Topik ini menunjukkan cara melakukan operasi kunci simetris mentah berikut:
- Enkripsi konten teks atau biner plaintext secara lokal atau menggunakan Cloud KMS.
- Mendekripsi teks tersandi secara lokal atau menggunakan Cloud KMS.
Jika Anda ingin melakukan operasi kunci simetris reguler (non-mentah), lihat Mengenkripsi dan mendekripsi data dengan kunci simetris.
Enkripsi simetris mentah memungkinkan Anda mengenkripsi dan mendekripsi data secara lokal di tempat atau menggunakan Cloud KMS, serta memindahkan data terenkripsi antar-library dan penyedia layanan yang berbeda tanpa harus mendekripsinya terlebih dahulu. Fungsi ini bergantung pada kemampuan untuk mengakses kunci pada titik operasi. Jika Anda ingin menggunakan ciphertext di luar Google Cloud, Anda harus menggunakan kunci yang diimpor karena kunci yang dibuat di Cloud KMS tidak dapat diekspor. Algoritma enkripsi ini menghasilkan ciphertext standar yang dapat didekripsi oleh layanan dekripsi standar apa pun. Kami mendukung algoritma enkripsi simetris mentah berikut:
AES-128-GCMAES-256-GCMAES-128-CBCAES-256-CBCAES-128-CTRAES-256-CTR
Perhatikan poin-poin berikut tentang algoritma enkripsi mentah ini:
AES-GCMmenyediakan autentikasi berdasarkan data terautentikasi tambahan (AAD) dan menghasilkan tag autentikasi, serta merupakan algoritma enkripsi yang direkomendasikan untuk digunakan. Data yang dienkripsi menggunakan algoritmaAES-GCMtidak dapat didekripsi tanpa AAD yang diberikan.AES-CBCmengharuskan ukuran teks biasa menjadi kelipatan ukuran blok (16 byte). Jika teks biasa bukan kelipatan ukuran blok, tambahkan padding pada teks biasa sebelum mengenkripsinya. Jika tidak, operasi akan gagal dengan error yang menunjukkan masalah tersebut.AES-CBCdanAES-CTRbukan skema enkripsi yang diautentikasi, yang berarti keduanya dapat menimbulkan risiko penyalahgunaan yang tidak disengaja yang lebih besar. Layanan ini ditawarkan untuk mendukung kebutuhan interoperabilitas dan sistem lama, dan harus digunakan dengan hati-hati. Untuk mencegah penyalahgunaan biasa, penggunaan algoritma enkripsi ini memerlukan izin IAM berikut:cloudkms.cryptoKeyVersions.manageRawAesCbcKeysuntukAES-CBC.cloudkms.cryptoKeyVersions.manageRawAesCtrKeysuntukAES-CTR.
Peran yang diperlukan
Untuk mendapatkan izin yang diperlukan untuk menggunakan enkripsi mentah, minta administrator Anda untuk memberi Anda peran IAM berikut pada kunci Anda:
-
Untuk mengenkripsi saja:
Cloud KMS CryptoKey Encrypter (
roles/cloudkms.cryptoKeyEncrypter) -
Untuk mendekripsi saja:
Cloud KMS CryptoKey Decrypter (
roles/cloudkms.cryptoKeyDecrypter) -
Untuk mengenkripsi dan mendekripsi:
Cloud KMS CryptoKey Encrypter/Decrypter (
roles/cloudkms.cryptoKeyEncrypterDecrypter)
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Peran tambahan untuk algoritma enkripsi mentah yang tidak diautentikasi
- Untuk menggunakan kunci
AES-CBC: Cloud KMS Expert Raw AES-CBC Key Manager (roles/cloudkms.expertRawAesCbc) - Untuk menggunakan kunci
AES-CTR: Cloud KMS Expert Raw AES-CTR Key Manager (roles/cloudkms.expertRawAesCtr)
Sebelum memulai
- Berikan izin enkripsi simetris mentah yang disebutkan kepada principal yang dituju.
- Buat key ring seperti yang dijelaskan dalam membuat key ring.
- Buat dan impor kunci enkripsi simetris mentah seperti yang dijelaskan dalam membuat kunci dan mengimpor kunci.
Enkripsikan
gcloud
Untuk menggunakan Cloud KMS di command line, Instal atau upgrade ke versi terbaru Google Cloud CLI terlebih dahulu.
gcloud kms raw-encrypt \
--location LOCATION \
--keyring KEY_RING \
--key KEY_NAME \
--version KEY_VERSION \
--plaintext-file INPUT_FILE_PATH \
--ciphertext-file OUTPUT_FILE_PATH
Ganti kode berikut:
LOCATION: lokasi Cloud KMS key ring.KEY_RING: nama key ring yang berisi kunci.KEY_NAME: nama kunci yang akan digunakan untuk enkripsi.KEY_VERSION: ID versi kunci yang akan digunakan untuk enkripsi.INPUT_FILE_PATH: jalur file lokal untuk membaca data teks biasa.OUTPUT_FILE_PATH: jalur file lokal untuk menyimpan output terenkripsi.
