Criptografar e descriptografar dados com o Cloud KMS (assimétrico)

1. Visão geral

O Cloud KMS é um serviço de gerenciamento de chaves hospedado na nuvem que permite gerenciar as chaves criptográficas dos seus serviços na nuvem da mesma forma que você faria localmente. Ele inclui suporte para criptografia, descriptografia, assinatura e verificação usando uma variedade de tipos de chave e origens, incluindo o Cloud HSM para chaves protegidas por hardware. Neste tutorial, ensinamos como criptografar e descriptografar dados usando chaves assimétricas do Cloud KMS.

Você aprenderá

  • Como ativar a API Cloud KMS
  • Como criar um keyring
  • Como criar uma chave criptográfica para criptografia/descriptografia assimétrica

2. Configuração e requisitos

Configuração de ambiente autoguiada

  1. Faça login no Console do Cloud e crie um novo projeto ou reutilize um existente. Crie uma se você ainda não tiver uma conta do Gmail ou do G Suite.

dMbN6g9RawQj_VXCSYpdYncY-DbaRzr2GbnwoV7jFf1u3avxJtmGPmKpMYgiaMH-qu80a_NJ9p2IIXFppYk8x3wyymZXavjglNLJJhuXieCem56H30hwXtd8PvXGpXJO9gEUDu3cZw

ci9Oe6PgnbNuSYlMyvbXF1JdQyiHoEgnhl4PlV_MFagm2ppzhueRkqX4eLjJllZco_2zCp0V0bpTupUSKji9KkQyWqj11pqit1K1faS1V6aFxLGQdkuzGp4rsQTan7F01iePL5DtqQ

8-tA_Lheyo8SscAVKrGii2coplQp2_D1Iosb2ViABY0UUO1A8cimXUu6Wf1R9zJIRExL5OB2j946aIiFtyKTzxDcNnuznmR45vZ2HMoK3o67jxuoUJCAnqvEX6NgPGFjCVNgASc-lg

Lembre-se do código do projeto, um nome exclusivo em todos os projetos do Google Cloud. O nome acima já foi escolhido e não servirá para você. Faremos referência a ele mais adiante neste codelab como PROJECT_ID.

  1. Em seguida, será necessário ativar o faturamento no Console do Cloud para usar os recursos do Google Cloud.

A execução deste codelab não será muito cara, se for o caso. Siga todas as instruções na seção "Limpeza", que orienta você sobre como encerrar recursos para não incorrer em cobranças além deste tutorial. Novos usuários do Google Cloud estão qualificados para o programa de avaliação gratuita de US$ 300.

Inicie o Cloud Shell

Neste codelab, você usará o Cloud Shell, um ambiente virtualizado sem custo financeiro em execução no Google Cloud. No Console do GCP, clique no ícone do Cloud Shell na barra de ferramentas localizada no canto superior direito:

vezHz_9nBUSt_0pD8eMHkzgHehRa83ILgMpcztEJtGZspECiZTk47O02PYk6Zp7jyStful3AIDEZU8qcCNbiXF4WcpkUdJi2LoUbxTWg4cZ4skDnvGKNywBZlDBzzWha111IZ1KqXQ

O provisionamento e a conexão com o ambiente levarão apenas alguns instantes para serem concluídos: Quando o processamento for concluído, você verá algo como:

wQQCzLZ7_omk2cuoBaKVPnniKDFG6MsP8h2OA0j3Iw9LRSFQ9TkD6Ccq4dcUASPoD5UKe1Ur7bIgYn5gAh2r6BlQDnpFmgyAtv9x2D6ppXS0pfjfxViuEfoetgLvgVeduekc2hgU2Q

Essa máquina virtual contém todas as ferramentas de desenvolvimento necessárias. Ela oferece um diretório principal permanente de 5 GB, além de ser executada no Google Cloud, o que aprimora o desempenho e a autenticação da rede. A menos que seja instruído de outra forma, execute todos os comandos deste shell.

3. Ativar o serviço do Cloud KMS

Antes de usar o Cloud KMS, ative o serviço no seu projeto. Isso só precisa ser feito uma vez por projeto. Para ativar o serviço do Cloud KMS, execute o seguinte comando:

$ gcloud services enable cloudkms.googleapis.com \
    --project "${GOOGLE_CLOUD_PROJECT}"

A ativação pode levar até um minuto. O comando vai informar que foi bem-sucedido quando for concluído.

