GCP - KMS Enum

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

KMS

Η Υπηρεσία Διαχείρισης Κλειδιών Cloud λειτουργεί ως ασφαλής αποθήκευση για κρυπτογραφικά κλειδιά, τα οποία είναι απαραίτητα για λειτουργίες όπως η κρυπτογράφηση και η αποκρυπτογράφηση ευαίσθητων δεδομένων. Αυτά τα κλειδιά οργανώνονται μέσα σε δαχτυλίδια κλειδιών, επιτρέποντας τη δομημένη διαχείριση. Επιπλέον, ο έλεγχος πρόσβασης μπορεί να ρυθμιστεί με ακρίβεια, είτε σε επίπεδο μεμονωμένου κλειδιού είτε για ολόκληρο το δαχτυλίδι κλειδιών, διασφαλίζοντας ότι οι άδειες είναι ακριβώς ευθυγραμμισμένες με τις απαιτήσεις ασφαλείας.

Τα δαχτυλίδια κλειδιών KMS δημιουργούνται κατά προεπιλογή ως παγκόσμια, που σημαίνει ότι τα κλειδιά μέσα σε αυτό το δαχτυλίδι είναι προσβάσιμα από οποιαδήποτε περιοχή. Ωστόσο, είναι δυνατή η δημιουργία συγκεκριμένων δαχτυλιδιών κλειδιών σε συγκεκριμένες περιοχές.

Επίπεδο Προστασίας Κλειδιών

Κλειδιά λογισμικού: Τα κλειδιά λογισμικού δημιουργούνται και διαχειρίζονται από το KMS αποκλειστικά σε λογισμικό. Αυτά τα κλειδιά δεν προστατεύονται από κανένα υλικό ασφαλείας (HSM) και μπορούν να χρησιμοποιηθούν για δοκιμές και αναπτυξιακούς σκοπούς. Τα κλειδιά λογισμικού δεν συνιστώνται για παραγωγή καθώς παρέχουν χαμηλή ασφάλεια και είναι ευάλωτα σε επιθέσεις.
Κλειδιά που φιλοξενούνται στο Cloud: Τα κλειδιά που φιλοξενούνται στο cloud δημιουργούνται και διαχειρίζονται από το KMS στο cloud χρησιμοποιώντας μια εξαιρετικά διαθέσιμη και αξιόπιστη υποδομή. Αυτά τα κλειδιά είναι προστατευμένα από HSM, αλλά τα HSM δεν είναι αφιερωμένα σε συγκεκριμένο πελάτη. Τα κλειδιά που φιλοξενούνται στο cloud είναι κατάλληλα για τις περισσότερες περιπτώσεις χρήσης παραγωγής.
Εξωτερικά κλειδιά: Τα εξωτερικά κλειδιά δημιουργούνται και διαχειρίζονται εκτός του KMS, και εισάγονται στο KMS για χρήση σε κρυπτογραφικές λειτουργίες. Τα εξωτερικά κλειδιά μπορούν να αποθηκευτούν σε ένα υλικό ασφαλείας (HSM) ή σε μια βιβλιοθήκη λογισμικού, ανάλογα με την προτίμηση του πελάτη.

