Шифрование методом envelope encryption

Если у вас нет утилиты MWS CLI:

1. Установите утилиту.

2. Инициализируйте профиль.

Узнайте идентификатор KMS-ключа, который будет выступать в роли KEK:

1
mws kms crypto-key list

Сгенерируйте DEK и зашифруйте с помощью KEK через KMS:

1
mws kms crypto-key generate-data-key <идентификатор KMS-ключа> --bits=256

Пример выполнения команды:

1
dataKeyCiphertext: AQAAAAEXrlKQZ0oP6zg4Y94iC0htDMHfhiAVPS/xWzqwJUX4YYWmKCeJC3N9GYlBYlsqmFyw0xKWQJBw/xncag=
2
dataKeyPlaintext: z0GWvn9qSXDcEfvVGcZkRGs1MHsS3An/OIcX1x54yo=
3
version: 1

Сохраните полученные DEK:

• Значение dataKeyCiphertext — в файл dek.enc.key.
• Значение dataKeyPlaintext — в файл dek.open.key.

Создайте файл с текстом, который нужно зашифровать, и сохраните его с именем plaintext.txt.

Зашифруйте данные с помощью DEK:

1
openssl enc -e -aes-256-cbc \
2
  -salt \
3
  -in ./plaintext.txt \
4
  -out ./plaintext.txt.enc \
5
  -pass file:dek.open.key \
6
  -pbkdf2

В результате выполнения команды будет создан файл plaintext.txt.enc, содержащий зашифрованный текст.

Удалите незашифрованный DEK:

1
rm dek.open.key

Если исходные данные больше не нужны, удалите их:

1
rm plaintext.txt

Узнайте идентификатор KMS-ключа, который будет выступать в роли KEK:

1
curl -X GET https://kms.mwsapis.ru/kms/v1/projects/<имя проекта>/cryptoKeys \
2
  -H "Authorization: Bearer <IAM-токен>" \
3
  -H "Content-Type: application/json"

Сгенерируйте DEK и зашифруйте с помощью KEK через KMS:

1
curl -X POST "https://kms.mwsapis.ru/kms/v1/projects/<имя проекта>/cryptoKeys/<идентификатор KMS-ключа>:generateDataKey" \
2
    -H "Authorization: Bearer <IAM-токен>" \
3
    -H "Content-Type: application/json" \
4
    -d '{"bits": 256}'

Пример выполнения команды:

1
{
2
  "dataKeyCiphertext" : "<зашифрованный DEK>",
3
  "dataKeyPlaintext" : "<незашифрованный DEK>",
4
  "version" : 2
5
}

Сохраните полученные DEK:

• Значение dataKeyCiphertext — в файл dek.enc.key.
• Значение dataKeyPlaintext — в файл dek.open.key.

Создайте файл с текстом, который нужно зашифровать, и сохраните его с именем plaintext.txt.

Зашифруйте данные с помощью DEK:

1
openssl enc -e -aes-256-cbc \
2
  -salt \
3
  -in ./plaintext.txt \
4
  -out ./plaintext.txt.enc \
5
  -pass file:dek.open.key \
6
  -pbkdf2

В результате выполнения команды будет создан файл plaintext.txt.enc, содержащий зашифрованный текст.

Удалите незашифрованный DEK:

1
rm dek.open.key

Если исходные данные больше не нужны, удалите их:

1
rm plaintext.txt

Расшифруйте DEK с помощью KEK через KMS:

1
mws kms crypto-key decrypt <идентификатор KMS-ключа> \
2
  --ciphertext "$(cat dek.enc.key)" |
3
grep "^plaintext:" |
4
cut -d' ' -f2 > decrypted.dek

В результате выполнения команды ключ dek.enc.key будет расшифрован и сохранен в открытом виде в файл decrypted.dek.

Расшифруйте данные с помощью DEK:

1
openssl enc -d -aes-256-cbc \
2
  -in plaintext.txt.enc \
3
  -out plaintext.decrypted \
4
  -pass file:decrypted.dek \
5
  -pbkdf2

В результате выполнения команды будет создан файл plaintext.decrypted, в котором зашифрованный ранее текст будет сохранен в открытом виде.

Удалите восстановленный открытый DEK:

1
rm decrypted.dek

Расшифруйте DEK с помощью KEK через KMS:

1
curl -X POST "https://kms.mwsapis.ru/kms/v1/projects/<имя проекта>/cryptoKeys/<идентификатор KMS-ключа>:decrypt" \
2
    -H "Authorization: Bearer <IAM-токен>" \
3
    -H "Content-Type: application/json" \
4
    -d ' {
5
        "ciphertext": "'$(cat dek.enc.key)'"
6
}' \
7
| grep -o '"plaintext"[^,]*' \
8
| cut -d'"' -f4 \
9
> decrypted.dek

В результате выполнения команды ключ dek.enc.key будет расшифрован и сохранен в открытом виде в файл decrypted.dek.

Расшифруйте данные с помощью DEK:

1
openssl enc -d -aes-256-cbc \
2
  -in plaintext.txt.enc \
3
  -out plaintext.decrypted \
4
  -pass file:decrypted.dek \
5
  -pbkdf2

В результате выполнения команды будет создан файл plaintext.decrypted, в котором зашифрованный ранее текст будет сохранен в открытом виде.

Удалите восстановленный открытый DEK:

1
rm decrypted.dek