我可以通过密钥 material 恢复导入的 HSM AES-256 密钥吗?
Can I restore a imported HSM AES-256 key by key material?
我已将密钥 material 导入 Cloud KMS,KMS 生成了一个 (AES-256) 密钥,然后我将密钥 material 保存在本地并使用生成的密钥加密了一些数据文件。
之后如果我的Google账户欠费或者Cloud KMS崩溃导致KMS密钥丢失(我知道这不太可能)。我还能恢复密钥并解密加密文件吗?
具体来说,我的情况是,在我更新付款方式后,我的 KMS 服务恢复了。我可以使用相同的密钥 material 将其重新导入 KMS 以重新生成一个可以解密使用旧密钥加密的文件的新密钥吗?
即使您有导入的密钥 material,Cloud KMS only allows operations through its API,这意味着如果无法访问它,就无法解密文件。
来自documentation on symmetrical keys:
For security reasons, the raw cryptographic key material represented by a Cloud KMS key can never be viewed or exported. It can only be used by an authorized user to encrypt or decrypt data when they invoke the Cloud KMS API.
在您的特定场景中,即使您使用相同的密钥material创建另一个对称密钥,您也无法解密之前加密的文件使用旧密钥。
我已将密钥 material 导入 Cloud KMS,KMS 生成了一个 (AES-256) 密钥,然后我将密钥 material 保存在本地并使用生成的密钥加密了一些数据文件。
之后如果我的Google账户欠费或者Cloud KMS崩溃导致KMS密钥丢失(我知道这不太可能)。我还能恢复密钥并解密加密文件吗?
具体来说,我的情况是,在我更新付款方式后,我的 KMS 服务恢复了。我可以使用相同的密钥 material 将其重新导入 KMS 以重新生成一个可以解密使用旧密钥加密的文件的新密钥吗?
即使您有导入的密钥 material,Cloud KMS only allows operations through its API,这意味着如果无法访问它,就无法解密文件。
来自documentation on symmetrical keys:
For security reasons, the raw cryptographic key material represented by a Cloud KMS key can never be viewed or exported. It can only be used by an authorized user to encrypt or decrypt data when they invoke the Cloud KMS API.
在您的特定场景中,即使您使用相同的密钥material创建另一个对称密钥,您也无法解密之前加密的文件使用旧密钥。