Untuk mengetahui informasi tentang semua flag dan kemungkinan nilai, jalankan perintah dengan flag --help.
API
Contoh ini menggunakan curl sebagai klien HTTP untuk menunjukkan penggunaan API. Untuk mengetahui informasi selengkapnya tentang kontrol akses, lihat Mengakses Cloud KMS API.
Saat menggunakan JSON dan REST API, konten harus dienkode base64 sebelum dapat dienkripsi oleh Cloud KMS.
Gunakan metode rawEncrypt untuk mengenkripsi data teks biasa:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION:rawEncrypt" \
--request "POST" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"plaintext": "BASE64_ENCODED_INPUT", "additionalAuthenticatedData": "BASE64_ENCODED_AAD"}'
Ganti kode berikut:
PROJECT_ID: ID project yang berisi key ring.LOCATION: lokasi Cloud KMS key ring.KEY_RING: nama key ring yang berisi kunci.KEY_NAME: nama kunci yang akan digunakan untuk enkripsi.KEY_VERSION: ID versi kunci yang akan digunakan untuk enkripsi.BASE64_ENCODED_INPUT: data teks biasa berenkode base64 yang ingin Anda enkripsi.BASE64_ENCODED_AAD: data tambahan yang diautentikasi dan dienkode base64 yang digunakan untuk memberikan jaminan integritas dan keaslian. Kolom ini hanya berlaku untuk algoritmaAES-GCM.
Outputnya adalah objek JSON yang berisi ciphertext terenkripsi dan vektor inisialisasi terkait sebagai string berenkode base64.
Mendekripsi
gcloud
Untuk menggunakan Cloud KMS di command line, Instal atau upgrade ke versi terbaru Google Cloud CLI terlebih dahulu.
gcloud kms raw-decrypt \
--location LOCATION \
--keyring KEY_RING \
--key KEY_NAME \
--version KEY_VERSION \
--ciphertext-file INPUT_FILE_PATH \
--plaintext-file OUTPUT_FILE_PATH
Ganti kode berikut:
LOCATION: lokasi Cloud KMS key ring.KEY_RING: nama key ring yang berisi kunci.KEY_NAME: nama kunci yang akan digunakan untuk enkripsi.KEY_VERSION: ID versi kunci yang akan digunakan untuk enkripsi.INPUT_FILE_PATH: jalur file lokal ke ciphertext yang ingin Anda dekripsi.OUTPUT_FILE_PATH: jalur file lokal tempat Anda ingin menyimpan teks biasa yang didekripsi.
Untuk mengetahui informasi tentang semua flag dan kemungkinan nilai, jalankan perintah dengan flag --help.
API
Contoh ini menggunakan curl sebagai klien HTTP untuk menunjukkan penggunaan API. Untuk mengetahui informasi selengkapnya tentang kontrol akses, lihat Mengakses Cloud KMS API.
Saat menggunakan REST API, konten harus dienkode base64 sebelum dapat didekripsi oleh Cloud KMS.
Untuk mendekripsi data terenkripsi, gunakan metode rawDecrypt:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION:rawDecrypt" \
--request "POST" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"ciphertext": "BASE64_ENCODED_DATA", "additionalAuthenticatedData": "BASE64_ENCODED_AAD", "initializationVector": "BASE64_ENCODED_IV"}'
Ganti kode berikut:
PROJECT_ID: ID project yang berisi key ring.LOCATION: lokasi Cloud KMS key ring.KEY_RING: nama key ring yang berisi kunci.KEY_NAME: nama kunci yang akan digunakan untuk dekripsi.KEY_VERSION: ID versi kunci yang akan digunakan untuk dekripsi.BASE64_ENCODED_DATA: ciphertext berenkode base64 yang ingin Anda dekripsi.BASE64_ENCODED_AAD: data tambahan yang diautentikasi dan dienkode base64 yang digunakan saat data dienkripsi. Kolom ini hanya berlaku untuk algoritmaAES-GCM.BASE64_ENCODED_IV: vektor inisialisasi berenkode base64 yang digunakan saat data dienkripsi.
Outputnya adalah objek JSON yang berisi teks biasa yang didekripsi sebagai string yang dienkode base64.
Langkah berikutnya
- Baca selengkapnya tentang mengimpor versi kunci
- Baca selengkapnya tentang enkripsi envelope.
- Coba Codelab Mengenkripsi dan mendekripsi data dengan Cloud KMS.