Questa pagina descrive come implementare la crittografia lato client su Cloud SQL.
Panoramica
La crittografia lato client consiste nel criptare i dati prima di scriverli in Cloud SQL. Puoi criptare i dati Cloud SQL in modo che solo la tua applicazione possa decriptarli.
Per attivare la crittografia lato client, hai le seguenti opzioni:
- Utilizzo di una chiave di crittografia archiviata in Cloud Key Management Service (Cloud KMS).
- Utilizzo di una chiave di crittografia archiviata localmente nell'applicazione.
In questo argomento, descriviamo come utilizzare la prima opzione, che offre la gestione delle chiavi più semplice. Creiamo una chiave di crittografia in Cloud KMS e implementiamo la crittografia envelope utilizzando Tink, la libreria crittografica open source di Google.
Perché è necessaria la crittografia lato client?
Hai bisogno della crittografia lato client se vuoi proteggere i dati Cloud SQL a livello di colonna 1. Immagina di avere una tabella di nomi e numeri di carte di credito. Vuoi concedere a un utente l'accesso a questa tabella, ma non vuoi che visualizzi i numeri di carta di credito. Puoi criptare i numeri utilizzando la crittografia lato client. Finché all'utente non viene concesso l'accesso alla chiave di crittografia in Cloud KMS, non può leggere i dati della carta di credito.
Crea chiavi utilizzando Cloud KMS
Cloud KMS consente di creare e gestire le chiavi su Google Cloud Platform.
Cloud KMS supporta molti tipi di chiavi diversi. Per la crittografia lato client, devi creare una chiave simmetrica.
Per concedere alla tua applicazione l'accesso alla chiave in Cloud KMS, devi
concedere all'account di servizio utilizzato dalla tua applicazione il ruolo
cloudkms.cryptoKeyEncrypterDecrypter
. In gcloud, utilizza il seguente comando
per farlo:
gcloud kms keys add-iam-policy-binding key \ --keyring=key-ring \ --location=location \ --member=serviceAccount:service-account-name@example.domain.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Sebbene tu possa utilizzare la chiave KMS per criptare direttamente i dati, qui utilizziamo una soluzione più flessibile chiamata crittografia envelope. Ciò consente di criptare messaggi più lunghi di 64 KB, che è la dimensione massima dei messaggi supportata dall'API Cloud Key Management Service.
Crittografia envelope Cloud KMS
Nella crittografia envelope, la chiave KMS funge da chiave di crittografia della chiave (KEK). ovvero viene utilizzata per criptare le chiavi di crittografia dei dati (DEK), che a loro volta vengono utilizzate per criptare i dati effettivi.
Dopo aver creato una KEK in Cloud KMS, per criptare ogni messaggio devi:
- Genera una chiave di crittografia dei dati (DEK) in locale.
- Utilizza questa DEK localmente per criptare il messaggio.
- Chiama Cloud KMS per criptare (wrapping) la DEK con la KEK.
- Archivia i dati criptati e la chiave DEK sottoposta a wrapping.
Anziché implementare la crittografia envelope da zero, in questo argomento utilizziamo Tink.
Tink
Tink è una libreria multipiattaforma e multilingue che fornisce API crittografiche di alto livello. Per criptare i dati con la crittografia envelope di Tink, fornisci a Tink un URI della chiave che rimanda alla tua KEK in Cloud KMS e le credenziali che consentono a Tink di utilizzare la KEK. Tink genera la DEK, cripta i dati, esegue il wrapping della DEK e restituisce un unico testo criptato con i dati criptati e la DEK sottoposta a wrapping.
Tink supporta la crittografia envelope in C++, Java, Go e Python utilizzando l'API AEAD:
public interface Aead{
byte[] encrypt(final byte[] plaintext, final byte[] associatedData)
throws…
byte[] decrypt(final byte[] ciphertext, final byte[] associatedData)
throws…
}
Oltre al normale argomento messaggio/testo cifrato, i metodi di crittografia e decrittografia
supportano dati associati facoltativi. Questo argomento può essere utilizzato per collegare
il testo cifrato a un insieme di dati. Ad esempio, supponiamo di avere un database con un campo user-id
e un campo encrypted-medical-history
. In questo caso, il campo
user-id
dovrebbe probabilmente essere utilizzato come dati associati durante la crittografia della storia
clinica. In questo modo, un malintenzionato non può trasferire la storia clinica da un utente
a un altro. Viene utilizzato anche per verificare di avere la riga di dati corretta quando
esegui una query.
Esempi
In questa sezione esamineremo codice campione per un database di informazioni sugli elettori che utilizza la crittografia lato client. Il codice campione mostra come:
- Crea una tabella del database e un pool di connessioni
- Configurare Tink per la crittografia envelope
- Cripta e decripta i dati utilizzando la crittografia envelope di Tink con una KEK in Cloud KMS
Prima di iniziare
Crea un'istanza Cloud SQL seguendo queste istruzioni. Prendi nota della stringa di connessione, dell'utente del database e della password del database che crei.
Crea un database per la tua applicazione seguendo queste istruzioni. Prendi nota del nome del database.
Crea una chiave KMS per la tua applicazione seguendo queste istruzioni. Copia il nome della risorsa della chiave creata.
Crea un account di servizio con le autorizzazioni "Client Cloud SQL" seguendo queste istruzioni.
Aggiungi l'autorizzazione "Autore crittografia/decrittografia CryptoKey Cloud KMS" per la chiave al tuo account di servizio seguendo queste istruzioni.