AWS SDK Rust 中解析 KMS 公钥 Blob 的技术实践

在 AWS SDK Rust 开发过程中，我们经常需要与 KMS(密钥管理服务)进行交互。最近在尝试获取和解析 KMS 公钥时，遇到了一个值得分享的技术挑战和解决方案。

问题背景

当使用 AWS SDK Rust 的 get_public_key() 方法从 KMS 获取公钥时，返回的是一个 Blob 类型的数据。按照文档说明，这个 Blob 应该包含公钥信息，但尝试直接解析时却遇到了各种问题：

1. 尝试 Base64 解码失败，报错显示无效符号
2. 使用 DER 格式解析证书也未能成功
3. 直接转换为 UTF-8 字符串同样不可行

技术探索过程

初步尝试

最初按照 AWS SDK 文档的提示，尝试对 Blob 内容进行 Base64 解码：

let inner_decoded: Vec<u8> = base64::decode(blob.as_ref())?;

但遇到了"Invalid symbol 130, offset 1"的错误，这表明数据可能已经是原始字节形式，而非 Base64 编码。

深入分析

进一步尝试使用 X509Certificate 的 DER 解析：

let cert = X509Certificate::from_der(blob)?;

依然失败，错误提示"missing further values"，说明数据格式不符合预期。

解决方案

经过研究 AWS Tough 项目的实现，发现正确的处理方式是：

1. 首先确认 Blob 包含的是 DER 格式的公钥数据
2. 使用 RSA 相关库直接解析这些原始数据

最终解决方案是使用 rsa crate 提供的功能：

let pub_key = RsaPublicKey::from_public_key_der(blob.into_inner().as_ref())?;

完整实现示例

以下是完整的代码实现，展示了如何从 KMS 获取公钥并正确解析：

use aws_sdk_kms::Client as KmsClient;
use aws_sdk_kms::types::Blob;
use rsa::RsaPublicKey;

async fn get_and_parse_kms_public_key(kms_client: &KmsClient, kms_key_arn: &str) -> Result<RsaPublicKey, Box<dyn std::error::Error>> {
    let response = kms_client
        .get_public_key()
        .key_id(kms_key_arn)
        .send()
        .await?;
    
    let blob: Blob = response.public_key.expect("Expected successful response from KMS");
    
    let pub_key = RsaPublicKey::from_public_key_der(blob.into_inner().as_ref())?;
    
    Ok(pub_key)
}

技术要点总结

1. KMS 返回的公钥 Blob 已经是 DER 格式的原始数据，不需要额外解码
2. 直接使用 RSA 相关库可以正确解析这种格式的公钥
3. 在 Rust 生态中，rsa crate 提供了完善的 RSA 密钥处理功能
4. 对于 PEM 格式需求，可以使用 pem crate 进行转换

最佳实践建议

1. 在生产环境中，应该添加更完善的错误处理
2. 考虑将解析后的公钥缓存起来，避免频繁调用 KMS API
3. 对于不同的加密算法类型(如 ECC)，需要采用对应的解析方法
4. 在跨平台使用时，注意字节序和编码格式的一致性

通过本文的探索，我们不仅解决了具体的技术问题，也加深了对 AWS KMS 服务数据格式和 Rust 加密处理的理解。这种经验对于处理类似的服务接口和数据解析问题具有很好的参考价值。