Chiffrement symétrique brut

Cette rubrique explique comment effectuer les opérations de clé symétrique brutes suivantes:

  • Chiffrez du texte ou du contenu binaire brut localement ou à l'aide de Cloud KMS.
  • Déchiffrez les textes chiffrés localement ou à l'aide de Cloud KMS.

Si vous souhaitez effectuer une opération de clé symétrique régulière (non brute), consultez Chiffrer et déchiffrer des données avec une clé symétrique.

Le chiffrement symétrique brut vous permet de chiffrer et de déchiffrer vos données localement sur site ou à l'aide de Cloud KMS, et de déplacer des données chiffrées entre différentes bibliothèques et fournisseurs de services sans avoir à les déchiffrer au préalable. Cette fonctionnalité dépend de la possibilité d'accéder à la clé au point d'opération. Si vous souhaitez utiliser les textes chiffrés en dehors de Google Cloud, vous devez utiliser une clé importée, car les clés générées dans Cloud KMS ne peuvent pas être exportées. Ces algorithmes de chiffrement génèrent des textes chiffrés standards qui peuvent être déchiffrés par n'importe quel service de déchiffrement standard. Nous acceptons les algorithmes de chiffrement symétriques bruts suivants:

  • AES-128-GCM
  • AES-256-GCM
  • AES-128-CBC
  • AES-256-CBC
  • AES-128-CTR
  • AES-256-CTR

Notez les points suivants concernant ces algorithmes de chiffrement bruts:

  • AES-GCM fournit une authentification basée sur les données d'authentification supplémentaires (AAD) et génère une balise d'authentification. Il s'agit de l'algorithme de chiffrement recommandé à utiliser. Les données chiffrées à l'aide d'algorithmes AES-GCM ne peuvent pas être déchiffrées sans l'AAD fourni.

  • AES-CBC exige que la taille du texte brut soit un multiple de la taille de bloc (16 octets). Si le texte brut n'est pas un multiple de la taille de bloc, ajoutez des caractères de remplissage avant de le chiffrer. Sinon, l'opération échouera et une erreur indiquera le problème.

  • AES-CBC et AES-CTR ne sont pas des schémas de chiffrement authentifiés, ce qui signifie qu'ils peuvent présenter un risque plus élevé d'utilisation accidentelle. Ils sont proposés pour répondre aux besoins d'interopérabilité et d'ancienneté, et doivent être utilisés avec précaution. Pour éviter toute utilisation abusive, l'utilisation de ces algorithmes de chiffrement nécessite les autorisations IAM suivantes:

    • cloudkms.cryptoKeyVersions.manageRawAesCbcKeys pour AES-CBC.
    • cloudkms.cryptoKeyVersions.manageRawAesCtrKeys pour AES-CTR.

Rôles requis

Pour obtenir les autorisations nécessaires pour utiliser le chiffrement brut, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre clé:

Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Rôles supplémentaires pour les algorithmes de chiffrement brut non authentifiés

  • Pour utiliser des clés AES-CBC: Gestionnaire de clés AES-CBC brutes de l'expert Cloud KMS (roles/cloudkms.expertRawAesCbc)
  • Pour utiliser des clés AES-CTR: Gestionnaire de clés AES-CTR brutes de l'expert Cloud KMS (roles/cloudkms.expertRawAesCtr)

Avant de commencer

  • Accordez les autorisations de chiffrement symétrique brut mentionnées aux principaux concernés.
  • Créez un trousseau de clés comme décrit dans la section Créer des trousseaux de clés.
  • Créez et importez une clé de chiffrement symétrique brute, comme décrit dans les sections Créer des clés et Importer des clés.

Chiffrer

gcloud

Pour utiliser Cloud KMS sur la ligne de commande, commencez par installer ou mettre à jour la dernière version de Google Cloud CLI.

gcloud kms raw-encrypt \
    --location LOCATION \
    --keyring KEY_RING \
    --key KEY_NAME \
    --version KEY_VERSION \
    --plaintext-file INPUT_FILE_PATH \
    --ciphertext-file OUTPUT_FILE_PATH

Remplacez les éléments suivants :

  • LOCATION: emplacement Cloud KMS du trousseau de clés.

  • KEY_RING : nom du trousseau de clés qui inclut la clé

  • KEY_NAME: nom de la clé à utiliser pour le chiffrement.

  • KEY_VERSION: ID de la version de clé à utiliser pour le chiffrement.

  • INPUT_FILE_PATH: chemin d'accès au fichier local pour lire les données en texte brut.

  • OUTPUT_FILE_PATH: chemin d'accès au fichier local pour enregistrer la sortie chiffrée.

