En este tema, se muestra cómo realizar las siguientes operaciones con claves simétricas sin procesar:
- Encriptar texto o contenido binario sin formato de forma local o con Cloud KMS
- Desencriptar textos cifrados de forma local o con Cloud KMS
Si, en cambio, deseas realizar una operación con claves simétricas normal (no sin procesar), consulta Encripta y desencripta datos con una clave simétrica.
La encriptación simétrica sin procesar te permite encriptar y desencriptar tus datos de forma local en las instalaciones o con Cloud KMS, y mover datos encriptados entre diferentes bibliotecas y proveedores de servicios sin tener que desencriptarlos primero. Esta funcionalidad depende de la capacidad de acceder a la clave en el punto de operación. Si deseas usar los textos cifrados fuera de Google Cloud, debes usar una clave importada porque las claves generadas en Cloud KMS no se pueden exportar. Estos algoritmos de encriptación generan textos cifrados estándar que cualquier servicio de desencriptación estándar puede desencriptar. Admitimos los siguientes algoritmos de encriptación simétrica sin procesar:
AES-128-GCMAES-256-GCMAES-128-CBCAES-256-CBCAES-128-CTRAES-256-CTR
Ten en cuenta los siguientes puntos sobre estos algoritmos de encriptación sin procesar:
AES-GCMproporciona autenticación basada en los datos autenticados adicionales (AAD) y genera una etiqueta de autenticación, y es el algoritmo de encriptación recomendado para usar. Los datos encriptados con algoritmosAES-GCMno se pueden desencriptar sin el AAD proporcionado.AES-CBCrequiere que el tamaño del texto sin formato sea un múltiplo del tamaño del bloque (16 bytes). Si el texto sin formato no es un múltiplo del tamaño del bloque, agrega relleno al texto sin formato antes de encriptarlo; de lo contrario, la operación fallará con un error que indica el problema.AES-CBCyAES-CTRno son esquemas de encriptación autenticados, lo que significa que pueden tener un mayor riesgo de uso indebido accidental. Se ofrecen para admitir necesidades heredadas y de interoperabilidad, y se deben usar con precaución. Para evitar el uso inadecuado casual, el uso de estos algoritmos de encriptación requiere los siguientes permisos de IAM:cloudkms.cryptoKeyVersions.manageRawAesCbcKeysparaAES-CBCcloudkms.cryptoKeyVersions.manageRawAesCtrKeysparaAES-CTR
Roles obligatorios
Para obtener los permisos que necesitas para usar la encriptación sin procesar, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu clave:
-
Solo para encriptar:
Encriptador de CryptoKey de Cloud KMS (
roles/cloudkms.cryptoKeyEncrypter) -
Solo para desencriptar:
Desencriptador de CryptoKey de Cloud KMS (
roles/cloudkms.cryptoKeyDecrypter) -
Para encriptar y desencriptar:
Encriptador y desencriptador de CryptoKey de Cloud KMS (
roles/cloudkms.cryptoKeyEncrypterDecrypter)
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.
Roles adicionales para algoritmos de encriptación sin procesar no autenticados
- Para usar claves
AES-CBC: Administrador experto de claves AES-CBC sin procesar de Cloud KMS (roles/cloudkms.expertRawAesCbc) - Para usar claves
AES-CTR: Administrador experto de claves AES-CTR sin procesar de Cloud KMS (roles/cloudkms.expertRawAesCtr)
Antes de comenzar
- Otorga los permisos de encriptación simétrica sin procesar mencionados a las entidades correspondientes.
- Crea un llavero de claves como se describe en Crea llaveros de claves.
- Crea e importa una clave de encriptación simétrica sin procesar como se describe en Crea claves e importa claves.
Encriptar
gcloud
Para usar Cloud KMS en la línea de comandos, primero Instala o actualiza a la versión más reciente de Google Cloud CLI.
gcloud kms raw-encrypt \
--location LOCATION \
--keyring KEY_RING \
--key KEY_NAME \
--version KEY_VERSION \
--plaintext-file INPUT_FILE_PATH \
--ciphertext-file OUTPUT_FILE_PATH
Reemplaza lo siguiente:
LOCATION: la ubicación de Cloud KMS del llavero de claves.KEY_RING: el nombre del llavero de claves que incluye la claveKEY_NAME: el nombre de la clave que se usará para la encriptación.KEY_VERSION: el ID de la versión de la clave que se usará para la encriptación.INPUT_FILE_PATH: la ruta de acceso al archivo local para leer los datos de texto sin formato.OUTPUT_FILE_PATH: la ruta de acceso al archivo local para guardar el resultado encriptado.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help.
