Topik ini menunjukkan cara melakukan operasi kunci simetris mentah berikut:
- Mengenkripsi konten teks atau teks biasa biner secara lokal atau menggunakan Cloud KMS.
- Mendekripsi ciphertext secara lokal atau menggunakan Cloud KMS.
Jika Anda ingin melakukan operasi kunci simetris reguler (non-mentah), lihat Mengenkripsi dan mendekripsi data dengan kunci simetris.
Enkripsi simetris mentah memungkinkan Anda mengenkripsi dan mendekripsi data secara lokal di lokal atau menggunakan Cloud KMS, serta memindahkan data terenkripsi di antara library dan penyedia layanan yang berbeda tanpa harus mendekripsinya terlebih dahulu. Fungsi ini bergantung pada kemampuan untuk mengakses kunci pada titik operasi. Jika ingin menggunakan ciphertext di luar Google Cloud, Anda harus menggunakan kunci yang diimpor karena kunci yang dihasilkan di Cloud KMS tidak dapat diekspor. Algoritma enkripsi ini menghasilkan ciphertext standar yang dapat didekripsi oleh layanan dekripsi standar apa pun. Kami mendukung algoritma enkripsi simetris mentah berikut:
AES-128-GCMAES-256-GCMAES-128-CBCAES-256-CBCAES-128-CTRAES-256-CTR
Perhatikan poin-poin berikut tentang algoritma enkripsi mentah ini:
AES-GCMmemberikan autentikasi berdasarkan data autentikasi tambahan (AAD) dan menghasilkan tag autentikasi, serta merupakan algoritma enkripsi yang direkomendasikan untuk digunakan. Data yang dienkripsi menggunakan algoritmaAES-GCMtidak dapat didekripsi tanpa AAD yang disediakan.AES-CBCmengharuskan ukuran teks biasa berupa kelipatan ukuran blok (16 byte). Jika teks biasa bukan kelipatan ukuran blok, tambahkan teks biasa sebelum mengenkripsinya. Jika tidak, operasi akan gagal dengan error yang menunjukkan masalah.AES-CBCdanAES-CTRbukan skema enkripsi yang diautentikasi, yang berarti keduanya dapat membawa risiko penyalahgunaan yang tidak disengaja yang lebih besar. API ini ditawarkan untuk mendukung kebutuhan lama dan interoperabilitas, dan harus digunakan dengan hati-hati. Untuk mencegah penyalahgunaan biasa, penggunaan algoritma enkripsi ini memerlukan izin IAM berikut:cloudkms.cryptoKeyVersions.manageRawAesCbcKeysuntukAES-CBC.cloudkms.cryptoKeyVersions.manageRawAesCtrKeysuntukAES-CTR.
Peran yang diperlukan
Untuk mendapatkan izin yang diperlukan agar dapat menggunakan enkripsi mentah, minta administrator untuk memberi Anda peran IAM berikut pada kunci Anda:
-
Hanya untuk mengenkripsi:
Cloud KMS CryptoKey Encrypter (
roles/cloudkms.cryptoKeyEncrypter) -
Hanya untuk mendekripsi:
Cloud KMS CryptoKey Decrypter (
roles/cloudkms.cryptoKeyDecrypter) -
Untuk mengenkripsi dan mendekripsi:
Cloud KMS CryptoKey Encrypter/Decrypter (
roles/cloudkms.cryptoKeyEncrypterDecrypter)
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Peran tambahan untuk algoritma enkripsi mentah yang tidak diautentikasi
- Untuk menggunakan kunci
AES-CBC: Cloud KMS Expert Raw AES-CBC Key Manager (roles/cloudkms.expertRawAesCbc) - Untuk menggunakan kunci
AES-CTR: Cloud KMS Expert Raw AES-CTR Key Manager (roles/cloudkms.expertRawAesCtr)
Sebelum memulai
- Berikan izin enkripsi simetris mentah yang disebutkan kepada akun utama yang dimaksud.
- Buat key ring seperti yang dijelaskan dalam membuat key ring.
- Buat dan impor kunci enkripsi simetris mentah seperti yang dijelaskan dalam membuat kunci dan mengimpor kunci.
Enkripsikan
gcloud
Untuk menggunakan Cloud KMS di command line, pertama-tama Instal atau upgrade ke Google Cloud CLI versi terbaru.
gcloud kms raw-encrypt \
--location LOCATION \
--keyring KEY_RING \
--key KEY_NAME \
--version KEY_VERSION \
--plaintext-file INPUT_FILE_PATH \
--ciphertext-file OUTPUT_FILE_PATH
Ganti kode berikut:
LOCATION: lokasi Cloud KMS key ring.KEY_RING: nama key ring yang berisi kunci.KEY_NAME: nama kunci yang akan digunakan untuk enkripsi.KEY_VERSION: ID versi kunci yang akan digunakan untuk enkripsi.INPUT_FILE_PATH: jalur file lokal untuk membaca data teks biasa.OUTPUT_FILE_PATH: jalur file lokal untuk menyimpan output terenkripsi.
