会生成一个新的对称密钥并将其用于加密明文数据，而接收方的公钥仅用于加密该对称密钥。最终密文由对称密文和加密的对称密钥组成。请参阅混合加密。
• 消息身份验证代码 (MAC)：用于确认数据的真实性和完整性的对称（请参阅对称密钥加密）基元。请参阅邮件身份验证代码 (MAC)。
• 流式 AEAD：为流式数据提供经过身份验证的加密的基元；在要加密的数据太大而无法一步进行处理时，此类型很有用。请参阅流式 AEAD。

如需了解兼容性信息，请参阅按语言支持的基元。

注册表：Tink 中的全局实体，知道如何生成新的键和基元。另请参阅有关调试注册错误的指南。

对称密钥加密：使用同一密钥加密明文和解密密文的加密算法。