API
En estos ejemplos, se usa curl como un cliente HTTP para demostrar el uso de la API. Para obtener más información sobre el control de acceso, consulta Accede a la API de Cloud KMS.
Cuando usas JSON y la API de REST, debes codificar el contenido en Base64 antes de que pueda encriptarlo Cloud KMS.
Usa el método rawEncrypt para encriptar datos de texto sin formato:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION:rawEncrypt" \
--request "POST" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"plaintext": "BASE64_ENCODED_INPUT", "additionalAuthenticatedData": "BASE64_ENCODED_AAD"}'
Reemplaza lo siguiente:
PROJECT_ID: el ID del proyecto que contiene el llavero de claves.LOCATION: la ubicación de Cloud KMS del llavero de claves.KEY_RING: el nombre del llavero de claves que incluye la claveKEY_NAME: el nombre de la clave que se usará para la encriptación.KEY_VERSION: el ID de la versión de la clave que se usará para la encriptación.BASE64_ENCODED_INPUT: los datos de texto simple codificados en base64 que deseas encriptar.BASE64_ENCODED_AAD: los datos autenticados adicionales codificados en base64 que se usan para proporcionar garantías de integridad y autenticidad. Este campo solo se aplica a los algoritmosAES-GCM.
El resultado es un objeto JSON que contiene el texto cifrado encriptado y el vector de inicialización asociado como cadenas codificadas en base64.
Decrypt
gcloud
Para usar Cloud KMS en la línea de comandos, primero Instala o actualiza a la versión más reciente de Google Cloud CLI.
gcloud kms raw-decrypt \
--location LOCATION \
--keyring KEY_RING \
--key KEY_NAME \
--version KEY_VERSION \
--ciphertext-file INPUT_FILE_PATH \
--plaintext-file OUTPUT_FILE_PATH
Reemplaza lo siguiente:
LOCATION: la ubicación de Cloud KMS del llavero de claves.KEY_RING: el nombre del llavero de claves que incluye la claveKEY_NAME: el nombre de la clave que se usará para la encriptación.KEY_VERSION: el ID de la versión de la clave que se usará para la encriptación.INPUT_FILE_PATH: la ruta de acceso al archivo local al texto cifrado que deseas desencriptar.OUTPUT_FILE_PATH: la ruta de acceso al archivo local en la que deseas guardar el texto sin formato desencriptado.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help.
API
En estos ejemplos, se usa curl como un cliente HTTP para demostrar el uso de la API. Para obtener más información sobre el control de acceso, consulta Accede a la API de Cloud KMS.
Cuando usas la API de REST, debes codificar el contenido en base64 antes de que pueda desencriptarlo Cloud KMS.
Para desencriptar los datos encriptados, usa el método rawDecrypt:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION:rawDecrypt" \
--request "POST" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"ciphertext": "BASE64_ENCODED_DATA", "additionalAuthenticatedData": "BASE64_ENCODED_AAD", "initializationVector": "BASE64_ENCODED_IV"}'
Reemplaza lo siguiente:
PROJECT_ID: el ID del proyecto que contiene el llavero de claves.LOCATION: la ubicación de Cloud KMS del llavero de claves.KEY_RING: el nombre del llavero de claves que incluye la claveKEY_NAME: el nombre de la clave que se usará para la desencriptación.KEY_VERSION: el ID de la versión de la clave que se usará para la desencriptación.BASE64_ENCODED_DATA: el texto cifrado codificado en base64 que deseas desencriptar.BASE64_ENCODED_AAD: los datos autenticados adicionales codificados en base64 que se usaron cuando se encriptaron los datos. Este campo solo se aplica a los algoritmosAES-GCM.BASE64_ENCODED_IV: el vector de inicialización codificado en base64 que se usó cuando se encriptaron los datos.
El resultado es un objeto JSON que contiene el texto simple desencriptado como una cadena codificada en base64.
¿Qué sigue?
- Obtén más información para importar una versión de clave.
- Lee más sobre la encriptación de sobre.
- Prueba los datos de encriptación y desencriptación con Codelab de Cloud KMS.