Mengenkripsi dan mendekripsi data dengan Cloud KMS (Asimetris)

1. Ringkasan

Cloud KMS adalah key management service yang dihosting di cloud yang memungkinkan Anda mengelola kunci kriptografis untuk layanan cloud seperti saat Anda mengelolanya di lokal. Layanan ini mencakup dukungan untuk enkripsi, dekripsi, penandatanganan, dan verifikasi menggunakan berbagai jenis dan sumber kunci, termasuk Cloud HSM untuk kunci yang didukung hardware. Tutorial ini mengajarkan cara mengenkripsi dan mendekripsi data menggunakan kunci Cloud KMS asimetris.

Anda akan mempelajari

  • Cara mengaktifkan Cloud KMS API
  • Cara membuat Key Ring
  • Cara membuat Kunci Kripto untuk enkripsi/dekripsi asimetris

2. Penyiapan dan Persyaratan

Penyiapan lingkungan mandiri

  1. Login ke Cloud Console dan buat project baru atau gunakan kembali project yang sudah ada. (Jika belum memiliki akun Gmail atau G Suite, Anda harus membuatnya.)

dMbN6g9RawQj_VXCSYpdYncY-DbaRzr2GbnwoV7jFf1u3avxJtmGPmKpMYgiaMH-qu80a_NJ9p2IIXFppYk8x3wyymZXavjglNLJJhuXieCem56H30hwXtd8PvXGpXJO9gEUDu3cZw

ci9Oe6PgnbNuSYlMyvbXF1JdQyiHoEgnhl4PlV_MFagm2ppzhueRkqX4eLjJllZco_2zCp0V0bpTupUSKji9KkQyWqj11pqit1K1faS1V6aFxLGQdkuzGp4rsQTan7F01iePL5DtqQ

8-tA_Lheyo8SscAVKrGii2coplQp2_D1Iosb2ViABY0UUO1A8cimXUu6Wf1R9zJIRExL5OB2j946aIiFtyKTzxDcNnuznmR45vZ2HMoK3o67jxuoUJCAnqvEX6NgPGFjCVNgASc-lg

Ingat project ID, nama unik di semua project Google Cloud (maaf, nama di atas telah digunakan dan tidak akan berfungsi untuk Anda!) Project ID tersebut selanjutnya akan dirujuk di codelab ini sebagai PROJECT_ID.

  1. Selanjutnya, Anda harus mengaktifkan penagihan di Cloud Console untuk menggunakan resource Google Cloud.

Menjalankan operasi dalam codelab ini seharusnya tidak memerlukan banyak biaya, bahkan mungkin tidak sama sekali. Pastikan untuk mengikuti petunjuk yang ada di bagian "Membersihkan" yang memberi tahu Anda cara menonaktifkan resource sehingga tidak menimbulkan penagihan di luar tutorial ini. Pengguna baru Google Cloud memenuhi syarat untuk mengikuti program Uji Coba Gratis senilai $300 USD.

Mulai Cloud Shell

Dalam codelab ini, Anda akan menggunakan Cloud Shell, lingkungan virtual gratis yang berjalan di Google Cloud. Dari Konsol GCP, klik ikon Cloud Shell di toolbar kanan atas:

vezHz_9nBUSt_0pD8eMHkzgHehRa83ILgMpcztEJtGZspECiZTk47O02PYk6Zp7jyStful3AIDEZU8qcCNbiXF4WcpkUdJi2LoUbxTWg4cZ4skDnvGKNywBZlDBzzWha111IZ1KqXQ

Hanya perlu waktu beberapa saat untuk penyediaan dan terhubung ke lingkungan. Jika sudah selesai, Anda akan melihat tampilan seperti ini:

wQQCzLZ7_omk2cuoBaKVPnniKDFG6MsP8h2OA0j3Iw9LRSFQ9TkD6Ccq4dcUASPoD5UKe1Ur7bIgYn5gAh2r6BlQDnpFmgyAtv9x2D6ppXS0pfjfxViuEfoetgLvgVeduekc2hgU2Q

Mesin virtual ini berisi semua alat pengembangan yang Anda perlukan. Layanan ini menawarkan direktori beranda tetap sebesar 5 GB dan beroperasi di Google Cloud, sehingga sangat meningkatkan performa dan autentikasi jaringan. Kecuali jika diinstruksikan lain, jalankan semua perintah dari shell ini.

3. Mengaktifkan Layanan Cloud KMS

Sebelum dapat menggunakan Cloud KMS, Anda harus mengaktifkan layanan ini di project Anda terlebih dahulu. Tindakan ini hanya perlu dilakukan sekali per project. Untuk mengaktifkan layanan Cloud KMS, jalankan perintah berikut:

$ gcloud services enable cloudkms.googleapis.com \
    --project "${GOOGLE_CLOUD_PROJECT}"

Pengaktifan dapat memerlukan waktu hingga satu menit. Perintah akan melaporkan keberhasilan saat selesai.

