Last updated
Za više informacija pogledajte:
Kada se enkripcijski proces završi, korisnik će koristiti KMS API da generiše novi ključ (aws kms generate-data-key) i sačuva generisani enkriptovani ključ unutar metapodataka fajla (python primer koda) tako da prilikom dekripcije može ponovo da ga dekriptuje koristeći KMS:
Stoga, napadač može dobiti ovaj ključ iz metapodataka i dekriptovati ga sa KMS (aws kms decrypt) kako bi dobio ključ koji je korišćen za enkripciju informacija. Na ovaj način, napadač će imati ključ za enkripciju i ako se taj ključ ponovo koristi za enkripciju drugih fajlova, moći će ga koristiti.
Iako su obično ACL-ovi kanti onemogućeni, napadač sa dovoljno privilegija može ih zloupotrebiti (ako su omogućeni ili ako napadač može da ih omogući) kako bi zadržao pristup S3 kanti.
