Могу ли я восстановить импортированный ключ HSM AES-256 по материалу ключа?

Я импортировал ключевой материал в Cloud KMS, и KMS сгенерировал ключ (AES-256), затем я сохранил ключевой материал локально и зашифровал некоторые файлы данных сгенерированным ключом.

После этого, если моя учетная запись Google имеет задолженность или Cloud KMS дает сбой и приводит к потере ключа KMS (я знаю, что это маловероятно). Могу ли я восстановить ключ и расшифровать зашифрованный файл?

В частности, мой сценарий таков, что после того, как я обновил свой способ оплаты, моя служба KMS возобновилась. Могу ли я использовать тот же ключевой материал, чтобы повторно импортировать его в KMS, чтобы восстановить новый ключ, который может расшифровать файлы, зашифрованные старым ключом?


google-cloud-kms
person TianXing Chu    schedule 10.10.2019    source источник
comment
Мой вопрос: после того, как я продлил свою плату или KMS возобновил обслуживание, могу ли я использовать материал в моей руке для повторного импорта в KMS (но ранее сгенерированный ключ KMS все еще отсутствует) для восстановления нового ключа KMS, который может расшифровать файлы который зашифрован первым ключом KMS.   -  person TianXing Chu    schedule 11.10.2019

Ответы (1)


arrow_upward
0
arrow_downward

Даже если у вас есть импортированный ключевой материал, Cloud KMS разрешает операции только через свой API, это означает, что без доступа к нему невозможно расшифровать файлы.

Из документации по симметричным ключам:

По соображениям безопасности необработанный материал криптографического ключа, представленный ключом Cloud KMS, нельзя просматривать или экспортировать. Его может использовать только авторизованный пользователь для шифрования или дешифрования данных при вызове Cloud KMS API.

В вашем конкретном сценарии, даже если вы используете тот же материал ключа для создания другого симметричного ключа, вы не сможете расшифровать ранее зашифрованные файлы с помощью старого ключа.

person yyyyahir    schedule 10.10.2019
comment
Спасибо за ваш ответ. Я плохо говорю по-английски, я не выражаю это четко. Мой вопрос: после того, как я продлил свою плату или KMS возобновил обслуживание, могу ли я использовать материал в моей руке для повторного импорта в KMS (но ранее сгенерированный ключ KMS все еще отсутствует) для восстановления нового ключа KMS, который может расшифровать файлы . - person TianXing Chu; 11.10.2019
comment
Это невозможно. Я отредактировал вопрос, чтобы отразить это. - person yyyyahir; 16.10.2019
comment
Понятно. Теперь я не понимаю, почему Google дает людям возможность импортировать ключевой материал. - person TianXing Chu; 18.10.2019