GCP - KMS Enum

AWS हैकिंग सीखें शून्य से लेकर हीरो तक htARTE (HackTricks AWS Red Team Expert) के साथ!

HackTricks का समर्थन करने के अन्य तरीके:

यदि आप चाहते हैं कि आपकी कंपनी का विज्ञापन HackTricks में दिखाई दे या HackTricks को PDF में डाउनलोड करें, तो सब्सक्रिप्शन प्लान्स देखें!
आधिकारिक PEASS & HackTricks स्वैग प्राप्त करें
The PEASS Family की खोज करें, हमारा एक्सक्लूसिव NFTs का संग्रह
💬 Discord group में शामिल हों या telegram group या Twitter पर 🐦 @carlospolopm को फॉलो करें.
HackTricks और HackTricks Cloud github repos में PRs सबमिट करके अपनी हैकिंग ट्रिक्स साझा करें.

KMS

Cloud Key Management Service एक भंडार है क्रिप्टोग्राफिक कुंजियों के लिए, जैसे कि उन्हें संवेदनशील फाइलों को एन्क्रिप्ट और डिक्रिप्ट करने के लिए उपयोग किया जाता है। व्यक्तिगत कुंजियाँ कुंजी छल्लों में संग्रहीत की जाती हैं, और दोनों स्तरों पर विस्तृत अनुमतियाँ लागू की जा सकती हैं।

KMS कुंजी छल्ले डिफ़ॉल्ट रूप से ग्लोबल के रूप में बनाए जाते हैं, जिसका अर्थ है कि उस कुंजी छल्ले के अंदर की कुंजियाँ किसी भी क्षेत्र से सुलभ होती हैं। हालांकि, विशिष्ट क्षेत्रों में विशिष्ट कुंजी छल्ले बनाना संभव है।

कुंजी सुरक्षा स्तर

सॉफ्टवेयर कुंजियाँ: सॉफ्टवेयर कुंजियाँ पूरी तरह से सॉफ्टवेयर में KMS द्वारा बनाई और प्रबंधित की जाती हैं। इन कुंजियों की सुरक्षा किसी भी हार्डवेयर सुरक्षा मॉड्यूल (HSM) द्वारा नहीं की जाती है और ये परीक्षण और विकास के उद्देश्यों के लिए उपयोग की जा सकती हैं। सॉफ्टवेयर कुंजियाँ उत्पादन के लिए अनुशंसित नहीं हैं क्योंकि वे कम सुरक्षा प्रदान करती हैं और हमलों के लिए संवेदनशील होती हैं।
क्लाउड-होस्टेड कुंजियाँ: क्लाउड-होस्टेड कुंजियाँ KMS द्वारा क्लाउड में बनाई और प्रबंधित की जाती हैं एक उच्च उपलब्ध और विश्वसनीय अवसंरचना का उपयोग करके। इन कुंजियों की सुरक्षा HSMs द्वारा की जाती है, लेकिन HSMs किसी विशिष्ट ग्राहक के लिए समर्पित नहीं होते हैं। क्लाउड-होस्टेड कुंजियाँ अधिकांश उत्पादन उपयोग के मामलों के लिए उपयुक्त हैं।
बाहरी कुंजियाँ: बाहरी कुंजियाँ KMS के बाहर बनाई और प्रबंधित की जाती हैं, और क्रिप्टोग्राफिक ऑपरेशनों में उपयोग के लिए KMS में आयात की जाती हैं। बाहरी कुंजियाँ एक हार्डवेयर सुरक्षा मॉड्यूल (HSM) या एक सॉफ्टवेयर लाइब्रेरी में संग्रहीत की जा सकती हैं, ग्राहक की पसंद के आधार पर।

