AWS - S3 Persistence
S3
Για περισσότερες πληροφορίες, ελέγξτε:
pageAWS - S3, Athena & Glacier EnumΚρυπτογράφηση πελάτη KMS
Όταν ολοκληρωθεί η διαδικασία κρυπτογράφησης, ο χρήστης θα χρησιμοποιήσει το API του KMS για να δημιουργήσει ένα νέο κλειδί (aws kms generate-data-key
) και θα αποθηκεύσει το παραγόμενο κρυπτογραφημένο κλειδί μέσα στα μεταδεδομένα του αρχείου (παράδειγμα κώδικα σε Python), έτσι ώστε κατά την αποκρυπτογράφηση να μπορεί να το αποκρυπτογραφήσει ξανά χρησιμοποιώντας το KMS:
Συνεπώς, ένας επιτιθέμενος μπορεί να αποκτήσει αυτό το κλειδί από τα μεταδεδομένα και να το αποκρυπτογραφήσει με το KMS (aws kms decrypt
) για να αποκτήσει το κλειδί που χρησιμοποιήθηκε για την κρυπτογράφηση των πληροφοριών. Με αυτόν τον τρόπο, ο επιτιθέμενος θα έχει το κλειδί κρυπτογράφησης και εάν αυτό το κλειδί χρησιμοποιηθεί ξανά για την κρυπτογράφηση άλλων αρχείων, θα μπορεί να το χρησιμοποιήσει.
Χρήση ACLs του S3
Παρόλο που συνήθως οι ACLs των κάδων είναι απενεργοποιημένες, ένας επιτιθέμενος με επαρκή δικαιώματα μπορεί να τις καταχραστεί (εάν είναι ενεργοποιημένες ή εάν ο επιτιθέμενος μπορεί να τις ενεργοποιήσει) για να διατηρήσει την πρόσβαση στον κάδο S3.
Last updated