gpt4 book ai didi

google-cloud-platform - Google 的 key 管理系统 : data unencryption after key rotation

转载 作者:行者123 更新时间:2023-12-03 23:37:48 32 4
gpt4 key购买 nike

上下文

我正在遵循 GCP 对 Storing Secrets 的说明在存储桶中。 KMS 用于 file encryption在上传到存储桶之前。

由于数据加密发生在 Google 存储之外,我对 key 轮换的一个方面有点困惑。

场景

让我们考虑一个特定的场景:

  1. 在 2017-01-01 我创建了一个 key 环和一个 key A (实际上是 A_ver1,因为 key 是版本化的)。此外, key 轮换政策设置为触发轮换每年
  2. 在 2017-01-15 我运行命令加密 some_file.txtA_ver1 : curl -s -X POST "https://cloudkms.googleapis.com/v1/projects/my-project/<...>" \
    -d "{\"plaintext\":\"<...SOME_FILE_CONTENT...>\"}" \
    -H "Authorization:Bearer $(gcloud auth application-default print-access-token)" \
    -H "Content-Type:application/json"
    .
  3. 我立即将加密结果以some_file.txt.encrypted保存到存储桶中.
  4. 我什么都不做,在 2018-01-01 发生了 key 轮换。 据我了解 A_ver1被禁用A_ver2生成并激活。 这两个事件几乎同时发生。
  5. 2018-06-01我意识到我需要解密some_file.txt.encrypted .我正在下载文件,然后尝试运行命令以使用 A_ver2 对文件进行解密。 ...

问题

问题 1:当我尝试使用 A_ver2 解密文件时会发生什么?如果它是用早期版本加密的 A_ver1 ?

问题2:如果解密失败,我应该首先做些什么来防止它?

最佳答案

旧版本不会在轮换时自动禁用。

问题 1:当您使用特定的 CryptoKey 解密时,服务器会选择正确的版本(在 Decrypt document 中提到)。只要一个版本没有被禁用,它就仍然可以使用。

问题2:在您的特定场景下,不会因为使用旧版本而导致解密失败。

Key rotation提到了您所期望的行为,并且正如它所指出的那样,实现一种使用新版本重新加密数据并禁用旧版本的策略可能会很棘手。

如果您有任何其他问题,请告诉我。

关于google-cloud-platform - Google 的 key 管理系统 : data unencryption after key rotation,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/46065678/

32 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com