Diese Seite wurde von der Cloud Translation API übersetzt.

Symmetrische Verschlüsselung

In diesem Thema erfahren Sie, wie Sie die folgenden symmetrischen Schlüsselvorgänge ausführen:

Text oder binäre Klartextinhalte lokal oder mit Cloud KMS verschlüsseln
Geheimtexte lokal oder mit Cloud KMS entschlüsseln

Wenn Sie stattdessen einen regulären (nicht rohen) symmetrischen Schlüsselvorgang ausführen möchten, lesen Sie den Hilfeartikel Daten mit einem symmetrischen Schlüssel verschlüsseln und entschlüsseln.

Mit der reinen symmetrischen Verschlüsselung können Sie Ihre Daten lokal oder mit Cloud KMS verschlüsseln und entschlüsseln und verschlüsselte Daten zwischen verschiedenen Bibliotheken und Dienstanbietern verschieben, ohne sie zuerst entschlüsseln zu müssen. Diese Funktion hängt davon ab, ob am Ort der Ausführung auf den Schlüssel zugegriffen werden kann. Wenn Sie die Geheimtexte außerhalb von Google Cloud verwenden möchten, müssen Sie einen importierten Schlüssel verwenden, da in Cloud KMS generierte Schlüssel nicht exportiert werden können. Diese Verschlüsselungsalgorithmen generieren Standard-Chiffrentexte, die mit jedem Standard-Entschlüsselungsdienst entschlüsselt werden können. Wir unterstützen die folgenden symmetrischen Verschlüsselungsalgorithmen:

AES-128-GCM
AES-256-GCM
AES-128-CBC
AES-256-CBC
AES-128-CTR
AES-256-CTR

Beachten Sie bei diesen Rohverschlüsselungsalgorithmen Folgendes:

AES-GCM bietet eine Authentifizierung basierend auf zusätzlichen authentifizierten Daten (Additional Authenticated Data, AAD) und generiert ein Authentifizierungs-Tag. Es ist der empfohlene Verschlüsselungsalgorithmus. Daten, die mit AES-GCM-Algorithmen verschlüsselt wurden, können ohne die bereitgestellte zusätzliche Authentifizierungsdaten nicht entschlüsselt werden.
Bei AES-CBC muss die Größe des Klartexts ein Vielfaches der Blockgröße (16 Byte) sein. Wenn der Klartext kein Vielfaches der Blockgröße ist, müssen Sie ihn vor der Verschlüsselung auffüllen. Andernfalls schlägt der Vorgang fehl und es wird ein Fehler angezeigt, der auf das Problem hinweist.
AES-CBC und AES-CTR sind keine authentifizierten Verschlüsselungsschemata. Das bedeutet, dass das Risiko eines versehentlichen Missbrauchs höher ist. Sie werden angeboten, um ältere Versionen und Interoperabilitätsanforderungen zu unterstützen, und sollten mit Vorsicht verwendet werden. Um einen unbeabsichtigten Missbrauch zu verhindern, sind für die Verwendung dieser Verschlüsselungsalgorithmen die folgenden IAM-Berechtigungen erforderlich:
- cloudkms.cryptoKeyVersions.manageRawAesCbcKeys für AES-CBC.
- cloudkms.cryptoKeyVersions.manageRawAesCtrKeys für AES-CTR.
Achtung: Gewähren Sie diese Berechtigungen nur Hauptkonten, die die mit der Verwendung nicht authentifizierter Verschlüsselung verbundenen Risiken kennen.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihren Schlüssel zuzuweisen, um die Berechtigungen zu erhalten, die Sie zur Verwendung der Rohverschlüsselung benötigen:

Nur zum Verschlüsseln: Cloud KMS CryptoKey-Verschlüsseler (roles/cloudkms.cryptoKeyEncrypter)
Nur zum Entschlüsseln: Cloud KMS CryptoKey-Entschlüsseler (roles/cloudkms.cryptoKeyDecrypter)
Zum Verschlüsseln und Entschlüsseln: Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler (roles/cloudkms.cryptoKeyEncrypterDecrypter)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Zusätzliche Rollen für nicht authentifizierte Rohverschlüsselungsalgorithmen

Für die Verwendung von AES-CBC-Schlüsseln: Cloud KMS-Expertenverwalter von unbearbeiteten AES-CBC-Schlüsseln (roles/cloudkms.expertRawAesCbc)
Für die Verwendung von AES-CTR-Schlüsseln: Cloud KMS-Expertenverwalter von unbearbeiteten AES-CTR-Schlüsseln (roles/cloudkms.expertRawAesCtr)

Hinweise

Gewähren Sie den gewünschten Hauptkonten die oben genannten Berechtigungen für die Rohsymmetrische Verschlüsselung.
Erstellen Sie einen Schlüsselbund, wie unter Schlüsselbunde erstellen beschrieben.
Erstellen und importieren Sie einen Rohschlüssel für die symmetrische Verschlüsselung, wie unter Schlüssel erstellen und Schlüssel importieren beschrieben.

