GCP - KMS Enum
KMS
Служба керування ключами Cloud служить як безпечне сховище для криптографічних ключів, які є необхідними для операцій, таких як шифрування та дешифрування чутливих даних. Ці ключі організовані у внутрішніх кільцях ключів, що дозволяє структуроване управління. Крім того, контроль доступу може бути детально налаштований, як на рівні окремого ключа, так і для всього кільця ключів, забезпечуючи точне відповідання дозволів вимогам безпеки.
Кільця ключів KMS за замовчуванням створюються як глобальні, що означає, що ключі всередині цього кільця ключів доступні з будь-якого регіону. Однак можливо створити конкретні кільця ключів у конкретних регіонах.
Рівень захисту ключа
Ключі програмного забезпечення: Ключі програмного забезпечення створюються та керуються KMS виключно в програмному забезпеченні. Ці ключі не захищені жодним апаратним модулем безпеки (HSM) і можуть використовуватися для тестування та розробки. Ключі програмного забезпечення не рекомендується використовувати для продукції, оскільки вони забезпечують низький рівень безпеки та піддаються атакам.
Ключі, розміщені в хмарі: Ключі, розміщені в хмарі, створюються та керуються KMS в хмарі за допомогою високодоступної та надійної інфраструктури. Ці ключі захищені HSM, але HSM не призначені для конкретного клієнта. Ключі, розміщені в хмарі, підходять для більшості випадків використання в продукції.
Зовнішні ключі: Зовнішні ключі створюються та керуються поза KMS і імпортуються в KMS для використання в криптографічних операціях. Зовнішні ключі можуть зберігатися в апаратному модулі безпеки (HSM) або програмній бібліотеці, залежно від вибору клієнта.
Призначення ключа
Симетричне шифрування/дешифрування: Використовується для шифрування та дешифрування даних за допомогою одного ключа для обох операцій. Симетричні ключі швидкі та ефективні для шифрування та дешифрування великих обсягів даних.
Підтримується: cryptoKeys.encrypt, cryptoKeys.decrypt
Асиметричне підписування: Використовується для безпечного зв'язку між двома сторонами без обміну ключем. Асиметричні ключі поставляються в парі, складаючи з публічного ключа та приватного ключа. Публічний ключ ділиться з іншими, тоді як приватний ключ залишається секретним.
Підтримується: cryptoKeyVersions.asymmetricSign, cryptoKeyVersions.getPublicKey
Асиметричне дешифрування: Використовується для перевірки автентичності повідомлення або даних. Цифровий підпис створюється за допомогою приватного ключа і може бути перевірений за допомогою відповідного публічного ключа.
Підтримується: cryptoKeyVersions.asymmetricDecrypt, cryptoKeyVersions.getPublicKey
Підпис MAC: Використовується для забезпечення цілісності та автентичності даних шляхом створення коду аутентифікації повідомлення (MAC) за допомогою секретного ключа. HMAC часто використовується для аутентифікації повідомлень в мережевих протоколах та програмних додатках.
Підтримується: cryptoKeyVersions.macSign, cryptoKeyVersions.macVerify
Період обертання та період програмованого знищення
За замовчуванням, кожні 90 днів, але його можна легко та повністю налаштувати.
Період "Програмованого знищення" - це час з моменту, коли користувач просить видалити ключ і до моменту, коли ключ видаляється. Його не можна змінити після створення ключа (за замовчуванням 1 день).
Основна версія
Кожен ключ KMS може мати кілька версій, одна з них повинна бути основною, це буде використовуватися, коли версія не вказана при взаємодії з ключем KMs.
Перелічення
Маючи дозвіл на перелік ключів, ось як ви можете отримати до них доступ:
Підвищення привілеїв
pageGCP - KMS PrivescПісляексплуатаційна діяльність
pageGCP - KMS Post ExploitationПосилання
Last updated