获取解密密文时使用的 Google KMS 密钥的版本
Posted
技术标签:
【中文标题】获取解密密文时使用的 Google KMS 密钥的版本【英文标题】:Get the version of Google KMS key used when decrypting ciphertext 【发布时间】:2019-05-30 12:07:46 【问题描述】:当encrypting symmetrically与谷歌云的KMS,谷歌云automatically选择主键版本:
每个对称加密密钥都有一个指定的主要版本,在该时间点用于加密数据。 为了使密钥可用于加密数据,它需要有一个已启用的主密钥版本。
当密钥用于加密明文时,其主密钥版本用于加密该数据。关于使用哪个版本加密数据的信息存储在数据的密文中。在任何给定时间点,只有一个版本的密钥可以是主密钥。
EncryptResponse 包括密文和使用的密钥版本。
如果加密时没有保存密钥的版本,以后是否可以确定密钥版本? 密钥版本存储在密文中,KMS服务能够确定要解密的密钥版本,但DecryptResponse 仅包含明文,不包含密钥版本。
【问题讨论】:
这是一个很好的问题,谢谢!我在询问 Cloud KMS 团队。 【参考方案1】:目前无法做到这一点,但我们已收到功能请求以在解密时提供版本。感谢您的建议,感谢您使用 GCP 和 Cloud KMS!
【讨论】:
以上是关于获取解密密文时使用的 Google KMS 密钥的版本的主要内容,如果未能解决你的问题,请参考以下文章
尝试使用 KMS 在 Lambda 函数中解密密文会导致超时
您可以在具有服务角色的项目之间共享 Google Cloud KMS 密钥吗?