Google發布了用于Google云平臺(GCP,Google Cloud Platform)的新服務,允許創建、使用、旋轉和銷毀對稱加密密鑰。雖然新的云密鑰管理系統(KMS,Key Management Service)是與Google的云身份訪問管理(Cloud Identity Access Management)和云審計日志(Cloud Audit Logging)集成的,但是KMS管理的密鑰也可獨立使用。
在推出Google KMS之前,Google GCP用戶可以選擇讓GCP自動為用戶處置密鑰問題,或是提供自己的密鑰用于服務器端加密。現在KMS提供了新的選項,即管理基于云的密鑰并通過API使用密鑰加密和解密數據。Google的云KMS還支持旋轉密鑰操作,該操作可以手動運行或是基于計劃運行。當密鑰被旋轉后,在保持舊密鑰對解密激活的同時,只有一個主密鑰可用于新數據的解密。
據Google介紹,云KMS可以輕易處理百萬級的加密密鑰,并提供對密鑰的低延遲訪問。值得注意的是,GCP加密數據時要將數據分割為子文件數據塊,每個數據塊的加密使用獨立的數據加密密鑰(DEK,Data Encryption Key)。DEK緊鄰被加密的數據塊而存儲,并受到加密密鑰的密鑰(KEK,Key Encryption Key)保護,這里使用的密鑰就是管理在云KMS中的密鑰。
Google云KMS使用了AES256密鑰,由Google開源的BoringSSL軟件庫提供。此外,Google在Galois/Counter模式下評價了他們的算法,該算法的目標在于提供高數據速率的認證加密,這種高數據速率要歸功于對流水線或并行處理技術的使用。
查看英文原文:Google Introduces Cloud-based Encryption Key Management Service
京公網安備 11010502049343號