Methode: privatekeydecrypt

Entpackt einen verpackten privaten Schlüssel und entschlüsselt dann den Inhaltsverschlüsselungsschlüssel, der mit dem öffentlichen Schlüssel verschlüsselt wird.

HTTP-Anfrage

POST https://BASE_URL/privatekeydecrypt

Ersetzen Sie BASE_URL durch die Basis-URL.

Pfadparameter

Keine.

Anfragetext

Der Anfragetext enthält Daten mit folgender Struktur:

JSON-Darstellung
{
  "authentication": string,
  "authorization": string,
  "algorithm": string,
  "encrypted_data_encryption_key": string,
  "rsa_oaep_label": string,
  "reason": string,
  "wrapped_private_key": string
}
Felder
authentication

string

Ein vom Identitätsanbieter (IdP) ausgestelltes JWT, das bestätigt, wer der Nutzer ist. Siehe Authentifizierungstokens.

authorization

string

Ein JWT, das bestätigt, dass der Nutzer einen Schlüssel für resource_name entpacken darf. Siehe Autorisierungstokens.

algorithm

string

Der Algorithmus, der zum Verschlüsseln des Datenverschlüsselungsschlüssels (Data Encryption Key, DEK) bei der Umschlagverschlüsselung verwendet wurde.

encrypted_data_encryption_key

string (UTF-8)

Base64-codierter verschlüsselter Inhaltsverschlüsselungsschlüssel, der mit dem öffentlichen Schlüssel verschlüsselt wird, der mit dem privaten Schlüssel verknüpft ist. Maximale Größe: 1 KB.

rsa_oaep_label

string

Base64-codiertes Label L, wenn der Algorithmus RSAES-OAEP ist. Wenn der Algorithmus nicht RSAES-OAEP ist, wird dieses Feld ignoriert.

reason

string (UTF-8)

Ein Passthrough-JSON-String, der zusätzlichen Kontext zum Vorgang liefert. Die bereitgestellte JSON-Datei sollte vor der Anzeige bereinigt werden. Maximale Größe: 1 KB.

wrapped_private_key

string

Der base64-codierte verpackte private Schlüssel. Maximale Größe: 8 KB.

Das Format des privaten Schlüssels oder des verpackten privaten Schlüssels entspricht der Implementierung des Key Access Control List Service (KACLS). Auf Client- und Gmail-Seite wird dies als opakes Blob behandelt.

Antworttext

Wenn der Vorgang erfolgreich ist, wird mit dieser Methode ein base64-Datenverschlüsselungsschlüssel zurückgegeben.

Wenn der Vorgang fehlschlägt, wird eine strukturierte Fehlerantwort zurückgegeben.

JSON-Darstellung
{
  "data_encryption_key": string
}
Felder
data_encryption_key

string

Ein base64-codierter Datenverschlüsselungsschlüssel.

Beispiel

Dieses Beispiel enthält eine Beispielanfrage und -antwort für die Methode privatekeydecrypt.

Anfragen

POST https://mykacls.example.org/v1/privatekeydecrypt

{
  "wrapped_private_key": "wHrlNOTI9mU6PBdqiq7EQA...",
  "encrypted_data_encryption_key": "dGVzdCB3cmFwcGVkIGRlaw...",
  "authorization": "eyJhbGciOi...",
  "authentication": "eyJhbGciOi...",
  "algorithm": "RSA/ECB/PKCS1Padding",
  "reason": "decrypt"
}

Antwort

{
  "data_encryption_key": "akRQtv3nr+jUhcFL6JmKzB+WzUxbkkMyW5kQsqGUAFc="
}