Pour en savoir plus sur toutes les options et valeurs possibles, exécutez la commande avec l'option --help.

API

Ces exemples utilisent curl comme client HTTP pour démontrer l'utilisation de l'API. Pour en savoir plus sur le contrôle des accès, consultez la page Accéder à l'API Cloud KMS.

Lorsque vous utilisez JSON et l'API REST, le contenu doit être codé en base64 avant de pouvoir être chiffré par Cloud KMS.

Utilisez la méthode rawEncrypt pour chiffrer des données en texte brut:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION:rawEncrypt" \
  --request "POST" \
  --header "authorization: Bearer TOKEN" \
  --header "content-type: application/json" \
  --data '{"plaintext": "BASE64_ENCODED_INPUT", "additionalAuthenticatedData": "BASE64_ENCODED_AAD"}'

Remplacez les éléments suivants :

  • PROJECT_ID: ID du projet contenant le trousseau de clés.
  • LOCATION: emplacement Cloud KMS du trousseau de clés.
  • KEY_RING : nom du trousseau de clés qui inclut la clé
  • KEY_NAME: nom de la clé à utiliser pour le chiffrement.
  • KEY_VERSION: ID de la version de clé à utiliser pour le chiffrement.
  • BASE64_ENCODED_INPUT: données en texte brut encodées en base64 que vous souhaitez chiffrer.
  • BASE64_ENCODED_AAD: données authentifiées supplémentaires encodées en base64 utilisées pour garantir l'intégrité et l'authenticité. Ce champ ne s'applique qu'aux algorithmes AES-GCM.

La sortie est un objet JSON contenant le texte chiffré et le vecteur d'initialisation associé sous forme de chaînes encodées en base64.

Déchiffrer

gcloud

Pour utiliser Cloud KMS sur la ligne de commande, commencez par installer ou mettre à jour la dernière version de Google Cloud CLI.

gcloud kms raw-decrypt \
    --location LOCATION \
    --keyring KEY_RING \
    --key KEY_NAME \
    --version KEY_VERSION \
    --ciphertext-file INPUT_FILE_PATH \
    --plaintext-file OUTPUT_FILE_PATH

Remplacez les éléments suivants :

  • LOCATION: emplacement Cloud KMS du trousseau de clés.

  • KEY_RING : nom du trousseau de clés qui inclut la clé

  • KEY_NAME: nom de la clé à utiliser pour le chiffrement.

  • KEY_VERSION: ID de la version de clé à utiliser pour le chiffrement.

  • INPUT_FILE_PATH: chemin d'accès au fichier local du texte chiffré que vous souhaitez déchiffrer.

  • OUTPUT_FILE_PATH: chemin d'accès au fichier local dans lequel vous souhaitez enregistrer le texte brut déchiffré.

Pour en savoir plus sur toutes les options et valeurs possibles, exécutez la commande avec l'option --help.

API

Ces exemples utilisent curl comme client HTTP pour démontrer l'utilisation de l'API. Pour en savoir plus sur le contrôle des accès, consultez la page Accéder à l'API Cloud KMS.

Lorsque vous utilisez l'API REST, le contenu doit être encodé en base64 avant de pouvoir être déchiffré par Cloud KMS.

Pour déchiffrer les données chiffrées, utilisez la méthode rawDecrypt:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION:rawDecrypt" \
  --request "POST" \
  --header "authorization: Bearer TOKEN" \
  --header "content-type: application/json" \
  --data '{"ciphertext": "BASE64_ENCODED_DATA", "additionalAuthenticatedData": "BASE64_ENCODED_AAD", "initializationVector": "BASE64_ENCODED_IV"}'

Remplacez les éléments suivants :

  • PROJECT_ID: ID du projet contenant le trousseau de clés.
  • LOCATION: emplacement Cloud KMS du trousseau de clés.
  • KEY_RING : nom du trousseau de clés qui inclut la clé
  • KEY_NAME: nom de la clé à utiliser pour le déchiffrement.
  • KEY_VERSION: ID de la version de clé à utiliser pour le déchiffrement.
  • BASE64_ENCODED_DATA: texte chiffré encodé en base64 que vous souhaitez déchiffrer.
  • BASE64_ENCODED_AAD: données authentifiées supplémentaires encodées en base64 utilisées lors du chiffrement des données. Ce champ ne s'applique qu'aux algorithmes AES-GCM.
  • BASE64_ENCODED_IV: vecteur d'initialisation encodé en base64 utilisé lors du chiffrement des données.

La sortie est un objet JSON contenant le texte brut déchiffré sous la forme d'une chaîne encodée en base64.

Étape suivante