GCP - KMS Enum

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

KMS

Huduma ya Usimamizi wa Funguo za Wingu inatumika kama hifadhi salama ya funguo za kificho, ambazo ni muhimu kwa shughuli kama kuficha na kufichua data nyeti. Funguo hizi zimepangwa ndani ya pete za funguo, kuruhusu usimamizi wa muundo. Zaidi ya hayo, udhibiti wa ufikiaji unaweza kuundwa kwa usahihi, iwe ni katika kiwango cha funguo binafsi au kwa pete nzima ya funguo, kuhakikisha kuwa ruhusa zinaendana kwa usahihi na mahitaji ya usalama.

Pete za funguo za KMS kwa default huundwa kama za kimataifa, ambayo inamaanisha kuwa funguo ndani ya pete hiyo zinapatikana kutoka eneo lolote. Hata hivyo, inawezekana kuunda pete maalum za funguo katika mikoa maalum.

Kiwango cha Ulinzi wa Funguo

Funguo za Programu: Funguo za programu zina undwa na kusimamiwa na KMS kabisa katika programu. Funguo hizi hazihifadhiwi na moduli ya usalama wa vifaa (HSM) na zinaweza kutumika kwa majaribio na maendeleo. Funguo za programu hazipendekezwi kwa matumizi ya uzalishaji kwa sababu zinatoa usalama wa chini na zinaweza kushambuliwa.
Funguo za Wingu: Funguo za wingu zina undwa na kusimamiwa na KMS katika wingu kwa kutumia miundombinu inayopatikana kwa urahisi na ya kuaminika. Funguo hizi zinalindwa na HSMs, lakini HSMs hazijitolea kwa mteja maalum. Funguo za wingu zinafaa kwa matumizi mengi ya uzalishaji.
Funguo za Nje: Funguo za nje zina undwa na kusimamiwa nje ya KMS, na zinaingizwa katika KMS kwa matumizi katika shughuli za kificho. Funguo za nje zinaweza kuhifadhiwa katika moduli ya usalama wa vifaa (HSM) au maktaba ya programu, kulingana na mapendeleo ya mteja.

Malengo ya Funguo

Kuficha/kufichua kwa Simetriki: Inatumika kuficha na kufichua data kwa kutumia funguo moja kwa shughuli zote mbili. Funguo za simetriki ni za haraka na zenye ufanisi kwa kuficha na kufichua kiasi kikubwa cha data.
Imepokelewa: cryptoKeys.encrypt, cryptoKeys.decrypt
Saini Asimetriki: Inatumika kwa mawasiliano salama kati ya pande mbili bila kushiriki funguo. Funguo za asimetriki zinakuja kwa jozi, zikiwa na funguo ya umma na funguo ya faragha. Funguo ya umma inashirikiwa na wengine, wakati funguo ya faragha inahifadhiwa kwa siri.
Imepokelewa: cryptoKeyVersions.asymmetricSign, cryptoKeyVersions.getPublicKey
Kufichua kwa Asimetriki: Inatumika kuthibitisha uhalali wa ujumbe au data. Sahihi ya kidijitali inaundwa kwa kutumia funguo ya faragha na inaweza kuthibitishwa kwa kutumia funguo ya umma inayolingana.
Imepokelewa: cryptoKeyVersions.asymmetricDecrypt, cryptoKeyVersions.getPublicKey
Saini ya MAC: Inatumika kuhakikisha uaminifu na uhalali wa data kwa kuunda msimbo wa uthibitisho wa ujumbe (MAC) kwa kutumia funguo ya siri. HMAC inatumika sana kwa uthibitisho wa ujumbe katika protokali za mtandao na programu za programu.
Imepokelewa: cryptoKeyVersions.macSign, cryptoKeyVersions.macVerify

Kipindi cha Mzunguko & Kipindi kilichopangwa kwa uharibifu

Kwa default, kila siku 90 lakini inaweza kubadilishwa kwa urahisi na kikamilifu.

Kipindi cha "Kimepangwa kwa uharibifu" ni wakati tangu mtumiaji aombe kufuta funguo na hadi funguo hiyo ifutwe. Haliwezi kubadilishwa baada ya funguo kuundwa (default siku 1).

Toleo Kuu

Kila funguo ya KMS inaweza kuwa na matoleo kadhaa, moja yao lazima iwe ya default, hii itakuwa ile inayotumika wakati toleo halijabainishwa wakati wa kuingiliana na funguo za KMS.

Uainishaji

Kuwa na ruhusa ya kuorodhesha funguo hii ndiyo njia unavyoweza kuzipata:

# List the global keyrings available
gcloud kms keyrings list --location global
gcloud kms keyrings get-iam-policy <KEYRING>

# List the keys inside a keyring
gcloud kms keys list --keyring <KEYRING> --location <global/other_locations>
gcloud kms keys get-iam-policy <KEY>

# Encrypt a file using one of your keys
gcloud kms encrypt --ciphertext-file=[INFILE] \
--plaintext-file=[OUTFILE] \
--key [KEY] \
--keyring [KEYRING] \
--location global

# Decrypt a file using one of your keys
gcloud kms decrypt --ciphertext-file=[INFILE] \
--plaintext-file=[OUTFILE] \
--key [KEY] \
--keyring [KEYRING] \
--location global

Kuinua Mamlaka

GCP - KMS Privesc

Baada ya Kutekeleza

GCP - KMS Post Exploitation

Marejeleo

https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/#reviewing-stackdriver-logging

Jifunze & fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze & fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Angalia mpango wa usajili!
Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

PreviousGCP - IAM, Principals & Org Policies Enum NextGCP - Logging Enum

Last updated 14 days ago