GCP - KMS Enum
KMS
O Cloud Key Management Service é um repositório para armazenar chaves criptográficas, como aquelas usadas para criptografar e descriptografar arquivos sensíveis. Chaves individuais são armazenadas em conjuntos de chaves, e permissões granulares podem ser aplicadas em qualquer um dos níveis.
Os conjuntos de chaves KMS são criados por padrão como globais, o que significa que as chaves dentro desse conjunto são acessíveis de qualquer região. No entanto, é possível criar conjuntos de chaves específicos em regiões específicas.
Nível de Proteção da Chave
Chaves de software: Chaves de software são criadas e gerenciadas inteiramente pelo KMS em software. Essas chaves não são protegidas por nenhum módulo de segurança de hardware (HSM) e podem ser usadas para fins de teste e desenvolvimento. Chaves de software não são recomendadas para uso em produção pois oferecem baixa segurança e são suscetíveis a ataques.
Chaves hospedadas na nuvem: Chaves hospedadas na nuvem são criadas e gerenciadas pelo KMS na nuvem usando uma infraestrutura altamente disponível e confiável. Essas chaves são protegidas por HSMs, mas os HSMs não são dedicados a um cliente específico. Chaves hospedadas na nuvem são adequadas para a maioria dos casos de uso em produção.
Chaves externas: Chaves externas são criadas e gerenciadas fora do KMS, e são importadas para o KMS para uso em operações criptográficas. Chaves externas podem ser armazenadas em um módulo de segurança de hardware (HSM) ou uma biblioteca de software, dependendo da preferência do cliente.
Finalidades da Chave
Criptografia/descriptografia simétrica: Usada para criptografar e descriptografar dados usando uma única chave para ambas as operações. Chaves simétricas são rápidas e eficientes para criptografar e descriptografar grandes volumes de dados.
Suportado: cryptoKeys.encrypt, cryptoKeys.decrypt
Assinatura Assimétrica: Usada para comunicação segura entre duas partes sem compartilhar a chave. Chaves assimétricas vêm em um par, consistindo de uma chave pública e uma chave privada. A chave pública é compartilhada com outros, enquanto a chave privada é mantida em segredo.
Descriptografia Assimétrica: Usada para verificar a autenticidade de uma mensagem ou dados. Uma assinatura digital é criada usando uma chave privada e pode ser verificada usando a chave pública correspondente.
Assinatura MAC: Usada para garantir a integridade e autenticidade dos dados criando um código de autenticação de mensagem (MAC) usando uma chave secreta. HMAC é comumente usado para autenticação de mensagens em protocolos de rede e aplicações de software.
Suportado: cryptoKeyVersions.macSign, cryptoKeyVersions.macVerify
Período de Rotação & Período Programado para Destruição
Por padrão, a cada 90 dias, mas pode ser facilmente e completamente personalizado.
O período "Programado para destruição" é o tempo desde que o usuário solicita a exclusão da chave até que a chave seja deletada. Não pode ser alterado após a criação da chave (padrão de 1 dia).
Versão Primária
Cada chave KMS pode ter várias versões, uma delas deve ser a padrão, esta será a usada quando uma versão não for especificada ao interagir com a chave KMS.
Enumeração
Tendo permissões para listar as chaves, esta é a forma de acessá-las:
Escalada de Privilégios
pageGCP - KMS PrivescPós-Exploração
pageGCP - KMS Post ExploitationReferências
Última actualización