Google发布了用于Google 云平台(GCP,Google Cloud Platform)的新服务,允许创建、使用、旋转和销毁对称加密密钥。虽然新的云密钥管理系统(KMS,Key Management Service)是与Google 的云身份访问管理(Cloud Identity Access Management)和云审计日志(Cloud Audit Logging)集成的,但是KMS 管理的密钥也可独立使用。
在推出Google KMS 之前,Google GCP 用户可以选择让GCP 自动为用户处置密钥问题,或是提供自己的密钥用于服务器端加密。现在KMS 提供了新的选项,即管理基于云的密钥并通过 API 使用密钥加密和解密数据。Google 的云 KMS 还支持旋转密钥操作,该操作可以手动运行或是基于计划运行。当密钥被旋转后,在保持旧密钥对解密激活的同时,只有一个主密钥可用于新数据的解密。
据 Google 介绍,云 KMS 可以轻易处理百万级的加密密钥,并提供对密钥的低延迟访问。值得注意的是,GCP 加密数据时要将数据分割为子文件数据块,每个数据块的加密使用独立的数据加密密钥(DEK,Data Encryption Key)。DEK 紧邻被加密的数据块而存储,并受到加密密钥的密钥(KEK,Key Encryption Key)保护,这里使用的密钥就是管理在云KMS 中的密钥。
Google 云 KMS 使用了 AES256 密钥,由 Google 开源的 BoringSSL 软件库提供。此外,Google 在 Galois/Counter 模式下评价了他们的算法,该算法的目标在于提供高数据速率的认证加密,这种高数据速率要归功于对流水线或并行处理技术的使用。
查看英文原文: Google Introduces Cloud-based Encryption Key Management Service
感谢冬雨对本文的审校。
给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ , @丁晓昀),微信(微信号: InfoQChina )关注我们。
评论