Obtention de la clé KMS à partir de KMS CipherTextBlob

Question

Comment obtenir les informations de clé KMS à partir du blob chiffré?

Prenant l'exemple du site SSFE

AWS KMS doc

aws kms encrypt --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --plaintext fileb://ExamplePlaintextFile --output text --query CiphertextBlob | base64 --decode > ExampleEncryptedFile 

Est-il possible de regarder ExampleEncryptedFile et de déterminer quels KMS clé a été utilisée pour chiffrer?

Je demande parce que j'ai un problème à lire quelque chose que j'ai crypté et je veux vérifier qu'il a été crypté avec la clé que je pensais que c'était.

Answer 1

Je crains que vous ne puissiez pas le faire. L'API encrypt utilise une clé principale client (CMK) pour chiffrer les données et cette clé ne quitte jamais AWS. Sauf si vous avez enregistré l'ID de clé quelque part (ce qui n'est pas une bonne pratique), vous ne pourrez pas le dériver du fichier crypté.

Un couple de choses qui peuvent aider, au cas où vous avez un accès administratif à la console AWS:

• essayer littéralement appeler aws kms decrypt à l'aide des touches de maître que vous avez (en supposant qu'ils ne sont pas nombreux et l'original n'a pas été supprimé);
• En regardant vos journaux CloudTrail, vous pourriez être en mesure de comprendre quelle clé a été utilisée si vous avez une idée approximative de l'heure à laquelle elle a été utilisée (en supposant que vous avez CloudTrail enabled on your KMS operations).