4. Buat Kunci KMS

Buat Key Ring Cloud KMS. Di Cloud KMS, Key Ring adalah kumpulan logis kunci kriptografis. Key Ring berisi metadata tentang kunci seperti lokasinya. Buat Key Ring bernama my-keyring di region global:

$ gcloud kms keyrings create "my-keyring" \
    --location "global"

Sekarang buat Kunci Kripto bernama my-asymmetric-encryption-key dengan tujuan asymmetric-encryption di dalam Key Ring yang baru saja Anda buat.

$ gcloud kms keys create "my-asymmetric-encryption-key" \
    --location "global" \
    --keyring "my-keyring" \
    --purpose "asymmetric-encryption" \
    --default-algorithm "rsa-decrypt-oaep-4096-sha512"

5. Mengenkripsi Data

Dengan kunci asimetris, Cloud KMS tidak melakukan enkripsi. Sebagai gantinya, layanan ini memberikan akses ke kunci publik dan Anda mengenkripsi data menggunakan kunci publik tersebut melalui kriptografi kunci publik. Dengan kunci asimetris, enkripsi dapat dilakukan sepenuhnya secara offline dan tidak memerlukan akses ke Cloud KMS atau API Google Cloud lainnya. Enkripsi dilakukan menggunakan alat kriptografi seperti openssl atau dengan bahasa pemrograman atau library yang mendukung kriptografi kunci publik.

Download kunci publik dari Cloud KMS:

$ gcloud kms keys versions get-public-key "1" \
    --location "global" \
    --keyring "my-keyring" \
    --key "my-asymmetric-encryption-key" \
    --output-file ./key.pub

Buat file dengan data yang akan dienkripsi dan gunakan alat command line openssl untuk mengenkripsi data dalam file:

$ echo "my-contents" > ./data.txt

$ openssl pkeyutl -encrypt -pubin \
    -in ./data.txt \
    -inkey ./key.pub \
    -pkeyopt "rsa_padding_mode:oaep" \
    -pkeyopt "rsa_oaep_md:sha512" \
    -pkeyopt "rsa_mgf1_md:sha512" > ./data.txt.enc

Data terenkripsi (juga dikenal sebagai "ciphertext") akan disimpan di data.txt.enc di disk. Jika Anda membuka file data.txt.enc, Anda akan melihat bahwa file tersebut memiliki karakter yang aneh dan tidak dapat dicetak. Hal ini karena data yang dihasilkan dalam format biner.

Saat menyimpan ciphertext dalam database atau mengirimkannya sebagai bagian dari permintaan HTTP, Anda mungkin perlu mengenkode data. Mekanisme encoding paling umum untuk ciphertext adalah base64.

Cloud KMS tidak menyimpan teks biasa yang Anda berikan. Anda harus menyimpan ciphertext ini di lokasi yang aman karena akan diperlukan untuk mengambil nilai teks biasa.

6. Mendekripsi Data

Tidak seperti enkripsi, mendekripsi data yang dienkripsi menggunakan kunci Cloud KMS asimetris memerlukan akses online ke layanan Cloud KMS. Dekripsi teks tersandi dari file menggunakan alat command line gcloud:

$ gcloud kms asymmetric-decrypt \


    --location "global" \
    --keyring "my-keyring" \
    --key "my-asymmetric-encryption-key" \
    --version "1" \
    --plaintext-file - \
    --ciphertext-file ./data.txt.enc

Alat command line gcloud membaca ciphertext dari file dan mendekripsinya menggunakan Cloud KMS. Perhatikan contoh ini menentukan argumen --plaintext-file sebagai -. Perintah ini menginstruksikan gcloud untuk mencetak hasil ke terminal.

Konsol akan mencetak my-contents, yang merupakan nilai teks biasa yang sama dari file di atas.

7. Selamat!

Anda telah mengaktifkan Cloud KMS API, membuat kunci enkripsi asimetris, serta mengenkripsi dan mendekripsi data. Cloud KMS adalah produk yang canggih dan enkripsi/dekripsi hanyalah sebagian kecil dari kemampuannya.

Pembersihan

Jika Anda sudah selesai menjelajah, pertimbangkan untuk menghapus project Anda.

  • Buka Cloud Platform Console
  • Pilih project yang ingin Anda nonaktifkan, lalu klik "Hapus" di bagian atas. Tindakan ini akan menjadwalkan penghapusan project.

Pelajari Lebih Lanjut

Lisensi

Karya ini dilisensikan berdasarkan Lisensi Umum Creative Commons Attribution 2.0.