GCP - DLP - 解密失败:使用 KMS 包装密钥时出现密文无效错误
GCP - DLP - Decryption failed: the ciphertext is invalid error when using KMS wrapped key
在尝试使用 GCP DLP 的 POC 时,遇到以下问题:
log:
Received the following error message from Cloud KMS when unwrapping KmsWrappedCryptoKey
"projects/<<PROJECT_ID>>/locations/global/keyRings/<<KMS_KEY_RING>>/cryptoKeys
/<<KMS_KEY_NAME>>": Decryption failed: the ciphertext is invalid.
我刚刚使用 KMS 中的生成密钥选项和基本 DLP 模板创建了密钥和密钥环,以使用加密确定性令牌对数据进行伪匿名化。我提供的包装密钥是一个简单的 base-64 格式密钥。在控制台中使用数据测试此模板时,我遇到了这个问题。尝试加密数据时,应用程序日志中也出现了同样的问题。
P.S:我们已尝试使用 Open SSL 生成手动密钥并将其导入 KMS。我们仍然面临这个问题。
附上屏幕截图以供参考:
解决了这个案例中的问题。
问题在于我们在 DLP 模板中创建包装密钥的方式。以下是生成包装密钥的步骤:
- 选择包装密钥(可以是任何东西。字符串、随机文本等)
- 使用您将在 DLP 模板中使用的 KMS 密钥加密上述步骤中的包装密钥。
- 将上述加密密钥转换为 base 64 格式,并在 DLP 模板中使用。
以下是按相同顺序执行上述步骤的命令:
openssl rand 16 > secret.txt
这会生成 16 个字节的随机字符串。大小必须是 16、24、32 之一(强制)
gcloud kms encrypt --location global --keyring <key-ring-name> --key \
<key-name> --plaintext-file secret.txt --ciphertext-file \
mysecret.txt.encrypted
这会加密随机字符串。
base64 mysecret.txt.encrypted
在 DLP 模板中使用它。
这个答案帮我解决了问题:
在尝试使用 GCP DLP 的 POC 时,遇到以下问题:
log:
Received the following error message from Cloud KMS when unwrapping KmsWrappedCryptoKey
"projects/<<PROJECT_ID>>/locations/global/keyRings/<<KMS_KEY_RING>>/cryptoKeys
/<<KMS_KEY_NAME>>": Decryption failed: the ciphertext is invalid.
我刚刚使用 KMS 中的生成密钥选项和基本 DLP 模板创建了密钥和密钥环,以使用加密确定性令牌对数据进行伪匿名化。我提供的包装密钥是一个简单的 base-64 格式密钥。在控制台中使用数据测试此模板时,我遇到了这个问题。尝试加密数据时,应用程序日志中也出现了同样的问题。
P.S:我们已尝试使用 Open SSL 生成手动密钥并将其导入 KMS。我们仍然面临这个问题。
附上屏幕截图以供参考:
解决了这个案例中的问题。
问题在于我们在 DLP 模板中创建包装密钥的方式。以下是生成包装密钥的步骤:
- 选择包装密钥(可以是任何东西。字符串、随机文本等)
- 使用您将在 DLP 模板中使用的 KMS 密钥加密上述步骤中的包装密钥。
- 将上述加密密钥转换为 base 64 格式,并在 DLP 模板中使用。
以下是按相同顺序执行上述步骤的命令:
openssl rand 16 > secret.txt
这会生成 16 个字节的随机字符串。大小必须是 16、24、32 之一(强制)
gcloud kms encrypt --location global --keyring <key-ring-name> --key \
<key-name> --plaintext-file secret.txt --ciphertext-file \
mysecret.txt.encrypted
这会加密随机字符串。
base64 mysecret.txt.encrypted
在 DLP 模板中使用它。
这个答案帮我解决了问题: