Cet article explique comment chiffrer des données localement et les importer dans Cloud Storage avec Tink et Cloud Key Management Service (Cloud KMS). Tink est bibliothèque de cryptographie open source écrite par des cryptographes et des spécialistes de la sécurité chez Google.
Présentation
Le chiffrement côté client est un chiffrement effectué avant l'envoi de vos données au cloud. Lorsque vous utilisez le chiffrement côté client, vous devez créer et la gestion de vos clés de chiffrement et le chiffrement de vos données avant de les envoyer dans le cloud.
Dans cet article, vous allez implémenter le chiffrement encapsulé côté client avec Tink à l'aide d'un de chiffrement dans Cloud KMS.
Vous trouverez une version du plan basée sur Terraform de ce tutoriel dans la dépôt GitHub kms-solutions.
Avant de commencer
- Créez une clé de chiffrement symétrique Cloud KMS pour le chiffrement. Prendre et notez l'URI de la clé. Vous en aurez besoin ultérieurement.
- Installez Tink pour l'utiliser avec Cloud KMS.
- Créez un bucket dans Cloud Storage pour importer vos données chiffrées.
Rôles requis
Pour vous assurer que votre compte de service dispose des autorisations
les autorisations permettant d'utiliser des clés Cloud KMS avec Tink,
demandez à votre administrateur d'accorder à votre compte de service
Rôle IAM Chiffreur/Déchiffreur de CryptoKeys Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter
) sur votre clé.
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Votre administrateur peut aussi attribuer à votre compte de service les autorisations requises à l'aide d'outils personnalisés rôles ou autres prédéfinis rôles.
Chiffrement encapsulé avec Tink
Dans le chiffrement encapsulé, la clé Cloud KMS agit comme une clé de chiffrement de clé (KEK, Key Encryption Key). En d'autres termes, elles permettent de chiffrer les clés de chiffrement des données (DEK), sont utilisés pour chiffrer des données réelles.
Après avoir créé une KEK dans Cloud KMS, pour chiffrer chaque message, vous devez :
- Générez une clé de chiffrement de données (DEK) en local.
- Utilisez cette DEK localement pour chiffrer le message.
- Appelez Cloud KMS pour chiffrer (encapsuler) la DEK avec la KEK.
- Stockez les données chiffrées et la DEK encapsulée.
Vous n'avez pas besoin d'implémenter ce processus de chiffrement encapsulé de A à Z lorsque vous utilisez Tink.
Pour utiliser Tink pour le chiffrement encapsulé, vous devez fournir à Tink un URI de clé et identifiants de connexion. L'URI de clé pointe vers votre KEK dans Cloud KMS, et les identifiants permettent à Tink d'utiliser la KEK. Tink génère la clé DEK, chiffre les données, encapsule la clé DEK, puis renvoie un texte chiffré unique contenant les données chiffrées et clé DEK encapsulée.
Tink accepte le chiffrement encapsulé en Python, Java, C++ et Go à l'aide du primitif de chiffrement authentifié avec données associées (AEAD, Authenticated Encryption with Associated Data).
Associer Tink et Cloud KMS
Pour chiffrer les DEK générées par Tink avec votre KEK dans Cloud KMS, procédez comme suit : vous devez obtenir l'URI de votre clé KEK. Dans Cloud KMS, l'URI de la clé KEK a le format suivant :
gcp-kms://projects/<PROJECT>/locations/<LOCATION>/keyRings/
<KEY RING>/cryptoKeys/<KEY NAME>/cryptoKeyVersions/<VERSION>
Pour savoir comment obtenir le chemin d'accès à votre clé, consultez la page Obtenir un ID de ressource Cloud KMS.
Initialiser Tink et chiffrer les données
Tink utilise des primitives, c'est-à-dire des éléments de base cryptographiques qui gèrent les détails de leurs algorithmes sous-jacents, ce qui vous permet d'effectuer des tâches en toute sécurité. Chaque primitive offre une API qui gère une tâche spécifique. Ici, nous utilisons AEAD, donc nous utilisons la primitive AEAD Tink.
Python
Python
Pour savoir comment installer et utiliser la bibliothèque cliente pour Cloud KMS, consultez Bibliothèques clientes Cloud KMS :
Pour vous authentifier auprès de Cloud KMS, configurez les identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Java
Java
Pour savoir comment installer et utiliser la bibliothèque cliente pour Cloud KMS, consultez la page Bibliothèques clientes Cloud KMS.
Pour vous authentifier auprès de Cloud KMS, configurez les identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Pour en savoir plus sur les primitives et les interfaces compatibles avec Tink, consultez la page Premiers pas de Tink.
Étape suivante
- En savoir plus sur Tink.
- Découvrez comment utiliser le chiffrement côté client avec Cloud SQL.