Clase: Mongo::Crypt::ExplicitEncrypter Privado

Hereda:

Objeto

• Objeto
• Mongo::Crypt::Cifrador explícito

Ampliado por:

Reenviable

Definido en:

lib/mongo/crypt/explicit_encrypter.rb

Overview

Esta clase forma parte de una API privada. Evita usar esta clase si es posible, ya que puede ser eliminada o modificada en el futuro.

Un ExplicitEncrypter es un objeto que realiza operaciones de cifrado explícitas y gestiona todas las opciones asociadas y variables de instancia.

Resumen del método de instancia

• #add_key_alt_name(id, key_alt_name) ⇒ BSON::Document | nil privado

  Agrega un key_alt_name para la clave en la Colección de Bóvedas de Llaves con el ID proporcionado.

• #crear_e_insertar_clave_de_datos(documento_de_clave_maestra, nombres_alt_de_clave, material_de_clave = nulo) ⇒ BSON::Binary privado

  Genera una clave de datos utilizada para el cifrado/descifrado y almacena esa clave en la colección KMS.

• #decrypt(valor) ⇒ objeto privado

  Descifra un valor que ya ha sido cifrado.

• #delete_key(id) ⇒ Operation::Result privado

  Remueve la clave con la ID indicada de la Colección de Bóvedas de Llaves.

• #cifrar(valor, opciones) ⇒ BSON::Binary privado

  Cifra un valor utilizando la clave de cifrado y el algoritmo especificados.

• #encrypt_expression(expresión, opciones) ⇒ BSON::Binary privado

  Encripta una expresión de coincidencia o una expresión de agregación para consultar un índice de rango.

• #get_key(id) ⇒ BSON::Document | nil privado

  Encuentra una sola clave con el ID proporcionado.

• #get_key_by_alt_name(key_alt_name) ⇒ BSON::Document | nil privado

  Devuelve una clave en la Colección de Bóvedas de Llaves con el key_alt_name (nombre alternativo de clave) proporcionado.

• #get_keys ⇒ Collection::View privado

  Devuelve todas las Colección de Bóvedas de Llaves.

• #inicializar(key_vault_client, key_vault_namespace, kms_providers, kms_tls_options, timeout_ms = nil) ⇒ ExplicitEncrypter constructor privado

  Crea un nuevo objeto ExplicitEncrypter.

• #remove_key_alt_name(id, key_alt_name) ⇒ BSON::Document | nil privado

  Remueve un key_alt_name de una clave en la Colección de Bóvedas de Llaves con el ID especificado.

• #rewrap_many_data_key(filtro, opts = {}) ⇒ Crypt::RewrapManyDataKeyResult privado

  Descifra múltiples claves de datos y las vuelve a cifrar con una nueva clave maestra, o con su clave maestra actual si no se proporciona una nueva.

Detalles del constructor

#inicializar(cliente de key_vault, espacio de nombres de key_vault, proveedores de kms, opciones de kms_tls, tiempo de espera_ms = nulo) ⇒ ExplicitEncrypter

Este método forma parte de una API privada. Debe evitarlo si es posible, ya que podría eliminarse o modificarse en el futuro.

Crea un nuevo objeto ExplicitEncrypter.

Parámetros:

• key_vault_client (Mongo::Cliente) —

  Una instancia de Mongo::cliente para conectarse a la Colección de Bóvedas de Llaves.

• key_vault_namespace (string) —

  El namespace de la Colección de Bóvedas de Llaves en el formato “nombre_db.nombre_colección”.

• proveedores de kms (Crypt::KMS::Credentials) —

  Un hash de información de configuración del servicio de gestión de claves.

• kms_tls_options (encriptada) —

  Opciones de TLS para conectarse a los proveedores de KMS. Las claves del hash deben ser nombres de los proveedores de KSM; los valores deben ser hashes de opciones de conexión TLS. Las opciones son equivalentes a las opciones de conexión TLS de Mongo::Client.

• timeout_ms (Integer | nil) (predeterminado: nulo) —

  Tiempo de espera para cada operación ejecutada en este objeto.

# Archivo 'lib/mongo/crypt/explicit_encrypter.rb', línea 40

def inicializar(key_vault_client, key_vault_namespace, proveedores de kms, kms_tls_options, timeout_ms = nulo)
  Cripta.validate_ffi!
  @crypt_handle = Manejar.Nuevo(
    proveedores de kms,
    kms_tls_options,
    solo_cifrado_explícito: true
  )
  @encryption_io = EncryptionIO.Nuevo(
    key_vault_client: key_vault_client,
    metadata_client: nulo,
    key_vault_namespace: key_vault_namespace
  )
  @timeout_ms = timeout_ms
end

Detalles del método de instancia

#add_key_alt_name(id, key_alt_name) ⇒ BSON::Document | nil

Este método forma parte de una API privada. Debe evitarlo si es posible, ya que podría eliminarse o modificarse en el futuro.

