Last updated
Για περισσότερες πληροφορίες, ελέγξτε:
AWS - S3, Athena & Glacier EnumΌταν ολοκληρωθεί η διαδικασία κρυπτογράφησης, ο χρήστης θα χρησιμοποιήσει το API του KMS για να δημιουργήσει ένα νέο κλειδί (aws kms generate-data-key) και θα αποθηκεύσει το παραγόμενο κρυπτογραφημένο κλειδί μέσα στα μεταδεδομένα του αρχείου (παράδειγμα κώδικα σε Python), έτσι ώστε κατά την αποκρυπτογράφηση να μπορεί να το αποκρυπτογραφήσει ξανά χρησιμοποιώντας το KMS:
Συνεπώς, ένας επιτιθέμενος μπορεί να αποκτήσει αυτό το κλειδί από τα μεταδεδομένα και να το αποκρυπτογραφήσει με το KMS (aws kms decrypt) για να αποκτήσει το κλειδί που χρησιμοποιήθηκε για την κρυπτογράφηση των πληροφοριών. Με αυτόν τον τρόπο, ο επιτιθέμενος θα έχει το κλειδί κρυπτογράφησης και εάν αυτό το κλειδί χρησιμοποιηθεί ξανά για την κρυπτογράφηση άλλων αρχείων, θα μπορεί να το χρησιμοποιήσει.
Παρόλο που συνήθως οι ACLs των κάδων είναι απενεργοποιημένες, ένας επιτιθέμενος με επαρκή δικαιώματα μπορεί να τις καταχραστεί (εάν είναι ενεργοποιημένες ή εάν ο επιτιθέμενος μπορεί να τις ενεργοποιήσει) για να διατηρήσει την πρόσβαση στον κάδο S3.
