Cette rubrique explique comment effectuer les opérations de clé symétrique brute suivantes :
- Chiffrez du texte ou du contenu binaire en texte brut localement ou à l'aide de Cloud KMS.
- Déchiffrez les textes chiffrés localement ou à l'aide de Cloud KMS.
Si vous préférez effectuer une opération de clé symétrique régulière (non brute), consultez Chiffrer et déchiffrer des données avec une clé symétrique.
Le chiffrement symétrique brut vous permet de chiffrer et de déchiffrer vos données localement sur site ou à l'aide de Cloud KMS, et de déplacer les données chiffrées entre différentes bibliothèques et différents fournisseurs de services sans avoir à les déchiffrer au préalable. Cette fonctionnalité dépend de la possibilité d'accéder à la clé au moment de l'opération. Si vous souhaitez utiliser les textes chiffrés en dehors de Google Cloud, vous devez utiliser une clé importée, car les clés générées dans Cloud KMS ne peuvent pas être exportées. Ces algorithmes de chiffrement génèrent des textes chiffrés standards qui peuvent être déchiffrés par n'importe quel service de déchiffrement standard. Nous acceptons les algorithmes de chiffrement symétrique brut suivants :
AES-128-GCMAES-256-GCMAES-128-CBCAES-256-CBCAES-128-CTRAES-256-CTR
Notez les points suivants concernant ces algorithmes de chiffrement bruts :
AES-GCMfournit une authentification basée sur les données d'authentification supplémentaires (AAD) et génère un tag d'authentification. Il s'agit de l'algorithme de chiffrement recommandé. Les données chiffrées à l'aide d'algorithmesAES-GCMne peuvent pas être déchiffrées sans les données d'authentification supplémentaires fournies.AES-CBCexige que la taille du texte brut soit un multiple de la taille du bloc (16 octets). Si le texte brut n'est pas un multiple de la taille du bloc, complétez-le avant de le chiffrer. Sinon, l'opération échouera et une erreur indiquant le problème s'affichera.AES-CBCetAES-CTRne sont pas des schémas de chiffrement authentifiés, ce qui signifie qu'ils peuvent présenter un risque plus élevé d'utilisation abusive accidentelle. Elles sont proposées pour répondre aux besoins d'interopérabilité et de compatibilité avec les anciennes versions, et doivent être utilisées avec précaution. Pour éviter toute utilisation abusive occasionnelle, l'utilisation de ces algorithmes de chiffrement nécessite les autorisations IAM suivantes :cloudkms.cryptoKeyVersions.manageRawAesCbcKeyspourAES-CBC.cloudkms.cryptoKeyVersions.manageRawAesCtrKeyspourAES-CTR.
Rôles requis
Pour obtenir les autorisations nécessaires pour utiliser le chiffrement brut, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre clé :
-
Pour chiffrer uniquement :
Chiffreur de CryptoKeys Cloud KMS (
roles/cloudkms.cryptoKeyEncrypter) -
Pour déchiffrer uniquement :
Déchiffreur de CryptoKey Cloud KMS (
roles/cloudkms.cryptoKeyDecrypter) -
Pour chiffrer et déchiffrer :
Chiffreur/Déchiffreur de CryptoKeys Cloud KMS (
roles/cloudkms.cryptoKeyEncrypterDecrypter)
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
Rôles supplémentaires pour les algorithmes de chiffrement brut non authentifiés
- Pour utiliser les clés
AES-CBC: Gestionnaire de clés AES-CBC brutes de l'expert Cloud KMS (roles/cloudkms.expertRawAesCbc) - Pour utiliser les clés
AES-CTR: Gestionnaire de clés AES-CTR brutes de l'expert Cloud KMS (roles/cloudkms.expertRawAesCtr)
Avant de commencer
- Accordez les autorisations de chiffrement symétrique brut mentionnées aux comptes principaux concernés.
- Créez un trousseau de clés, comme décrit dans la section Créer des trousseaux de clés.
- Créez et importez une clé de chiffrement symétrique brute, comme décrit dans les sections Créer des clés et Importer des clés.
Chiffrer
gcloud
Pour utiliser Cloud KMS sur la ligne de commande, commencez par installer ou mettre à jour Google Cloud CLI.
gcloud kms raw-encrypt \
--location LOCATION \
--keyring KEY_RING \
--key KEY_NAME \
--version KEY_VERSION \
--plaintext-file INPUT_FILE_PATH \
--ciphertext-file OUTPUT_FILE_PATH
Remplacez les éléments suivants :
LOCATION: emplacement Cloud KMS du trousseau de clés.KEY_RING: nom du trousseau de clés qui inclut la cléKEY_NAME: nom de la clé à utiliser pour le chiffrement.KEY_VERSION: ID de la version de clé à utiliser pour le chiffrement.INPUT_FILE_PATH: chemin d'accès local au fichier pour lire les données en texte brut.OUTPUT_FILE_PATH: chemin d'accès au fichier local pour enregistrer le résultat chiffré.