Verschlüsseln

gcloud

Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst die neueste Version der Google Cloud CLI installieren oder ein Upgrade ausführen.

gcloud kms raw-encrypt \
    --location LOCATION \
    --keyring KEY_RING \
    --key KEY_NAME \
    --version KEY_VERSION \
    --plaintext-file INPUT_FILE_PATH \
    --ciphertext-file OUTPUT_FILE_PATH

Ersetzen Sie Folgendes:

LOCATION: der Cloud KMS-Speicherort des Schlüsselbunds.
KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthält
KEY_NAME: Der Name des Schlüssels, der für die Verschlüsselung verwendet werden soll.
KEY_VERSION: Die ID der Schlüsselversion, die für die Verschlüsselung verwendet werden soll.
INPUT_FILE_PATH: Der lokale Dateipfad zum Lesen der Klartextdaten.
OUTPUT_FILE_PATH: der lokale Dateipfad zum Speichern der verschlüsselten Ausgabe.

Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help aus.

API

In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.

Wenn Sie JSON und die REST API verwenden, müssen Inhalte mit base64 codiert sein, bevor sie von Cloud KMS verschlüsselt werden können.

Verwenden Sie die Methode rawEncrypt, um Klartextdaten zu verschlüsseln:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION:rawEncrypt" \
  --request "POST" \
  --header "authorization: Bearer TOKEN" \
  --header "content-type: application/json" \
  --data '{"plaintext": "BASE64_ENCODED_INPUT", "additionalAuthenticatedData": "BASE64_ENCODED_AAD"}'

Ersetzen Sie Folgendes:

PROJECT_ID: die ID des Projekts, das den Schlüsselbund enthält.
LOCATION: der Cloud KMS-Speicherort des Schlüsselbunds.
KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthält
KEY_NAME: Der Name des Schlüssels, der für die Verschlüsselung verwendet werden soll.
KEY_VERSION: Die ID der Schlüsselversion, die für die Verschlüsselung verwendet werden soll.
BASE64_ENCODED_INPUT: Die base64-codierten Klartextdaten, die Sie verschlüsseln möchten.
BASE64_ENCODED_AAD: Die base64-codierten zusätzlichen authentifizierten Daten, die für Integrität und Authentizität sorgen. Dieses Feld gilt nur für die AES-GCM-Algorithmen.

Die Ausgabe ist ein JSON-Objekt, das den verschlüsselten Geheimtext und den zugehörigen Initialisierungsvektor als base64-codierte Strings enthält.

Decrypt

gcloud

Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst die neueste Version der Google Cloud CLI installieren oder ein Upgrade ausführen.

gcloud kms raw-decrypt \
    --location LOCATION \
    --keyring KEY_RING \
    --key KEY_NAME \
    --version KEY_VERSION \
    --ciphertext-file INPUT_FILE_PATH \
    --plaintext-file OUTPUT_FILE_PATH

Ersetzen Sie Folgendes:

LOCATION: der Cloud KMS-Speicherort des Schlüsselbunds.
KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthält
KEY_NAME: Der Name des Schlüssels, der für die Verschlüsselung verwendet werden soll.
KEY_VERSION: Die ID der Schlüsselversion, die für die Verschlüsselung verwendet werden soll.
INPUT_FILE_PATH: Der lokale Dateipfad zum Geheimtext, den Sie entschlüsseln möchten.
OUTPUT_FILE_PATH: Der lokale Dateipfad, unter dem Sie den entschlüsselten Klartext speichern möchten.

Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help aus.

API

In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.

Wenn Sie die REST API verwenden, müssen Inhalte base64-codiert sein, bevor sie von Cloud KMS entschlüsselt werden können.

Verwenden Sie die Methode rawDecrypt, um die verschlüsselten Daten zu entschlüsseln:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION:rawDecrypt" \
  --request "POST" \
  --header "authorization: Bearer TOKEN" \
  --header "content-type: application/json" \
  --data '{"ciphertext": "BASE64_ENCODED_DATA", "additionalAuthenticatedData": "BASE64_ENCODED_AAD", "initializationVector": "BASE64_ENCODED_IV"}'

Ersetzen Sie Folgendes:

PROJECT_ID: die ID des Projekts, das den Schlüsselbund enthält.
LOCATION: der Cloud KMS-Speicherort des Schlüsselbunds.
KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthält
KEY_NAME: Name des Schlüssels, der für die Entschlüsselung verwendet werden soll.
KEY_VERSION: die ID der Schlüsselversion, die für die Entschlüsselung verwendet werden soll.
BASE64_ENCODED_DATA: Der base64-codierte Geheimtext, der entschlüsselt werden soll.
BASE64_ENCODED_AAD: Die base64-codierten zusätzlichen authentifizierten Daten, die bei der Verschlüsselung der Daten verwendet wurden. Dieses Feld gilt nur für die AES-GCM-Algorithmen.
BASE64_ENCODED_IV: Der base64-codierte Initialisierungsvektor, der bei der Verschlüsselung der Daten verwendet wurde.

Die Ausgabe ist ein JSON-Objekt, das den entschlüsselten Klartext als base64-codierten String enthält.

Nächste Schritte

Weitere Informationen zum Importieren einer Schlüsselversion
Weitere Informationen zu Umschlagverschlüsselung
Daten mit Cloud KMS Codelab verschlüsseln und entschlüsseln