Untuk mengetahui informasi tentang semua flag dan kemungkinan nilai, jalankan perintah dengan
flag --help.
API
Contoh ini menggunakan curl sebagai klien HTTP untuk menunjukkan penggunaan API. Untuk informasi selengkapnya tentang kontrol akses, lihat Mengakses Cloud KMS API.
Saat menggunakan JSON dan REST API, konten harus dienkode base64 sebelum dapat dienkripsi oleh Cloud KMS.
Gunakan metode rawEncrypt untuk mengenkripsi data teks biasa:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION:rawEncrypt" \
--request "POST" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"plaintext": "BASE64_ENCODED_INPUT", "additionalAuthenticatedData": "BASE64_ENCODED_AAD"}'
Ganti kode berikut:
PROJECT_ID: ID project yang berisi key ring.LOCATION: lokasi Cloud KMS key ring.KEY_RING: nama key ring yang berisi kunci.KEY_NAME: nama kunci yang akan digunakan untuk enkripsi.KEY_VERSION: ID versi kunci yang akan digunakan untuk enkripsi.BASE64_ENCODED_INPUT: data teks biasa berenkode base64 yang ingin Anda enkripsi.BASE64_ENCODED_AAD: data autentikasi tambahan berenkode base64 yang digunakan untuk memberikan jaminan integritas dan autentikasi. Kolom ini hanya berlaku untuk algoritmaAES-GCM.
Output-nya adalah objek JSON yang berisi ciphertext terenkripsi dan vektor inisialisasi terkait sebagai string yang dienkode base64.
Dekripsi
gcloud
Untuk menggunakan Cloud KMS di command line, pertama-tama Instal atau upgrade ke Google Cloud CLI versi terbaru.
gcloud kms raw-decrypt \
--location LOCATION \
--keyring KEY_RING \
--key KEY_NAME \
--version KEY_VERSION \
--ciphertext-file INPUT_FILE_PATH \
--plaintext-file OUTPUT_FILE_PATH
Ganti kode berikut:
LOCATION: lokasi Cloud KMS key ring.KEY_RING: nama key ring yang berisi kunci.KEY_NAME: nama kunci yang akan digunakan untuk enkripsi.KEY_VERSION: ID versi kunci yang akan digunakan untuk enkripsi.INPUT_FILE_PATH: jalur file lokal ke ciphertext yang ingin Anda dekripsi.OUTPUT_FILE_PATH: jalur file lokal tempat Anda ingin menyimpan teks biasa yang didekripsi.
Untuk mengetahui informasi tentang semua flag dan kemungkinan nilai, jalankan perintah dengan
flag --help.
API
Contoh ini menggunakan curl sebagai klien HTTP untuk menunjukkan penggunaan API. Untuk informasi selengkapnya tentang kontrol akses, lihat Mengakses Cloud KMS API.
Saat menggunakan REST API, konten harus dienkode base64 sebelum dapat didekripsi oleh Cloud KMS.
Untuk mendekripsi data terenkripsi, gunakan metode rawDecrypt:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION:rawDecrypt" \
--request "POST" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"ciphertext": "BASE64_ENCODED_DATA", "additionalAuthenticatedData": "BASE64_ENCODED_AAD", "initializationVector": "BASE64_ENCODED_IV"}'
Ganti kode berikut:
PROJECT_ID: ID project yang berisi key ring.LOCATION: lokasi Cloud KMS key ring.KEY_RING: nama key ring yang berisi kunci.KEY_NAME: nama kunci yang akan digunakan untuk dekripsi.KEY_VERSION: ID versi kunci yang akan digunakan untuk dekripsi.BASE64_ENCODED_DATA: ciphertext berenkode base64 yang ingin Anda dekripsi.BASE64_ENCODED_AAD: data autentikasi tambahan berenkode base64 yang digunakan saat data dienkripsi. Kolom ini hanya berlaku untuk algoritmaAES-GCM.BASE64_ENCODED_IV: vektor inisialisasi berenkode base64 yang digunakan saat data dienkripsi.
Output-nya adalah objek JSON yang berisi teks biasa yang didekripsi sebagai string yang dienkode base64.
Langkah selanjutnya
- Baca selengkapnya tentang mengimpor versi kunci
- Baca selengkapnya tentang enkripsi envelope.
- Coba Codelab Mengenkripsi dan mendekripsi data dengan Cloud KMS.