S3

Für weitere Informationen siehe:

KMS-Client-seitige Verschlüsselung

Wenn der Verschlüsselungsprozess abgeschlossen ist, wird der Benutzer die KMS-API verwenden, um einen neuen Schlüssel zu generieren (aws kms generate-data-key) und er wird den generierten verschlüsselten Schlüssel in den Metadaten der Datei speichern (Python-Codebeispiel), sodass er beim Entschlüsseln diesen erneut mit KMS entschlüsseln kann:

Daher könnte ein Angreifer diesen Schlüssel aus den Metadaten erhalten und mit KMS entschlüsseln (aws kms decrypt), um den zur Verschlüsselung der Informationen verwendeten Schlüssel zu erhalten. Auf diese Weise wird der Angreifer den Verschlüsselungsschlüssel haben und wenn dieser Schlüssel wiederverwendet wird, um andere Dateien zu verschlüsseln, wird er ihn verwenden können.

Verwendung von S3 ACLs

Obwohl normalerweise die ACLs von Buckets deaktiviert sind, könnte ein Angreifer mit ausreichenden Berechtigungen sie missbrauchen (falls aktiviert oder wenn der Angreifer sie aktivieren kann), um den Zugriff auf den S3-Bucket aufrechtzuerhalten.