GCP - KMS Enum

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

Ako želite da vidite vašu kompaniju reklamiranu na HackTricks-u ili preuzmete HackTricks u PDF formatu proverite SUBSCRIPTION PLANS!
Nabavite zvanični PEASS & HackTricks swag
Otkrijte The PEASS Family, našu kolekciju ekskluzivnih NFT-ova
Pridružite se 💬 Discord grupi ili telegram grupi ili pratite me na Twitter-u 🐦 @carlospolopm.
Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

KMS

Cloud Key Management Service služi kao sigurno skladište za kriptografske ključeve, koji su neophodni za operacije kao što su šifrovanje i dešifrovanje osetljivih podataka. Ovi ključevi su organizovani unutar prstenova ključeva, što omogućava strukturirano upravljanje. Osim toga, kontrola pristupa može biti pažljivo konfigurisana, ili na nivou pojedinačnog ključa ili za ceo prsten ključeva, obezbeđujući da dozvole budu precizno usklađene sa sigurnosnim zahtevima.

KMS prstenovi ključeva su podrazumevano kreirani kao globalni, što znači da su ključevi unutar tog prstena ključeva dostupni iz bilo koje regije. Međutim, moguće je kreirati specifične prstenove ključeva u specifičnim regionima.

Nivo zaštite ključeva

Softverski ključevi: Softverski ključevi su kreirani i upravljani od strane KMS-a isključivo u softveru. Ovi ključevi nisu zaštićeni hardverskim sigurnosnim modulom (HSM) i mogu se koristiti u svrhe testiranja i razvoja. Softverski ključevi se ne preporučuju za produkciju jer pružaju nisku sigurnost i podložni su napadima.
Ključevi smešteni u oblaku: Ključevi smešteni u oblaku su kreirani i upravljani od strane KMS-a u oblaku koristeći visoko dostupnu i pouzdanu infrastrukturu. Ovi ključevi su zaštićeni HSM-ovima, ali HSM-ovi nisu posvećeni određenom korisniku. Ključevi smešteni u oblaku su pogodni za većinu slučajeva upotrebe u produkciji.
Spoljni ključevi: Spoljni ključevi su kreirani i upravljani van KMS-a, i uvoze se u KMS radi korišćenja u kriptografskim operacijama. Spoljni ključevi mogu biti smešteni u hardverskom sigurnosnom modulu (HSM) ili softverskoj biblioteci, u zavisnosti od preferencija korisnika.

Namene ključeva

Simetrično šifrovanje/dešifrovanje: Koristi se za šifrovanje i dešifrovanje podataka korišćenjem jednog ključa za obe operacije. Simetrični ključevi su brzi i efikasni za šifrovanje i dešifrovanje velikih količina podataka.
Podržano: cryptoKeys.encrypt, cryptoKeys.decrypt
Asimetrično potpisivanje: Koristi se za sigurnu komunikaciju između dve strane bez deljenja ključa. Asimetrični ključevi dolaze u paru, sastoje se od javno dostupnog ključa i privatnog ključa. Javni ključ se deli sa drugima, dok se privatni ključ čuva tajnim.
Podržano: cryptoKeyVersions.asymmetricSign, cryptoKeyVersions.getPublicKey
Asimetrično dešifrovanje: Koristi se za proveru autentičnosti poruke ili podataka. Digitalni potpis se kreira korišćenjem privatnog ključa i može se proveriti korišćenjem odgovarajućeg javnog ključa.
Podržano: cryptoKeyVersions.asymmetricDecrypt, cryptoKeyVersions.getPublicKey
Potpisivanje MAC-om: Koristi se za obezbeđivanje integriteta i autentičnosti podataka korišćenjem tajnog ključa za kreiranje koda za autentifikaciju poruke (MAC). HMAC se često koristi za autentifikaciju poruka u mrežnim protokolima i softverskim aplikacijama.
Podržano: cryptoKeyVersions.macSign, cryptoKeyVersions.macVerify

Period rotacije i period programiran za uništenje

Podrazumevano, svakih 90 dana, ali se može lako i potpuno prilagoditi.

Period "Programiran za uništenje" je vreme od trenutka kada korisnik zatraži brisanje ključa do trenutka kada ključ bude obrisan. Nakon što je ključ kreiran, ovo vreme se ne može promeniti (podrazumevano 1 dan).

Primarna verzija

Svaki KMS ključ može imati nekoliko verzija, od kojih jedna mora biti podrazumevana, ova će se koristiti kada verzija nije navedena prilikom interakcije sa KMS ključem.

Enumeracija

Ako imate dozvole za listanje ključeva, ovako možete pristupiti njima:

# List the global keyrings available
gcloud kms keyrings list --location global
gcloud kms keyrings get-iam-policy <KEYRING>

# List the keys inside a keyring
gcloud kms keys list --keyring <KEYRING> --location <global/other_locations>
gcloud kms keys get-iam-policy <KEY>

# Encrypt a file using one of your keys
gcloud kms decrypt --ciphertext-file=[INFILE] \
--plaintext-file=[OUTFILE] \
--key [KEY] \
--keyring [KEYRING] \
--location global

# Decrypt a file using one of your keys
gcloud kms decrypt --ciphertext-file=[INFILE] \
--plaintext-file=[OUTFILE] \
--key [KEY] \
--keyring [KEYRING] \
--location global

Eskalacija privilegija

pageGCP - KMS Privesc

Post eksploatacija

pageGCP - KMS Post Exploitation

Reference

https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/#reviewing-stackdriver-logging

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

Ako želite da vidite vašu kompaniju reklamiranu u HackTricks-u ili preuzmete HackTricks u PDF formatu proverite SUBSCRIPTION PLANS!
Nabavite zvanični PEASS & HackTricks swag
Otkrijte The PEASS Family, našu kolekciju ekskluzivnih NFT-ova
Pridružite se 💬 Discord grupi ili telegram grupi ili me pratite na Twitter-u 🐦 @carlospolopm.
Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

PreviousGCP - IAM, Principals & Org Policies Enum NextGCP - Logging Enum

Last updated 29 days ago