Pour en savoir plus sur toutes les options et valeurs possibles, exécutez la commande avec l'option --help.
API
Ces exemples utilisent curl comme client HTTP pour démontrer l'utilisation de l'API. Pour en savoir plus sur le contrôle des accès, consultez la page Accéder à l'API Cloud KMS.
Lorsque vous utilisez JSON et l'API REST, le contenu doit être codé en base64 avant de pouvoir être chiffré par Cloud KMS.
Utilisez la méthode rawEncrypt pour chiffrer des données en texte brut :
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION:rawEncrypt" \
--request "POST" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"plaintext": "BASE64_ENCODED_INPUT", "additionalAuthenticatedData": "BASE64_ENCODED_AAD"}'
Remplacez les éléments suivants :
PROJECT_ID: ID du projet contenant le trousseau de clés.LOCATION: emplacement Cloud KMS du trousseau de clés.KEY_RING: nom du trousseau de clés qui inclut la cléKEY_NAME: nom de la clé à utiliser pour le chiffrement.KEY_VERSION: ID de la version de clé à utiliser pour le chiffrement.BASE64_ENCODED_INPUT: données en texte brut encodées en base64 que vous souhaitez chiffrer.BASE64_ENCODED_AAD: données d'authentification supplémentaires encodées en base64 utilisées pour garantir l'intégrité et l'authenticité. Ce champ ne s'applique qu'aux algorithmesAES-GCM.
Le résultat est un objet JSON contenant le texte chiffré et le vecteur d'initialisation associé sous forme de chaînes encodées en base64.
Déchiffrer
gcloud
Pour utiliser Cloud KMS sur la ligne de commande, commencez par installer ou mettre à jour Google Cloud CLI.
gcloud kms raw-decrypt \
--location LOCATION \
--keyring KEY_RING \
--key KEY_NAME \
--version KEY_VERSION \
--ciphertext-file INPUT_FILE_PATH \
--plaintext-file OUTPUT_FILE_PATH
Remplacez les éléments suivants :
LOCATION: emplacement Cloud KMS du trousseau de clés.KEY_RING: nom du trousseau de clés qui inclut la cléKEY_NAME: nom de la clé à utiliser pour le chiffrement.KEY_VERSION: ID de la version de clé à utiliser pour le chiffrement.INPUT_FILE_PATH: chemin d'accès local au texte chiffré que vous souhaitez déchiffrer.OUTPUT_FILE_PATH: chemin d'accès local au fichier dans lequel vous souhaitez enregistrer le texte brut déchiffré.
Pour en savoir plus sur toutes les options et valeurs possibles, exécutez la commande avec l'option --help.
API
Ces exemples utilisent curl comme client HTTP pour démontrer l'utilisation de l'API. Pour en savoir plus sur le contrôle des accès, consultez la page Accéder à l'API Cloud KMS.
Lorsque vous utilisez l'API REST, le contenu doit être codé en base64 avant de pouvoir être déchiffré par Cloud KMS.
Pour déchiffrer les données chiffrées, utilisez la méthode rawDecrypt :
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION:rawDecrypt" \
--request "POST" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"ciphertext": "BASE64_ENCODED_DATA", "additionalAuthenticatedData": "BASE64_ENCODED_AAD", "initializationVector": "BASE64_ENCODED_IV"}'
Remplacez les éléments suivants :
PROJECT_ID: ID du projet contenant le trousseau de clés.LOCATION: emplacement Cloud KMS du trousseau de clés.KEY_RING: nom du trousseau de clés qui inclut la cléKEY_NAME: nom de la clé à utiliser pour le déchiffrement.KEY_VERSION: ID de la version de clé à utiliser pour le déchiffrement.BASE64_ENCODED_DATA: texte chiffré encodé en base64 que vous souhaitez déchiffrer.BASE64_ENCODED_AAD: données d'authentification supplémentaires encodées en base64 qui ont été utilisées lors du chiffrement des données. Ce champ ne s'applique qu'aux algorithmesAES-GCM.BASE64_ENCODED_IV: vecteur d'initialisation encodé en base64 qui a été utilisé lors du chiffrement des données.
Le résultat est un objet JSON contenant le texte brut déchiffré sous forme de chaîne encodée en base64.
Étapes suivantes
- En savoir plus sur l'importation d'une version de clé
- Consultez la section Chiffrement encapsulé.
- Essayez l'Atelier de programmation Cloud KMS : chiffrer et déchiffrer des données.