GCP - KMS Enum

htARTE (HackTricks AWS Red Team Expert) ile sıfırdan kahraman olmak için AWS hackleme öğrenin!

HackTricks'ı desteklemenin diğer yolları:

Şirketinizi HackTricks'te reklamını görmek veya HackTricks'i PDF olarak indirmek için ABONELİK PLANLARI'na göz atın!
Resmi PEASS & HackTricks ürünlerini edinin
The PEASS Family koleksiyonumuzdaki özel NFT'leri keşfedin
💬 Discord grubuna veya telegram grubuna katılın veya Twitter 🐦 @carlospolopm'u takip edin.
Hacking hilelerinizi HackTricks ve HackTricks Cloud github reposuna PR göndererek paylaşın.

KMS

Cloud Key Management Service (Bulut Anahtar Yönetimi Hizmeti), şifreleme ve hassas verilerin şifrelenmesi gibi işlemler için şifreleme anahtarlarının güvenli depolama alanı olarak hizmet verir. Bu anahtarlar, yapılandırılmış yönetim imkanı sağlayan anahtar halkaları içinde düzenlenir. Ayrıca, erişim kontrolü, izinlerin güvenlik gereksinimleriyle tam olarak uyumlu olmasını sağlamak için, bireysel anahtar düzeyinde veya tüm anahtar halkası için ayrıntılı olarak yapılandırılabilir.

KMS anahtar halkaları, varsayılan olarak küresel olarak oluşturulur, bu da o anahtar halkasındaki anahtarların herhangi bir bölgeden erişilebilir olduğu anlamına gelir. Bununla birlikte, belirli bölgelerde belirli anahtar halkaları oluşturmak mümkündür.

Anahtar Koruma Seviyesi

Yazılım anahtarları: Yazılım anahtarları, tamamen yazılım aracılığıyla KMS tarafından oluşturulur ve yönetilir. Bu anahtarlar, herhangi bir donanım güvenlik modülü (HSM) tarafından korunmaz ve test ve geliştirme amaçları için kullanılabilir. Yazılım anahtarları, düşük güvenlik sağladığı ve saldırılara karşı hassas olduğu için üretimde önerilmez.
Bulut barındırılan anahtarlar: Bulut barındırılan anahtarlar, KMS tarafından bulutta yüksek kullanılabilirlik ve güvenilir bir altyapı kullanılarak oluşturulur ve yönetilir. Bu anahtarlar, HSM'ler tarafından korunur, ancak HSM'ler belirli bir müşteriye özel değildir. Bulut barındırılan anahtarlar, çoğu üretim kullanım durumu için uygundur.
Harici anahtarlar: Harici anahtarlar, KMS dışında oluşturulur ve yönetilir ve şifreleme işlemlerinde kullanılmak üzere KMS'ye aktarılır. Harici anahtarlar, müşterinin tercihine bağlı olarak bir donanım güvenlik modülünde (HSM) veya bir yazılım kitaplığında saklanabilir.

Anahtar Amaçları

Simetrik şifreleme/şifre çözme: Hem şifreleme hem de şifre çözme işlemleri için tek bir anahtar kullanılarak verilerin şifrelenmesi ve şifre çözülmesi için kullanılır. Simetrik anahtarlar, büyük veri hacimlerinin şifrelenmesi ve şifre çözülmesi için hızlı ve verimlidir.
Desteklenen: cryptoKeys.encrypt, cryptoKeys.decrypt
Asimetrik İmzalama: Anahtar paylaşımı olmadan iki taraf arasında güvenli iletişim için kullanılır. Asimetrik anahtarlar, bir genel anahtar ve bir özel anahtar çiftinden oluşur. Genel anahtar başkalarıyla paylaşılırken, özel anahtar gizli tutulur.
Desteklenen: cryptoKeyVersions.asymmetricSign, cryptoKeyVersions.getPublicKey
Asimetrik Şifre Çözme: Bir ileti veya verinin doğruluğunu doğrulamak için kullanılır. Bir dijital imza, bir özel anahtar kullanılarak oluşturulur ve karşılık gelen genel anahtar kullanılarak doğrulanabilir.
Desteklenen: cryptoKeyVersions.asymmetricDecrypt, cryptoKeyVersions.getPublicKey
MAC İmzalama: Bir gizli anahtar kullanılarak veri bütünlüğünü ve doğruluğunu sağlamak için bir mesaj kimlik doğrulama kodu (MAC) oluşturulması için kullanılır. HMAC, ağ protokollerinde ve yazılım uygulamalarında mesaj kimlik doğrulaması için yaygın olarak kullanılır.
Desteklenen: cryptoKeyVersions.macSign, cryptoKeyVersions.macVerify

Dönüşüm Süresi ve Programlanmış Yok Etme Süresi

Varsayılan olarak, her 90 gün ancak kolayca ve tamamen özelleştirilebilir.

"Programlanmış yok etme" süresi, kullanıcının anahtarı silme talep ettiği andan anahtarın silindiği ana kadar geçen süredir. Anahtar oluşturulduktan sonra değiştirilemez (varsayılan 1 gün).

Birincil Sürüm

Her KMS anahtarının birden fazla sürümü olabilir, bunlardan biri varsayılan olmalıdır, bu, KMS anahtarıyla etkileşimde sürüm belirtilmediğinde kullanılacak olan sürüm olacaktır.

Numaralandırma

Anahtarları listeleme izinlerine sahipseniz, bunlara nasıl erişebileceğinizi aşağıdaki gibi yapabilirsiniz:

# List the global keyrings available
gcloud kms keyrings list --location global
gcloud kms keyrings get-iam-policy <KEYRING>

# List the keys inside a keyring
gcloud kms keys list --keyring <KEYRING> --location <global/other_locations>
gcloud kms keys get-iam-policy <KEY>

# Encrypt a file using one of your keys
gcloud kms decrypt --ciphertext-file=[INFILE] \
--plaintext-file=[OUTFILE] \
--key [KEY] \
--keyring [KEYRING] \
--location global

# Decrypt a file using one of your keys
gcloud kms decrypt --ciphertext-file=[INFILE] \
--plaintext-file=[OUTFILE] \
--key [KEY] \
--keyring [KEYRING] \
--location global

Yetki Yükseltme

GCP - KMS Privesc

Saldırı Sonrası

GCP - KMS Post Exploitation

Referanslar

https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/#reviewing-stackdriver-logging

htARTE (HackTricks AWS Red Team Expert) ile sıfırdan kahraman olmak için AWS hackleme öğrenin!

HackTricks'i desteklemenin diğer yolları:

Şirketinizi HackTricks'te reklamınızı görmek veya HackTricks'i PDF olarak indirmek için ABONELİK PLANLARI'na göz atın!
Resmi PEASS & HackTricks ürünlerini edinin
Özel NFT'lerden oluşan koleksiyonumuz The PEASS Family'yi keşfedin
💬 Discord grubuna veya telegram grubuna katılın veya Twitter 🐦 @carlospolopm'u takip edin.
Hacking hilelerinizi HackTricks ve HackTricks Cloud github reposuna PR göndererek paylaşın.

PreviousGCP - IAM, Principals & Org Policies Enum NextGCP - Logging Enum

Last updated 9 months ago