GCP - KMS Enum

Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

KMS

Die Cloud Key Management Service dien as 'n veilige berging vir kriptografiese sleutels, wat noodsaaklik is vir operasies soos versleuteling en ontsleuteling van sensitiewe data. Hierdie sleutels word georganiseer binne sleutelringe, wat gestruktureerde bestuur moontlik maak. Verder kan toegangsbeheer noukeurig gekonfigureer word, óf op die individuele sleutelvlak óf vir die hele sleutelring, om te verseker dat toestemmings presies ooreenstem met sekuriteitsvereistes.

KMS-sleutelringe word standaard as globaal geskep, wat beteken dat die sleutels binne daardie sleutelring toeganklik is vanaf enige streek. Dit is egter moontlik om spesifieke sleutelringe in spesifieke streke te skep.

Sleutelbeskermingsvlak

  • Sagteware-sleutels: Sagteware-sleutels word volledig in sagteware deur KMS geskep en bestuur. Hierdie sleutels word nie beskerm deur enige hardeware-sekuriteitsmodule (HSM) nie en kan gebruik word vir toetsing en ontwikkelingsdoeleindes. Sagteware-sleutels word nie aanbeveel vir produksie nie omdat hulle lae sekuriteit bied en vatbaar is vir aanvalle.

  • Wolk-gehoste sleutels: Wolk-gehoste sleutels word deur KMS in die wolk geskep en bestuur met behulp van 'n hoogs beskikbare en betroubare infrastruktuur. Hierdie sleutels word beskerm deur HSM's, maar die HSM's is nie toegewy aan 'n spesifieke kliënt nie. Wolk-gehoste sleutels is geskik vir die meeste produksiegevalle.

  • Eksterne sleutels: Eksterne sleutels word buitenkant van KMS geskep en bestuur, en word ingevoer in KMS vir gebruik in kriptografiese operasies. Eksterne sleutels kan gestoor word in 'n hardeware-sekuriteitsmodule (HSM) of 'n sagteware-biblioteek, afhangende van die kliënt se voorkeur.

Sleuteldoelwitte

  • Simmetriese versleuteling/ontsleuteling: Gebruik om data te versleutel en ontsleutel met 'n enkele sleutel vir beide operasies. Simmetriese sleutels is vinnig en doeltreffend vir die versleuteling en ontsleuteling van groot hoeveelhede data.

  • Asimmetriese ondertekening: Gebruik vir veilige kommunikasie tussen twee partye sonder om die sleutel te deel. Asimmetriese sleutels kom in 'n paar voor, bestaande uit 'n openbare sleutel en 'n privaatsleutel. Die openbare sleutel word gedeel met ander, terwyl die privaatsleutel geheim gehou word.

  • Asimmetriese ontsleuteling: Gebruik om die egtheid van 'n boodskap of data te verifieer. 'n Digitale handtekening word geskep met behulp van 'n privaatsleutel en kan geverifieer word met die ooreenstemmende openbare sleutel.

  • MAC-ondertekening: Gebruik om data-integriteit en egtheid te verseker deur 'n boodskapverifikasiekode (MAC) te skep met behulp van 'n geheime sleutel. HMAC word algemeen gebruik vir boodskapverifikasie in netwerkprotokolle en sagtewaretoepassings.

Rotasieperiode & Programmatuur vir vernietigingsperiode

Standaard elke 90 dae, maar dit kan maklik en volledig aangepas word.

Die "Programmatuur vir vernietiging" periode is die tyd sedert die gebruiker gevra het vir die uitwissing van die sleutel en totdat die sleutel uitgewis word. Dit kan nie verander word nadat die sleutel geskep is (standaard 1 dag).

Primêre Weergawe

Elke KMS-sleutel kan verskeie weergawes hê, waarvan een die verstek weergawe moet wees, dit sal gebruik word wanneer 'n weergawe nie gespesifiseer word wanneer daar met die KMS-sleutel geïnteraksie plaasvind nie.

Enumerasie

As jy toestemmings het om die sleutels te lys, is dit hoe jy toegang daartoe kan verkry:

# List the global keyrings available
gcloud kms keyrings list --location global
gcloud kms keyrings get-iam-policy <KEYRING>

# List the keys inside a keyring
gcloud kms keys list --keyring <KEYRING> --location <global/other_locations>
gcloud kms keys get-iam-policy <KEY>

# Encrypt a file using one of your keys
gcloud kms decrypt --ciphertext-file=[INFILE] \
--plaintext-file=[OUTFILE] \
--key [KEY] \
--keyring [KEYRING] \
--location global

# Decrypt a file using one of your keys
gcloud kms decrypt --ciphertext-file=[INFILE] \
--plaintext-file=[OUTFILE] \
--key [KEY] \
--keyring [KEYRING] \
--location global

Voorregverhoging

GCP - KMS Privesc

Na-uitbuiting

GCP - KMS Post Exploitation

Verwysings

Leer AWS-hacking vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

Last updated