[Документация Yandex Cloud](../../index.md) > [Yandex Key Management Service](../index.md) > [Концепции](index.md) > Асимметричное шифрование > Ключевая пара шифрования

# Асимметричная ключевая пара шифрования в KMS

Асимметричная ключевая пара шифрования состоит из двух частей: открытого ключа шифрования (Public key) и закрытого ключа шифрования (Private key). Открытый ключ используется для шифрования, закрытый — для расшифрования.

Key Management Service позволяет выгружать открытый ключ для шифрования текста на стороне клиента. Расшифровать такой текст в KMS можно с использованием закрытого ключа. Получить прямой доступ к закрытому ключу в KMS нельзя.

Каждая ключевая пара соответствует одному ключу в [квотах](limits.md#kms-quotas) KMS.

## Параметры ключевой пары шифрования {#parameters}

Для ключевой пары шифрования KMS доступны следующие параметры:
* Идентификатор — уникальный идентификатор ключевой пары в Yandex Cloud. Используется для работы с ключевыми парами с помощью SDK, [API](../../glossary/rest-api.md) и CLI.
* Имя — имя ключевой пары, неуникально и может быть использовано для работы с ключевыми парами с помощью CLI, если в каталоге только одна ключевая пара с таким именем.
* Алгоритм шифрования – алгоритм, используемый для шифрования. Поддерживаются следующие алгоритмы асимметричного шифрования: 
    * `rsa-2048-enc-oaep-sha-256`;
    * `rsa-3072-enc-oaep-sha-256`;
    * `rsa-4096-enc-oaep-sha-256`.

* Статус — текущее состояние ключевой пары. Возможные статусы: 
    * `Creating` — ключевая пара создается.
    * `Active` — ключевая пара может использоваться для шифрования и расшифрования.
    * `Inactive` — ключевая пара не может использоваться.
    
    Изменить статус ключевой пары с `Active` на `Inactive` и обратно можно вызовом gRPC API [AsymmetricEncryptionKeyService/Update](../asymmetricencryption/api-ref/grpc/AsymmetricEncryptionKey/update.md).

## Использование ключевой пары шифрования {#use}

Асимметричную ключевую пару шифрования можно использовать в операциях шифрования и расшифрования данных при наличии определенных [ролей](../security/index.md#roles-list). Вы можете временно заблокировать операции с использованием ключевой пары, отозвав роли или изменив ее статус на `Inactive`. Подробнее читайте в разделе [Управление доступом в Key Management Service](../security/index.md).

## Удаление ключевой пары шифрования {#delete}

Удаление ключевой пары шифрования или родительского ресурса (каталога или облака), в котором содержалась ключевая пара, приводит к уничтожению содержащегося в нем криптографического материала. После этого вы не сможете расшифровать данные, зашифрованные открытым ключом ключевой пары.

## Примеры использования {#examples}

* [Подпись и проверка Docker-образов Yandex Container Registry в Yandex Managed Service for Kubernetes](../tutorials/sign-cr-with-cosign.md)