Σκοποί Κλειδιών

Συμμετρική κρυπτογράφηση/αποκρυπτογράφηση: Χρησιμοποιείται για να κρυπτογραφεί και να αποκρυπτογραφεί δεδομένα χρησιμοποιώντας ένα μόνο κλειδί για και τις δύο λειτουργίες. Τα συμμετρικά κλειδιά είναι γρήγορα και αποδοτικά για την κρυπτογράφηση και την αποκρυπτογράφηση μεγάλων όγκων δεδομένων.
Υποστηρίζεται: cryptoKeys.encrypt, cryptoKeys.decrypt
Ασύμμετρη Υπογραφή: Χρησιμοποιείται για ασφαλή επικοινωνία μεταξύ δύο μερών χωρίς να μοιράζονται το κλειδί. Τα ασύμμετρα κλειδιά έρχονται σε ζεύγη, αποτελούμενα από ένα δημόσιο κλειδί και ένα ιδιωτικό κλειδί. Το δημόσιο κλειδί μοιράζεται με άλλους, ενώ το ιδιωτικό κλειδί διατηρείται μυστικό.
Υποστηρίζεται: cryptoKeyVersions.asymmetricSign, cryptoKeyVersions.getPublicKey
Ασύμμετρη Αποκρυπτογράφηση: Χρησιμοποιείται για να επαληθεύσει την αυθεντικότητα ενός μηνύματος ή δεδομένων. Μια ψηφιακή υπογραφή δημιουργείται χρησιμοποιώντας ένα ιδιωτικό κλειδί και μπορεί να επαληθευτεί χρησιμοποιώντας το αντίστοιχο δημόσιο κλειδί.
Υποστηρίζεται: cryptoKeyVersions.asymmetricDecrypt, cryptoKeyVersions.getPublicKey
Υπογραφή MAC: Χρησιμοποιείται για να διασφαλίσει την ακεραιότητα και την αυθεντικότητα των δεδομένων δημιουργώντας έναν κωδικό αυθεντικοποίησης μηνύματος (MAC) χρησιμοποιώντας ένα μυστικό κλειδί. Το HMAC χρησιμοποιείται συνήθως για την αυθεντικοποίηση μηνυμάτων σε πρωτόκολλα δικτύου και λογισμικά εφαρμογών.
Υποστηρίζεται: cryptoKeyVersions.macSign, cryptoKeyVersions.macVerify

Περίοδος Περιστροφής & Προγραμματισμένη για καταστροφή περίοδος

Κατά προεπιλογή, κάθε 90 ημέρες αλλά μπορεί να προσαρμοστεί εύκολα και εντελώς.

Η περίοδος "Προγραμματισμένη για καταστροφή" είναι ο χρόνος από τη στιγμή που ο χρήστης ζητά να διαγραφεί το κλειδί μέχρι το κλειδί να διαγραφεί. Δεν μπορεί να αλλάξει μετά τη δημιουργία του κλειδιού (προεπιλογή 1 ημέρα).

Κύρια Έκδοση

Κάθε κλειδί KMS μπορεί να έχει πολλές εκδόσεις, μία από αυτές πρέπει να είναι η προεπιλεγμένη, αυτή θα είναι η χρησιμοποιούμενη όταν δεν καθορίζεται έκδοση κατά την αλληλεπίδραση με το κλειδί KMS.

Αριθμητική

Έχοντας άδειες για να καταγράψετε τα κλειδιά, έτσι μπορείτε να τα αποκτήσετε:

# List the global keyrings available
gcloud kms keyrings list --location global
gcloud kms keyrings get-iam-policy <KEYRING>

# List the keys inside a keyring
gcloud kms keys list --keyring <KEYRING> --location <global/other_locations>
gcloud kms keys get-iam-policy <KEY>

# Encrypt a file using one of your keys
gcloud kms encrypt --ciphertext-file=[INFILE] \
--plaintext-file=[OUTFILE] \
--key [KEY] \
--keyring [KEYRING] \
--location global

# Decrypt a file using one of your keys
gcloud kms decrypt --ciphertext-file=[INFILE] \
--plaintext-file=[OUTFILE] \
--key [KEY] \
--keyring [KEYRING] \
--location global

Ανάβαση Δικαιωμάτων

GCP - KMS Privesc

Μετά την Εκμετάλλευση

GCP - KMS Post Exploitation

Αναφορές

https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/#reviewing-stackdriver-logging

Υποστήριξη HackTricks

Έλεγξε τα σχέδια συνδρομής!
Συμμετοχή στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολούθησέ μας στο Twitter 🐦 @hacktricks_live.
Μοιράσου κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

PreviousGCP - IAM, Principals & Org Policies Enum NextGCP - Logging Enum

Last updated 3 days ago