1. Ringkasan
Cloud KMS adalah key management service yang dihosting di cloud dan memungkinkan Anda mengelola kunci kriptografis untuk layanan cloud seperti saat Anda mengelolanya di infrastruktur lokal. Alat ini mencakup dukungan untuk enkripsi, dekripsi, penandatanganan, dan verifikasi menggunakan berbagai jenis dan sumber kunci, termasuk Cloud HSM untuk kunci yang didukung hardware. Tutorial ini mengajarkan cara mengenkripsi dan mendekripsi data menggunakan kunci Cloud KMS asimetris.
Anda akan mempelajari
- Cara mengaktifkan Cloud KMS API
- Cara membuat Key Ring
- Cara membuat Kunci Kripto untuk enkripsi/dekripsi asimetris
2. Penyiapan dan Persyaratan
Penyiapan lingkungan mandiri
- Login ke Cloud Console dan buat project baru atau gunakan kembali project yang sudah ada. (Jika belum memiliki akun Gmail atau G Suite, Anda harus membuatnya.)
Ingat project ID, nama unik di semua project Google Cloud (maaf, nama di atas telah digunakan dan tidak akan berfungsi untuk Anda!) Project ID tersebut selanjutnya akan dirujuk di codelab ini sebagai PROJECT_ID.
- Selanjutnya, Anda harus mengaktifkan penagihan di Cloud Console untuk menggunakan resource Google Cloud.
Menjalankan operasi dalam codelab ini seharusnya tidak memerlukan banyak biaya, bahkan mungkin tidak sama sekali. Pastikan untuk mengikuti petunjuk yang ada di bagian "Membersihkan" yang memberi tahu Anda cara menonaktifkan resource sehingga tidak menimbulkan penagihan di luar tutorial ini. Pengguna baru Google Cloud memenuhi syarat untuk mengikuti program Uji Coba Gratis senilai $300 USD.
Mulai Cloud Shell
Dalam codelab ini, Anda akan menggunakan Cloud Shell, lingkungan virtual gratis yang berjalan di Google Cloud. Dari GCP Console, klik ikon Cloud Shell di toolbar kanan atas:
Hanya perlu waktu beberapa saat untuk penyediaan dan terhubung ke lingkungan. Jika sudah selesai, Anda akan melihat tampilan seperti ini:
Mesin virtual ini berisi semua alat pengembangan yang Anda perlukan. Layanan ini menawarkan direktori beranda tetap sebesar 5 GB dan beroperasi di Google Cloud, sehingga sangat meningkatkan performa dan autentikasi jaringan. Jalankan semua perintah dari shell ini, kecuali jika diinstruksikan lain.
3. Mengaktifkan Layanan Cloud KMS
Sebelum dapat menggunakan Cloud KMS, Anda harus mengaktifkan layanan tersebut terlebih dahulu di project Anda. Langkah ini hanya perlu dilakukan sekali per project. Untuk mengaktifkan layanan Cloud KMS, jalankan perintah berikut:
$ gcloud services enable cloudkms.googleapis.com \
--project "${GOOGLE_CLOUD_PROJECT}"
Diperlukan waktu hingga satu menit untuk mengaktifkannya. Perintah akan melaporkan keberhasilan setelah selesai.
4. Membuat Kunci KMS
Membuat Key Ring Cloud KMS. Di Cloud KMS, Key Ring adalah kumpulan kunci kriptografis yang logis. Key Ring berisi metadata tentang kunci seperti lokasinya. Buat Key Ring bernama my-keyring di region global:
$ gcloud kms keyrings create "my-keyring" \
--location "global"
Sekarang buat Kunci Kripto bernama my-asymmetric-encryption-key dengan tujuan asymmetric-encryption di dalam Key Ring yang baru saja Anda buat.