4. Criar chave KMS

Criar um keyring do Cloud KMS. No Cloud KMS, um keyring é uma coleção lógica de chaves criptográficas. O keyring contém metadados sobre as chaves, como a localização delas. Crie um keyring chamado my-keyring na região global:

$ gcloud kms keyrings create "my-keyring" \
    --location "global"

Agora crie uma chave criptográfica chamada my-asymmetric-encryption-key com a finalidade asymmetric-encryption dentro do keyring que você acabou de criar.

$ gcloud kms keys create "my-asymmetric-encryption-key" \
    --location "global" \
    --keyring "my-keyring" \
    --purpose "asymmetric-encryption" \
    --default-algorithm "rsa-decrypt-oaep-4096-sha512"

5. Criptografar dados

Com chaves assimétricas, o Cloud KMS não realiza a criptografia. Em vez disso, ela fornece acesso a uma chave pública, e você criptografa dados usando essa chave pública por meio da criptografia de chave pública. Com as chaves assimétricas, a criptografia pode ser feita completamente off-line e não requer acesso ao Cloud KMS ou a qualquer outra API do Google Cloud. A criptografia é feita com uma ferramenta de criptografia como openssl ou com uma linguagem de programação ou biblioteca compatível com criptografia de chave pública.

Faça o download da chave pública do Cloud KMS:

$ gcloud kms keys versions get-public-key "1" \
    --location "global" \
    --keyring "my-keyring" \
    --key "my-asymmetric-encryption-key" \
    --output-file ./key.pub

Crie um arquivo com dados para criptografar e use a ferramenta de linha de comando openssl para criptografar os dados no arquivo:

$ echo "my-contents" > ./data.txt
$ openssl pkeyutl -encrypt -pubin \
    -in ./data.txt \
    -inkey ./key.pub \
    -pkeyopt "rsa_padding_mode:oaep" \
    -pkeyopt "rsa_oaep_md:sha512" \
    -pkeyopt "rsa_mgf1_md:sha512" > ./data.txt.enc

Os dados criptografados (também conhecidos como "texto criptografado") serão salvos em data.txt.enc no disco. Se você abrir o arquivo data.txt.enc, vai perceber que ele tem caracteres estranhos e que não podem ser impressos. Isso ocorre porque os dados resultantes estão em formato binário.

Ao armazenar o texto criptografado em um banco de dados ou transmiti-lo como parte de uma solicitação HTTP, pode ser necessário codificar os dados. O mecanismo de codificação mais comum para texto criptografado é base64.

O Cloud KMS não armazena os textos simples fornecidos. Salve esse texto criptografado em um local seguro porque ele será necessário para recuperar o valor do texto simples.

6. Descriptografar dados

Ao contrário da criptografia, a descriptografia de dados criptografados com uma chave assimétrica do Cloud KMS exige acesso on-line ao serviço. Descriptografe o texto do arquivo usando a ferramenta de linha de comando gcloud:

$ gcloud kms asymmetric-decrypt \


    --location "global" \
    --keyring "my-keyring" \
    --key "my-asymmetric-encryption-key" \
    --version "1" \
    --plaintext-file - \
    --ciphertext-file ./data.txt.enc

A ferramenta de linha de comando gcloud lê o texto criptografado do arquivo e o descriptografa usando o Cloud KMS. Observe que este exemplo especifica o argumento --plaintext-file como -. Isso instrui o gcloud a mostrar o resultado no terminal.

O console vai exibir my-contents, que é o mesmo valor de texto simples do arquivo acima.

7. Parabéns!

Você ativou a API Cloud KMS, criou uma chave de criptografia assimétrica e criptografou e descriptografa dados. O Cloud KMS é um produto avançado, e a criptografia/descriptografia é apenas um pouco de seus recursos.

Limpeza

Quando terminar de explorar, considere excluir seu projeto.

  • Acesse o console do Cloud Platform.
  • Selecione o projeto que você quer encerrar e clique em "Excluir" na parte superior. Isso programa a exclusão do projeto.

Saiba mais

Licença

Este conteúdo está sob a licença Atribuição 2.0 Genérica da Creative Commons.