Agrega un key_alt_name para la clave en la Colección de Bóvedas de Llaves con el ID proporcionado.

Parámetros:

• ID (BSON::Binary) —

  Id. de la clave para agregar un nombre alternativo de clave nuevo.

• key_alt_name (string) —

  Nuevo nombre alternativo de clave para agregar.

Devuelve:

• (BSON::Document | nil) —

  Documento que describe la clave identificada antes de agregar el nombre alternativo de la clave, o nulo si no existe dicha clave.

# Archivo 'lib/mongo/crypt/explicit_encrypter.rb', línea 203

def add_key_alt_name(ID, key_alt_name)
  @encryption_io.add_key_alt_name(ID, key_alt_name, tiempo_de_espera_ms: @timeout_ms)
end

#create_and_insert_data_key(master_key_document, key_alt_names, key_material = nil) ⇒ BSON::Binary

Este método forma parte de una API privada. Debe evitarlo si es posible, ya que podría eliminarse o modificarse en el futuro.

Genera una clave de datos utilizada para el cifrado/descifrado y almacena esa clave en la colección KMS. La clave generada está cifrado con la clave maestra KMS.

Parámetros:

• master_key_document (Mongo::Crypt::KMS::MasterKeyDocument) —

  El documento de clave principal que contiene los parámetros de la llave de cifrado.

• clave_nombres_alternativos (arreglo<String> | nil) —

  Un arreglo opcional de cadenas que especifica nombres alternativos para la nueva clave de datos.

• material de clave (String | nil) (predeterminado: nulo) —

  Opcional 96 bytes para usar como material clave personalizado para la clave de datos que se está creando. Si se proporciona la opción key_material, el material clave personalizado se utiliza para cifrar y descifrar los datos.

Devuelve:

• (BSON::Binary) —

  El UUID de 16bytes de la nueva clave de datos como un objeto BSON::Binary con tipo :uuid.

# Archivo 'lib/mongo/crypt/explicit_encrypter.rb', línea 70

def create_and_insert_data_key(master_key_document, clave_nombres_alternativos, material de clave = nulo)
  data_key_document = Cripta::Contexto de clave de datos.Nuevo(
    @crypt_handle,
    @encryption_io,
    master_key_document,
    clave_nombres_alternativos,
    material de clave
  ).run_state_machine(timeout_holder)

  @encryption_io.insert_data_key(
    data_key_document, tiempo_de_espera_ms: timeout_holder.¡tiempo de espera restante_ms!
  ).inserted_id
end

#descifrar(valor) ⇒ Objeto

Este método forma parte de una API privada. Debe evitarlo si es posible, ya que podría eliminarse o modificarse en el futuro.

Descifra un valor que ya ha sido cifrado

Parámetros:

• Valor (BSON::Binary) —

  Un objeto binario BSON de subtipo 6 (texto cifrado) que se descifrará

Devuelve:

• (objeto) —

  El valor descifrado

# Archivo 'lib/mongo/crypt/explicit_encrypter.rb', línea 188

def descifrar(Valor)
  Cripta::ExplicitDecryptionContext.Nuevo(
    @crypt_handle,
    @encryption_io,
    { v: Valor }
  ).run_state_machine(timeout_holder)['v']
end

#delete_key(id) ⇒ Operación::Result

Este método forma parte de una API privada. Debe evitarlo si es posible, ya que podría eliminarse o modificarse en el futuro.

Remueve la clave con la ID indicada de la Colección de Bóvedas de Llaves.

Parámetros:

• ID (BSON::Binary) —

  ID de la clave a borrar.

Devuelve:

• (Operation::Result) —

  La respuesta de la base de datos para la operación delete_one que elimina la clave.

# Archivo 'lib/mongo/crypt/explicit_encrypter.rb', línea 213

def delete_key(ID)
  @encryption_io.delete_key(ID, tiempo_de_espera_ms: @timeout_ms)
end

#encriptar(valor, opciones) ⇒ BSON::Binary

Este método forma parte de una API privada. Debe evitarlo si es posible, ya que podría eliminarse o modificarse en el futuro.

Nota:

Las opciones :key_id y :key_alt_name son mutuamente excluyentes. Solo se requiere uno para realizar el cifrado explícito.

Cifra un valor utilizando la clave de cifrado y el algoritmo especificados

Si el algoritmo de cifrado está configurado como "Indexado", se debe configurar el tipo de consulta.

only if encryption algorithm is set to "Indexed". The only allowed
value is "equality".

