Symmetrische Verschlüsselung

In diesem Thema erfahren Sie, wie Sie die folgenden Vorgänge für symmetrische Rohschlüssel ausführen:

  • Text oder binären Klartext lokal oder mit Cloud KMS verschlüsseln
  • Geheimtexte lokal oder mit Cloud KMS entschlüsseln

Wenn Sie stattdessen einen regulären (nicht rohen) symmetrischen Schlüsselvorgang ausführen möchten, lesen Sie den Abschnitt Daten mit einem symmetrischen Schlüssel verschlüsseln und entschlüsseln.

Mit der rohen symmetrischen Verschlüsselung können Sie Ihre Daten lokal vor Ort oder mit Cloud KMS verschlüsseln und entschlüsseln und verschlüsselte Daten zwischen verschiedenen Bibliotheken und Dienstanbietern übertragen, ohne sie zuerst entschlüsseln zu müssen. Diese Funktion hängt davon ab, ob der Schlüssel zum Zeitpunkt des Vorgangs verfügbar ist. Wenn Sie die Geheimtexte außerhalb von Google Cloudverwenden möchten, müssen Sie einen importierten Schlüssel verwenden, da in Cloud KMS generierte Schlüssel nicht exportiert werden können. Diese Verschlüsselungsalgorithmen generieren Standard-Chiffretexte, die von jedem Standard-Entschlüsselungsdienst entschlüsselt werden können. Wir unterstützen die folgenden symmetrischen Rohverschlüsselungsalgorithmen:

  • AES-128-GCM
  • AES-256-GCM
  • AES-128-CBC
  • AES-256-CBC
  • AES-128-CTR
  • AES-256-CTR

Beachten Sie bei diesen Rohverschlüsselungsalgorithmen Folgendes:

  • AES-GCM bietet Authentifizierung basierend auf den zusätzlichen authentifizierten Daten (Additional Authenticated Data, AAD) und generiert ein Authentifizierungstag. Es ist der empfohlene Verschlüsselungsalgorithmus. Daten, die mit AES-GCM-Algorithmen verschlüsselt wurden, können ohne die bereitgestellten zusätzlichen authentifizierten Daten (AAD) nicht entschlüsselt werden.

  • Bei AES-CBC muss die Größe des Klartexts ein Vielfaches der Blockgröße (16 Byte) sein. Wenn der Klartext kein Vielfaches der Blockgröße ist, füllen Sie ihn vor der Verschlüsselung auf. Andernfalls schlägt der Vorgang mit einem Fehler fehl, der das Problem angibt.

  • AES-CBC und AES-CTR sind keine authentifizierten Verschlüsselungsschemas, was bedeutet, dass sie ein höheres Risiko für versehentlichen Missbrauch bergen können. Sie werden angeboten, um Legacy- und Interoperabilitätsanforderungen zu unterstützen, und sollten mit Vorsicht verwendet werden. Um einen zufälligen Missbrauch zu verhindern, sind für die Verwendung dieser Verschlüsselungsalgorithmen die folgenden IAM-Berechtigungen erforderlich:

    • cloudkms.cryptoKeyVersions.manageRawAesCbcKeys für AES-CBC.
    • cloudkms.cryptoKeyVersions.manageRawAesCtrKeys für AES-CTR.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihren Schlüssel zuzuweisen, um die Berechtigungen zu erhalten, die Sie zur Verwendung der Rohverschlüsselung benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Zusätzliche Rollen für nicht authentifizierte Rohverschlüsselungsalgorithmen

  • AES-CBC-Schlüssel verwenden: Cloud KMS Expert Raw AES-CBC Key Manager (roles/cloudkms.expertRawAesCbc)
  • AES-CTR-Schlüssel verwenden: Cloud KMS Expert Raw AES-CTR Key Manager (roles/cloudkms.expertRawAesCtr)

Hinweise

  • Erteilen Sie den vorgesehenen Hauptkonten die genannten Berechtigungen für die symmetrische Rohverschlüsselung.
  • Erstellen Sie einen Schlüsselbund, wie unter Schlüsselbunde erstellen beschrieben.
  • Erstellen und importieren Sie einen symmetrischen Rohverschlüsselungsschlüssel, wie unter Schlüssel erstellen und Schlüssel importieren beschrieben.

Verschlüsseln

gcloud

Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst Google Cloud CLI installieren oder ein Upgrade ausführen.

gcloud kms raw-encrypt \
    --location LOCATION \
    --keyring KEY_RING \
    --key KEY_NAME \
    --version KEY_VERSION \
    --plaintext-file INPUT_FILE_PATH \
    --ciphertext-file OUTPUT_FILE_PATH

Ersetzen Sie Folgendes:

  • LOCATION: der Cloud KMS-Speicherort des Schlüsselbunds.

  • KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthält

  • KEY_NAME: Der Name des Schlüssels, der für die Verschlüsselung verwendet werden soll.

  • KEY_VERSION: Die ID der Schlüsselversion, die für die Verschlüsselung verwendet werden soll.

  • INPUT_FILE_PATH: Der lokale Dateipfad zum Lesen der Klartextdaten.

  • OUTPUT_FILE_PATH: der lokale Dateipfad zum Speichern der verschlüsselten Ausgabe.

Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help aus.

API

In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.

Wenn Sie JSON und die REST API verwenden, müssen Inhalte mit base64 codiert sein, bevor sie von Cloud KMS verschlüsselt werden können.

Verwenden Sie die Methode rawEncrypt, um Klartextdaten zu verschlüsseln:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION:rawEncrypt" \
  --request "POST" \
  --header "authorization: Bearer TOKEN" \
  --header "content-type: application/json" \
  --data '{"plaintext": "BASE64_ENCODED_INPUT", "additionalAuthenticatedData": "BASE64_ENCODED_AAD"}'

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Projekts, das den Schlüsselbund enthält.
  • LOCATION: der Cloud KMS-Speicherort des Schlüsselbunds.
  • KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthält
  • KEY_NAME: Der Name des Schlüssels, der für die Verschlüsselung verwendet werden soll.
  • KEY_VERSION: Die ID der Schlüsselversion, die für die Verschlüsselung verwendet werden soll.
  • BASE64_ENCODED_INPUT: Die base64-codierten Klartextdaten, die Sie verschlüsseln möchten.
  • BASE64_ENCODED_AAD: Die base64-codierten zusätzlichen authentifizierten Daten, die verwendet werden, um die Integrität und Authentizität zu gewährleisten. Dieses Feld gilt nur für die AES-GCM-Algorithmen.

Die Ausgabe ist ein JSON-Objekt, das den verschlüsselten Geheimtext und den zugehörigen Initialisierungsvektor als base64-codierte Strings enthält.

Decrypt

gcloud

Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst Google Cloud CLI installieren oder ein Upgrade ausführen.

gcloud kms raw-decrypt \
    --location LOCATION \
    --keyring KEY_RING \
    --key KEY_NAME \
    --version KEY_VERSION \
    --ciphertext-file INPUT_FILE_PATH \
    --plaintext-file OUTPUT_FILE_PATH

Ersetzen Sie Folgendes:

  • LOCATION: der Cloud KMS-Speicherort des Schlüsselbunds.

  • KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthält

  • KEY_NAME: Der Name des Schlüssels, der für die Verschlüsselung verwendet werden soll.

  • KEY_VERSION: Die ID der Schlüsselversion, die für die Verschlüsselung verwendet werden soll.

  • INPUT_FILE_PATH: Der lokale Dateipfad zum Chiffretext, den Sie entschlüsseln möchten.

  • OUTPUT_FILE_PATH: der lokale Dateipfad, in dem Sie den entschlüsselten Klartext speichern möchten.

Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help aus.

API

In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.

Wenn Sie die REST API verwenden, müssen Inhalte mit base64 codiert sein, bevor sie von Cloud KMS entschlüsselt werden können.

Verwenden Sie zum Entschlüsseln der verschlüsselten Daten die Methode rawDecrypt:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION:rawDecrypt" \
  --request "POST" \
  --header "authorization: Bearer TOKEN" \
  --header "content-type: application/json" \
  --data '{"ciphertext": "BASE64_ENCODED_DATA", "additionalAuthenticatedData": "BASE64_ENCODED_AAD", "initializationVector": "BASE64_ENCODED_IV"}'

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Projekts, das den Schlüsselbund enthält.
  • LOCATION: der Cloud KMS-Speicherort des Schlüsselbunds.
  • KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthält
  • KEY_NAME: der Name des Schlüssels, der für die Entschlüsselung verwendet werden soll.
  • KEY_VERSION: Die ID der Schlüsselversion, die für die Entschlüsselung verwendet werden soll.
  • BASE64_ENCODED_DATA: Der base64-codierte Chiffretext, den Sie entschlüsseln möchten.
  • BASE64_ENCODED_AAD: Die base64-codierten zusätzlichen authentifizierten Daten, die bei der Verschlüsselung der Daten verwendet wurden. Dieses Feld gilt nur für die AES-GCM-Algorithmen.
  • BASE64_ENCODED_IV: Der base64-codierte Initialisierungsvektor, der bei der Verschlüsselung der Daten verwendet wurde.

Die Ausgabe ist ein JSON-Objekt, das den entschlüsselten Klartext als base64-codierten String enthält.

Nächste Schritte