AWS - S3 Persistence
S3
अधिक जानकारी के लिए देखें:
pageAWS - S3, Athena & Glacier EnumKMS Client-Side Encryption
जब एन्क्रिप्शन प्रक्रिया पूरी हो जाती है, उपयोगकर्ता KMS API का उपयोग करके एक नई कुंजी उत्पन्न करेगा (aws kms generate-data-key
) और वह उत्पन्न की गई एन्क्रिप्टेड कुंजी को फाइल के मेटाडेटा के अंदर स्टोर करेगा (python कोड उदाहरण) ताकि जब डिक्रिप्टिंग हो तो वह इसे KMS का उपयोग करके फिर से डिक्रिप्ट कर सके:
इसलिए, एक हमलावर इस कुंजी को मेटाडेटा से प्राप्त कर सकता है और KMS के साथ डिक्रिप्ट कर सकता है (aws kms decrypt
) जिससे उसे एन्क्रिप्शन के लिए उपयोग की गई कुंजी मिल जाएगी। इस तरह हमलावर के पास एन्क्रिप्शन कुंजी होगी और यदि वह कुंजी अन्य फाइलों को एन्क्रिप्ट करने के लिए पुन: उपयोग की जाती है तो वह इसे उपयोग कर सकता है।
S3 ACLs का उपयोग करना
हालांकि आमतौर पर बकेट्स के ACLs निष्क्रिय होते हैं, पर्याप्त अधिकारों वाला एक हमलावर उनका दुरुपयोग कर सकता है (यदि सक्षम हो या यदि हमलावर उन्हें सक्षम कर सकता है) S3 बकेट तक पहुंच बनाए रखने के लिए।
Last updated