Parámetros:

• Valor (objeto) —

  El valor a cifrar

• opciones (Hash)

Opciones Hash (options):

• :identificación_de_clave (BSON::Binario) —

  Un objeto BSON::Binary de tipo :uuid que representa el UUID de la llave de cifrado tal y como está almacenado en la Colección de Bóvedas de Llaves.

• :key_alt_name (Cadena) —

  El nombre alternativo para la clave de cifrado.

• algoritmo (Cadena) —

  El algoritmo utilizado para cifrar el valor. Los algoritmos válidos son “AEAD_AES_256_CBC_HMAC_SHA_512-Deterministic”, “AEAD_AES_256_CBC_HMAC_SHA_512-Random”, “Indexed”, “Unindexed”.

• :contention_factor (Integer | nil) —

  Factor de contención que se aplicará si el algoritmo de cifrado está configurado como "Indexado". Si no se proporciona, se establece por defecto a un valor de 0. El factor de contención sólo debe establecerse si el algoritmo de cifrado está configurado en “Indexado”.

• query_type (String | nil) —

  Tipo de query que se aplicará

Devuelve:

• (BSON::Binary) —

  Un objeto binario BSON del subtipo 6 (texto cifrado) que representa el valor cifrado

Aumenta:

• (ArgumentError) —

  si se establece contention_factor o query_type y el algoritmo no está “Indexado”.

# Archivo 'lib/mongo/crypt/explicit_encrypter.rb', línea 113

def cifrado(Valor, opciones)
  Cripta::ExplicitEncryptionContext.Nuevo(
    @crypt_handle,
    @encryption_io,
    { v: Valor },
    opciones
  ).run_state_machine(timeout_holder)['v']
end

#encrypt_expression(expresión, opciones) ⇒ BSON::Binary

Este método forma parte de una API privada. Debe evitarlo si es posible, ya que podría eliminarse o modificarse en el futuro.

Nota:

El algoritmo de rango es únicamente experimental. No es

Nota:

Las opciones :key_id y :key_alt_name son mutuamente excluyentes. Solo se requiere uno para realizar el cifrado explícito.

Encripta una expresión de coincidencia o una expresión de agregación para consultar un índice de rango.

Solo está soportado cuando queryType es “rango” y el algoritmo es “rango”. @note: El algoritmo Rango es solo experimental. No está destinado

for public use. It is subject to breaking changes.

# @param [ Hash ] options destinado al uso publico.

Ejemplos:

Encripta expresión de coincidencia.

encryption.encrypt_expression(
  {'$and' =>  [{'field' => {'$gt' => 10}}, {'field' =>  {'$lt' => 20 }}]}
)

Cifrar expresión agregada.

encryption.encrypt_expression(
  {'$and' =>  [{'$gt' => ['$field', 10]}, {'$lt' => ['$field', 20]}}
)
{$and: [{$gt: [<fieldpath>, <value1>]}, {$lt: [<fieldpath>, <value2>]}]

Parámetros:

• expresión (encriptada) —

  Expresión para cifrar.

• opciones (encriptada) —

  un conjunto personalizable de opciones

Opciones Hash (options):

• :identificación_de_clave (BSON::Binario) —

  Un objeto BSON::Binary de tipo :uuid que representa el UUID de la llave de cifrado tal y como está almacenado en la Colección de Bóvedas de Llaves.

• :key_alt_name (Cadena) —

  El nombre alternativo para la clave de cifrado.

• algoritmo (Cadena) —

  El algoritmo utilizado para cifrar la expresión. El único valor permitido es "Rango"

• :contention_factor (Integer | nil) —

  Factor de contención a aplicar Si no se proporciona, el valor por defecto es 0.

• query_type (String | nil) —

  Tipo de query a aplicar. El único valor permitido es “rango”.

• Opciones de rango (Hash | nil) —

  Especifica las opciones de índice para un campo Queryable Encryption que admite consultas de "rango". Las opciones permitidas son:

  • :min

  • :máximo

  • trim_factor

  • escasez

  • ¡precisión

  min, max, trim_factor, sparsity y precision deben coincidir con los valores establecidos en los encryptedFields de la colección de destino. Para double y decimal128, min/máx/precisión deben establecerse todos o ninguno.

Devuelve:

• (BSON::Binary) —

  Un objeto binario BSON del subtipo 6 (texto cifrado) que representa la expresión cifrada.

Aumenta:

• (ArgumentError) —

  Si se establecen valores no permitidos en las opciones.

