Mengenkripsi dan mendekripsi data

AO melakukan operasi enkripsi dan dekripsi melalui CLI dengan air gap Google Distributed Cloud (GDC) ke KMS melalui klien gRPC.

Sebelum memulai

Sebelum melakukan operasi kripto, download, instal, dan konfigurasi gdcloud CLI untuk mengakses server Management API. Untuk melakukannya, ikuti ringkasan gdcloud CLI.

Untuk mendapatkan izin yang diperlukan untuk melakukan operasi kriptografi, minta Admin IAM Organisasi Anda untuk memberi Anda peran KMS Developer (kms-developer).

Mengenkripsi data

Untuk mengenkripsi data, gunakan perintah gdcloud kms keys encrypt. Perintah ini mengenkripsi file teks biasa tertentu menggunakan kunci AEAD, dan menuliskannya ke file ciphertext bernama.

  • Untuk mengenkripsi data, teruskan nama kunci dan hal berikut:

    gdcloud kms keys encrypt namespaces/NAMESPACE/aeadKeys/KEY_NAME \
      --plaintext-file=PLAINTEXT_PATH \
      --additional-authenticated-data-file=ADDITIONAL_AUTHENTICATED_DATA_FILE \
      --ciphertext-file=CIPHERTEXT_PATH
    

    Ganti variabel berikut:

    • NAMESPACE: namespace project, misalnya: kms-test1.
    • KEY_NAME: nama kunci yang digunakan untuk mengenkripsi teks biasa—misalnya: key-1.
    • PLAINTEXT_PATH: jalur ke file yang berisi plaintext yang akan dienkripsi.
    • ADDITIONAL_AUTHENTICATED_DATA_FILE: file opsional yang berisi data terautentikasi tambahan (AAD). AAD digunakan untuk pemeriksaan integritas dan melindungi data Anda dari serangan wakil yang bingung. AAD dan teks biasa masing-masing memiliki batas ukuran 64 KB.
    • CIPHERTEXT_PATH: jalur ke file yang berisi teks biasa terenkripsi.

    Setelah menjalankan perintah, Anda akan melihat file yang Anda tentukan di tanda --ciphertext-file yang berisi konten terenkripsi dari file teks biasa.

Mendekripsi data

Untuk mendekripsi data, gunakan perintah gdcloud kms keys decrypt. Perintah ini mendekripsi file ciphertext tertentu menggunakan kunci AEAD, dan menuliskannya ke file plaintext bernama.

  • Untuk mendekripsi ciphertext, teruskan nama kunci dan hal berikut:

    gdcloud kms keys decrypt namespaces/NAMESPACE/aeadKeys/KEY_NAME \
     --ciphertext-file=CIPHERTEXT_PATH \
     --additional-authenticated-data-file=ADDITIONAL_AUTHENTICATED_DATA_FILE \
     --plaintext-file=PLAINTEXT_PATH
    

    Ganti variabel berikut:

    • NAMESPACE: namespace project.
    • KEY_NAME: nama kunci yang digunakan untuk mengenkripsi teks biasa.
    • CIPHERTEXT_PATH: jalur file yang ingin Anda dekripsi.
    • ADDITIONAL_AUTHENTICATED_DATA_FILE: file opsional yang berisi data terautentikasi tambahan (AAD). AAD digunakan untuk pemeriksaan integritas dan melindungi data Anda dari serangan wakil yang bingung. AAD dan teks biasa masing-masing memiliki batas ukuran 64 KB.
    • PLAINTEXT_PATH: jalur ke file yang berisi teks biasa yang didekripsi.

    Setelah menjalankan perintah, Anda akan melihat file yang ditentukan di tanda --plaintext-file yang berisi data yang didekripsi.