$ gcloud kms keys create "my-asymmetric-encryption-key" \
--location "global" \
--keyring "my-keyring" \
--purpose "asymmetric-encryption" \
--default-algorithm "rsa-decrypt-oaep-4096-sha512"
5. Enkripsi Data
Dengan kunci asimetris, Cloud KMS tidak melakukan enkripsi. Sebagai gantinya, enkripsi ini menyediakan akses ke kunci publik dan Anda mengenkripsi data menggunakan kunci publik tersebut melalui kriptografi kunci publik. Dengan kunci asimetris, enkripsi dapat dilakukan sepenuhnya secara offline dan tidak memerlukan akses ke Cloud KMS atau Google Cloud API lainnya. Enkripsi dilakukan menggunakan alat kriptografi seperti openssl, atau dengan bahasa pemrograman atau library yang mendukung kriptografi kunci publik.
Download kunci publik dari Cloud KMS:
$ gcloud kms keys versions get-public-key "1" \
--location "global" \
--keyring "my-keyring" \
--key "my-asymmetric-encryption-key" \
--output-file ./key.pub
Buat file dengan data untuk mengenkripsi dan menggunakan alat command line openssl untuk mengenkripsi data dalam file:
$ echo "my-contents" > ./data.txt
$ openssl pkeyutl -encrypt -pubin \
-in ./data.txt \
-inkey ./key.pub \
-pkeyopt "rsa_padding_mode:oaep" \
-pkeyopt "rsa_oaep_md:sha512" \
-pkeyopt "rsa_mgf1_md:sha512" > ./data.txt.enc
Data terenkripsi (juga dikenal sebagai "ciphertext") akan disimpan di data.txt.enc pada disk. Jika Anda membuka file data.txt.enc, Anda akan melihat bahwa file tersebut berisi karakter aneh yang tidak dapat dicetak. Hal ini karena data yang dihasilkan dalam format biner.
Saat menyimpan teks tersandi dalam database atau mengirimkannya sebagai bagian dari permintaan HTTP, Anda mungkin perlu mengenkode data tersebut. Mekanisme encoding yang paling umum untuk teks tersandi adalah base64.
Cloud KMS tidak menyimpan teks biasa yang Anda berikan. Anda harus menyimpan teks tersandi ini di lokasi yang aman karena teks tersandi tersebut akan diperlukan untuk mengambil nilai teks polos.
6. Mendekripsi Data
Tidak seperti enkripsi, data dekripsi yang dienkripsi menggunakan kunci Cloud KMS asimetris memang memerlukan akses online ke layanan Cloud KMS. Dekripsi ciphertext dari file menggunakan alat command line gcloud:
$ gcloud kms asymmetric-decrypt \
--location "global" \
--keyring "my-keyring" \
--key "my-asymmetric-encryption-key" \
--version "1" \
--plaintext-file - \
--ciphertext-file ./data.txt.enc
Alat command line gcloud membaca ciphertext dari file dan mendekripsinya menggunakan Cloud KMS. Perhatikan bahwa contoh ini menentukan argumen --plaintext-file sebagai -. Tindakan ini akan menginstruksikan gcloud untuk mencetak hasilnya ke terminal.
Konsol akan mencetak my-contents, yang merupakan nilai teks biasa yang sama dari file di atas.
7. Selamat!
Anda telah mengaktifkan Cloud KMS API, membuat kunci enkripsi asimetris, serta mengenkripsi dan mendekripsi data. Cloud KMS adalah produk yang canggih dan enkripsi/dekripsi hanya sebagian kecil dari kemampuannya.
Pembersihan
Jika Anda telah selesai menjelajah, pertimbangkan untuk menghapus proyek Anda.
- Buka Cloud Platform Console
- Pilih project yang ingin dinonaktifkan, lalu klik "Hapus" di bagian atas. Tindakan ini akan menjadwalkan penghapusan project.
Pelajari Lebih Lanjut
Lisensi
Karya ini dilisensikan berdasarkan Lisensi Umum Creative Commons Attribution 2.0.