使用 GCP_KMS 和 BYOK 解决方案管理密钥轮换

Posted 2023-02-16

【中文标题】使用 GCP_KMS 和 BYOK 解决方案管理密钥轮换

【英文标题】：Managing key rotations with GCP_KMS with BYOK solution

【发布时间】：2021-10-27 08:08:22

【问题描述】：

我们在本地生成了 RSA 密钥对，并计划将它们同步到 GCP-KMS。有一个年度密钥轮换策略，将在本地完成，新的 key_versions 将同步到 KMS。我担心的是 KMS API。

问题：API 总是要求“key_version”作为加密/解密文件的参数。

期望的行为：在解密期间，KMS 是否不可能看到证书指纹并返回适当的密钥版本来解密给定的加密文件？例如当提供给 KMS 时，使用 RSA_public 封装的 DEK 会被正确版本的 RSA_Private（或 KEK）解密。

如果有，是否有详细说明此用例的文档？

【问题讨论】：

您能分享一下您是如何使用 KMS API 的吗？

您好，抱歉回复晚了。我正在使用 GCP-KMS python api 的非对称解密功能，如此链接中所述。 cloud.google.com/kms/docs/encrypt-decrypt-rsa#decrypt_data

【参考方案1】：

根据文档，您可以使用symmetric signature（未指定密钥版本）来实现，但您不能使用 asymetricDecrypt（URL path of the API 中需要密钥版本）

【讨论】：

是的，完全正确。我们已加密数据，其中包含封装的 RSA 和信封内的对称 AES，用于其余加密数据。除了这个加密的数据还有证书，用于找到正确的私钥来解密 RSA 加密的信封。我们的本地 KMS 具有将这些指纹映射到正确私钥的功能。我很惊讶谷歌云 KMS 没有提供这个。