# Archivo 'lib/mongo/crypt/explicit_encrypter.rb', línea 173

def encrypt_expression(expresión, opciones)
  Cripta::Contexto de expresión de cifrado explícito.Nuevo(
    @crypt_handle,
    @encryption_io,
    { v: expresión },
    opciones
  ).run_state_machine(timeout_holder)['v']
end

#get_key(id) ⇒ BSON::Document | nil

Este método forma parte de una API privada. Debe evitarlo si es posible, ya que podría eliminarse o modificarse en el futuro.

Encuentra una sola clave con el ID proporcionado.

Parámetros:

• ID (BSON::Binary) —

  Id de la clave a obtener.

Devuelve:

• (BSON::Document | nil) —

  El documento clave encontrado o nulo si no se encuentra.

# Archivo 'lib/mongo/crypt/explicit_encrypter.rb', línea 223

def obtener_clave(ID)
  @encryption_io.obtener_clave(ID, tiempo_de_espera_ms: @timeout_ms)
end

#get_key_by_alt_name(key_alt_name) ⇒ BSON::Document | nil

Este método forma parte de una API privada. Debe evitarlo si es posible, ya que podría eliminarse o modificarse en el futuro.

Devuelve una clave en la Colección de Bóvedas de Llaves con el key_alt_name (nombre alternativo de clave) proporcionado.

Parámetros:

• key_alt_name (string) —

  Nombre alternativo clave para encontrar una clave.

Devuelve:

• (BSON::Document | nil) —

  El documento clave encontrado o nulo si no se encuentra.

# Archivo 'lib/mongo/crypt/explicit_encrypter.rb', línea 233

def obtener_clave_por_nombre_alt(key_alt_name)
  @encryption_io.obtener_clave_por_nombre_alt(key_alt_name, tiempo_de_espera_ms: @timeout_ms)
end

#get_keys ⇒ colección::View

Este método forma parte de una API privada. Debe evitarlo si es posible, ya que podría eliminarse o modificarse en el futuro.

Devuelve todas las Colección de Bóvedas de Llaves.

rubocop:disable Naming/AccessorMethodName El nombre de este método se define en la especificación FLE

Devuelve:

• (Collection::View) —

  Claves en la Colección de Bóvedas de Llaves.

# Archivo 'lib/mongo/crypt/explicit_encrypter.rb', línea 242

def get_keys
  @encryption_io.get_keys(tiempo_de_espera_ms: @timeout_ms)
end

#remove_key_alt_name(id, key_alt_name) ⇒ BSON::Document | nil

Este método forma parte de una API privada. Debe evitarlo si es posible, ya que podría eliminarse o modificarse en el futuro.

Remueve un key_alt_name de una clave en la Colección de Bóvedas de Llaves con el ID especificado.

Parámetros:

• ID (BSON::Binary) —

  ID de la clave para remover el nombre alternativo de la clave.

• key_alt_name (string) —

  Nombre alternativo clave a remover.

Devuelve:

• (BSON::Document | nil) —

  Documento que describe la clave identificada antes de remover el nombre alternativo de la clave, o nulo si no existe tal clave.

# Archivo 'lib/mongo/crypt/explicit_encrypter.rb', línea 254

def eliminar_tecla_alt_nombre(ID, key_alt_name)
  @encryption_io.eliminar_tecla_alt_nombre(ID, key_alt_name, tiempo_de_espera_ms: @timeout_ms)
end

#rewrap_many_data_key(filtro, opciones = {}) ⇒ Crypt::RewrapManyDataKeyResult

Este método forma parte de una API privada. Debe evitarlo si es posible, ya que podría eliminarse o modificarse en el futuro.

Descifra múltiples claves de datos y las (re)cifra con una nueva master_key,

or with their current master_key if a new one is not given.

Parámetros:

• filtro (encriptada) —

  Filtro usado para encontrar claves que serán actualizadas.

• opciones (Hash)

Devuelve:

• (Crypt::RewrapManyDataKeyResult) —

  Resultado de la operación.

# Archivo 'lib/mongo/crypt/explicit_encrypter.rb', línea 269

def rewrap_many_data_key(filtro, opta = {})
  validate_rewrap_options!(opta)

  master_key_document = llave maestra para proveedor(opta)

  rewrap_result = Cripta::RewrapManyDataKeyContext.Nuevo(
    @crypt_handle,
    @encryption_io,
    filtro,
    master_key_document
  ).run_state_machine(timeout_holder)

  return RewrapManyDataKeyResult.Nuevo(nulo) si rewrap_result.nil?

  updates = updates_from_data_key_documents(rewrap_result.obtener('v'))
  RewrapManyDataKeyResult.Nuevo(
    @encryption_io.update_data_keys(updates, tiempo_de_espera_ms: @timeout_ms)
  )
end