कुंजी उद्देश्य

सममित एन्क्रिप्शन/डिक्रिप्शन: एक ही कुंजी का उपयोग करके डेटा को एन्क्रिप्ट और डिक्रिप्ट करने के लिए उपयोग किया जाता है। सममित कुंजियाँ बड़ी मात्रा में डेटा को एन्क्रिप्ट और डिक्रिप्ट करने के लिए तेज और कुशल होती हैं।
समर्थित: cryptoKeys.encrypt, cryptoKeys.decrypt
असममित हस्ताक्षर: कुंजी साझा किए बिना दो पक्षों के बीच सुरक्षित संचार के लिए उपयोग किया जाता है। असममित कुंजियाँ एक जोड़ी में आती हैं, जिसमें एक सार्वजनिक कुंजी और एक निजी कुंजी शामिल होती है। सार्वजनिक कुंजी दूसरों के साथ साझा की जाती है, जबकि निजी कुंजी गुप्त रखी जाती है।
समर्थित: cryptoKeyVersions.asymmetricSign, cryptoKeyVersions.getPublicKey
असममित डिक्रिप्शन: संदेश या डेटा की प्रामाणिकता की जांच करने के लिए उपयोग किया जाता है। एक डिजिटल हस्ताक्षर एक निजी कुंजी का उपयोग करके बनाया जाता है और संबंधित सार्वजनिक कुंजी का उपयोग करके सत्यापित किया जा सकता है।
समर्थित: cryptoKeyVersions.asymmetricDecrypt, cryptoKeyVersions.getPublicKey
MAC हस्ताक्षर: डेटा की अखंडता और प्रामाणिकता सुनिश्चित करने के लिए एक संदेश प्रमाणीकरण कोड (MAC) बनाने के लिए उपयोग किया जाता है। HMAC आमतौर पर नेटवर्क प्रोटोकॉल और सॉफ्टवेयर अनुप्रयोगों में संदेश प्रमाणीकरण के लिए उपयोग किया जाता है।
समर्थित: cryptoKeyVersions.macSign, cryptoKeyVersions.macVerify

रोटेशन अवधि और विनाश के लिए प्रोग्राम की गई अवधि

डिफ़ॉल्ट रूप से, प्रत्येक 90 दिनों में लेकिन इसे आसानी से और पूरी तरह से अनुकूलित किया जा सकता है।

"विनाश के लिए प्रोग्राम की गई" अवधि वह समय है जब उपयोगकर्ता ने कुंजी को हटाने के लिए कहा और जब तक कुंजी हटाई जाती है। इसे कुंजी बनाने के बाद बदला नहीं जा सकता (डिफ़ॉल्ट 1 दिन)।

प्राथमिक संस्करण

प्रत्येक KMS कुंजी के कई संस्करण हो सकते हैं, उनमें से एक को डिफ़ॉल्ट होना चाहिए, यह वही होगा जिसका उपयोग किया जाएगा जब KMs कुंजी के साथ बातचीत करते समय संस्करण निर्दिष्ट नहीं किया गया हो।

गणना

कुंजियों की सूची बनाने की अनुमतियाँ होने पर आप उन तक इस प्रकार पहुँच सकते हैं:

# List the global keyrings available
gcloud kms keyrings list --location global
gcloud kms keyrings get-iam-policy <KEYRING>

# List the keys inside a keyring
gcloud kms keys list --keyring <KEYRING> --location <global/other_locations>
gcloud kms keys get-iam-policy <KEY>

# Encrypt a file using one of your keys
gcloud kms decrypt --ciphertext-file=[INFILE] \
--plaintext-file=[OUTFILE] \
--key [KEY] \
--keyring [KEYRING] \
--location global

# Decrypt a file using one of your keys
gcloud kms decrypt --ciphertext-file=[INFILE] \
--plaintext-file=[OUTFILE] \
--key [KEY] \
--keyring [KEYRING] \
--location global

विशेषाधिकार वृद्धि

pageGCP - KMS Privesc

पोस्ट एक्सप्लॉइटेशन

pageGCP - KMS Post Exploitation

संदर्भ

https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/#reviewing-stackdriver-logging

htARTE (HackTricks AWS Red Team Expert) के साथ शून्य से नायक तक AWS हैकिंग सीखें

HackTricks का समर्थन करने के अन्य तरीके:

यदि आप चाहते हैं कि आपकी कंपनी का विज्ञापन HackTricks में दिखाई दे या HackTricks को PDF में डाउनलोड करें, तो सदस्यता योजनाएं देखें!
आधिकारिक PEASS & HackTricks स्वैग प्राप्त करें
The PEASS Family की खोज करें, हमारा विशेष NFTs संग्रह
💬 Discord group में शामिल हों या telegram group में या Twitter पर 🐦 @carlospolopm को फॉलो करें.
HackTricks और HackTricks Cloud github repos में PRs सबमिट करके अपनी हैकिंग ट्रिक्स साझा करें।

PreviousGCP - IAM, Principals & Org Policies Enum NextGCP - Logging Enum

Last updated 4 months ago