GCP - KMS Enum

Jifunze kuhack AWS kutoka sifuri hadi shujaa na htARTE (HackTricks AWS Red Team Expert)!

Njia nyingine za kusaidia HackTricks:

Ikiwa unataka kuona kampuni yako ikitangazwa kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA USAJILI!
Pata bidhaa rasmi za PEASS & HackTricks
Gundua Familia ya PEASS, mkusanyiko wetu wa NFTs ya kipekee
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au nifuata kwenye Twitter 🐦 @carlospolopm.
Shiriki mbinu zako za kuhack kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

KMS

Huduma ya Usimamizi wa Kufunguo cha Google Cloud inatumika kama uhifadhi salama wa funguo za kryptografia, ambazo ni muhimu kwa shughuli kama kuficha na kufichua data nyeti. Funguo hizi zimepangwa ndani ya pete za funguo, kuruhusu usimamizi ulio na muundo. Zaidi ya hayo, udhibiti wa ufikiaji unaweza kuwekwa kwa umakini, iwe kwa kiwango cha funguo binafsi au kwa pete nzima ya funguo, kuhakikisha kuwa ruhusa zinaendana kikamilifu na mahitaji ya usalama.

Pete za funguo za KMS kwa kawaida huanzishwa kama za ulimwengu, maana kwamba funguo ndani ya pete hiyo ya funguo inaweza kufikiwa kutoka eneo lolote. Hata hivyo, niwezekanavyo kuunda pete za funguo maalum katika mikoa maalum.

Kiwango cha Kulinda Funguo

Funguo za programu: Funguo za programu zinaundwa na kusimamiwa na KMS kabisa kwa programu. Funguo hizi hazilindwi na moduli ya usalama ya vifaa (HSM) na zinaweza kutumika kwa madhumuni ya majaribio na maendeleo. Funguo za programu si zinashauriwa kwa matumizi ya uzalishaji kwa sababu zinatoa usalama mdogo na zinaweza kushambuliwa.
Funguo zilizohifadhiwa kwenye wingu: Funguo zilizohifadhiwa kwenye wingu zinaundwa na kusimamiwa na KMS kwenye wingu kwa kutumia miundombinu inayopatikana na ya kuaminika. Funguo hizi zinalindwa na HSMs, lakini HSMs si maalum kwa mteja fulani. Funguo zilizohifadhiwa kwenye wingu ni nzuri kwa matumizi mengi ya uzalishaji.
Funguo za nje: Funguo za nje zinaundwa na kusimamiwa nje ya KMS, na kuingizwa kwenye KMS kwa matumizi katika shughuli za kryptografia. Funguo za nje zinaweza kuhifadhiwa kwenye moduli ya usalama ya vifaa (HSM) au maktaba ya programu, kulingana na upendeleo wa mteja.

Madhumuni ya Funguo

Kuficha/kufululiza kwa usawa: Hutumika kuficha na kufichua data kwa kutumia funguo moja kwa shughuli zote mbili. Funguo za usawa ni haraka na ufanisi kwa kuficha na kufichua kiasi kikubwa cha data.
Inayoungwa mkono: cryptoKeys.encrypt, cryptoKeys.decrypt
Kusaini kwa upande mmoja: Hutumika kwa mawasiliano salama kati ya pande mbili bila kushiriki funguo. Funguo za upande mmoja huja kwa jozi, ikiwa na funguo ya umma na funguo ya siri. Funguo ya umma inashirikiwa na wengine, wakati funguo ya siri inabaki siri.
Inayoungwa mkono: cryptoKeyVersions.asymmetricSign, cryptoKeyVersions.getPublicKey
Kufichua kwa upande mmoja: Hutumika kuthibitisha uhalali wa ujumbe au data. Saini ya kidijitali inaundwa kwa kutumia funguo ya siri na inaweza kuthibitishwa kwa kutumia funguo ya umma inayolingana.
Inayoungwa mkono: cryptoKeyVersions.asymmetricDecrypt, cryptoKeyVersions.getPublicKey
Kusaini MAC: Hutumika kuhakikisha ukamilifu na uhalali wa data kwa kuunda nambari ya uthibitisho wa ujumbe (MAC) kwa kutumia funguo ya siri. HMAC mara nyingi hutumika kwa uthibitisho wa ujumbe katika itifaki za mtandao na programu za programu.
Inayoungwa mkono: cryptoKeyVersions.macSign, cryptoKeyVersions.macVerify

Kipindi cha Kubadilisha & Kipindi cha Kupangwa kwa Uharibifu

Kwa kawaida, kila siku 90 lakini inaweza kubadilishwa kwa urahisi na kikamilifu.

Kipindi cha "Kupangwa kwa uharibifu" ni muda tangu mtumiaji aombe kufuta funguo hadi funguo kufutwa. Haiwezi kubadilishwa baada ya funguo kuundwa (kawaida siku 1).

Toleo Kuu

Kila funguo la KMS linaweza kuwa na matoleo kadhaa, mojawapo lazima iwe toleo la msingi, hili litatumika wakati toleo halijaainishwa wakati wa kuingiliana na funguo za KMs.

Uorodheshaji

Ukiwa na ruhusa ya kuorodhesha funguo hivi ndivyo unavyoweza kuzifikia:

# List the global keyrings available
gcloud kms keyrings list --location global
gcloud kms keyrings get-iam-policy <KEYRING>

# List the keys inside a keyring
gcloud kms keys list --keyring <KEYRING> --location <global/other_locations>
gcloud kms keys get-iam-policy <KEY>

# Encrypt a file using one of your keys
gcloud kms decrypt --ciphertext-file=[INFILE] \
--plaintext-file=[OUTFILE] \
--key [KEY] \
--keyring [KEYRING] \
--location global

# Decrypt a file using one of your keys
gcloud kms decrypt --ciphertext-file=[INFILE] \
--plaintext-file=[OUTFILE] \
--key [KEY] \
--keyring [KEYRING] \
--location global

Upandishaji wa Mamlaka

pageGCP - KMS Privesc

Baada ya Uvamizi

pageGCP - KMS Post Exploitation

Marejeo

https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/#reviewing-stackdriver-logging

Jifunze kuhusu udukuzi wa AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Ikiwa unataka kuona kampuni yako ikitangazwa kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA KUJIUNGA!
Pata swag rasmi ya PEASS & HackTricks
Gundua Familia ya PEASS, mkusanyiko wetu wa NFTs ya kipekee
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au fuata kwenye Twitter 🐦 @carlospolopm.
Shiriki mbinu zako za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

PreviousGCP - IAM, Principals & Org Policies Enum NextGCP - Logging Enum

Last updated 2 months ago