Mengenkripsi dan mendekripsi data dengan Cloud KMS

1. Ringkasan

Cloud KMS adalah key management service yang dihosting di cloud yang memungkinkan Anda mengelola kunci kriptografis untuk layanan cloud seperti saat Anda mengelolanya di lokal. Layanan ini mencakup dukungan untuk enkripsi, dekripsi, penandatanganan, dan verifikasi menggunakan berbagai jenis dan sumber kunci, termasuk Cloud HSM untuk kunci yang didukung hardware. Tutorial ini mengajarkan cara mengenkripsi dan mendekripsi data menggunakan kunci Cloud KMS simetris.

Anda akan mempelajari

  • Cara mengaktifkan Cloud KMS API
  • Cara membuat Key Ring Cloud KMS
  • Cara membuat Kunci Kriptografis Cloud KMS untuk enkripsi/dekripsi simetris
  • Cara merotasi Kunci Kriptografis Cloud KMS simetris

2. Penyiapan dan Persyaratan

Penyiapan lingkungan mandiri

  1. Login ke Cloud Console dan buat project baru atau gunakan kembali project yang sudah ada. (Jika belum memiliki akun Gmail atau G Suite, Anda harus membuatnya.)

dMbN6g9RawQj_VXCSYpdYncY-DbaRzr2GbnwoV7jFf1u3avxJtmGPmKpMYgiaMH-qu80a_NJ9p2IIXFppYk8x3wyymZXavjglNLJJhuXieCem56H30hwXtd8PvXGpXJO9gEUDu3cZw

ci9Oe6PgnbNuSYlMyvbXF1JdQyiHoEgnhl4PlV_MFagm2ppzhueRkqX4eLjJllZco_2zCp0V0bpTupUSKji9KkQyWqj11pqit1K1faS1V6aFxLGQdkuzGp4rsQTan7F01iePL5DtqQ

8-tA_Lheyo8SscAVKrGii2coplQp2_D1Iosb2ViABY0UUO1A8cimXUu6Wf1R9zJIRExL5OB2j946aIiFtyKTzxDcNnuznmR45vZ2HMoK3o67jxuoUJCAnqvEX6NgPGFjCVNgASc-lg

Ingat project ID, nama unik di semua project Google Cloud (maaf, nama di atas telah digunakan dan tidak akan berfungsi untuk Anda!) Project ID tersebut selanjutnya akan dirujuk di codelab ini sebagai PROJECT_ID.

  1. Selanjutnya, Anda harus mengaktifkan penagihan di Cloud Console untuk menggunakan resource Google Cloud.

Menjalankan operasi dalam codelab ini seharusnya tidak memerlukan banyak biaya, bahkan mungkin tidak sama sekali. Pastikan untuk mengikuti petunjuk yang ada di bagian "Membersihkan" yang memberi tahu Anda cara menonaktifkan resource sehingga tidak menimbulkan penagihan di luar tutorial ini. Pengguna baru Google Cloud memenuhi syarat untuk mengikuti program Uji Coba Gratis senilai $300 USD.

Mulai Cloud Shell

Dalam codelab ini, Anda akan menggunakan Cloud Shell, lingkungan virtual gratis yang berjalan di Google Cloud. Dari Konsol GCP, klik ikon Cloud Shell di toolbar kanan atas:

vezHz_9nBUSt_0pD8eMHkzgHehRa83ILgMpcztEJtGZspECiZTk47O02PYk6Zp7jyStful3AIDEZU8qcCNbiXF4WcpkUdJi2LoUbxTWg4cZ4skDnvGKNywBZlDBzzWha111IZ1KqXQ

Hanya perlu waktu beberapa saat untuk penyediaan dan terhubung ke lingkungan. Jika sudah selesai, Anda akan melihat tampilan seperti ini:

wQQCzLZ7_omk2cuoBaKVPnniKDFG6MsP8h2OA0j3Iw9LRSFQ9TkD6Ccq4dcUASPoD5UKe1Ur7bIgYn5gAh2r6BlQDnpFmgyAtv9x2D6ppXS0pfjfxViuEfoetgLvgVeduekc2hgU2Q

Mesin virtual ini berisi semua alat pengembangan yang Anda perlukan. Layanan ini menawarkan direktori beranda tetap sebesar 5 GB dan beroperasi di Google Cloud, sehingga sangat meningkatkan performa dan autentikasi jaringan. Kecuali jika diinstruksikan lain, jalankan semua perintah dari shell ini.

3. Mengaktifkan Layanan Cloud KMS

Sebelum dapat menggunakan Cloud KMS, Anda harus mengaktifkan layanan ini di project Anda terlebih dahulu. Tindakan ini hanya perlu dilakukan sekali per project. Untuk mengaktifkan layanan Cloud KMS, jalankan perintah berikut:

$ gcloud services enable cloudkms.googleapis.com \
    --project "${GOOGLE_CLOUD_PROJECT}"

Pengaktifan dapat memerlukan waktu hingga satu menit. Perintah akan melaporkan keberhasilan saat selesai.

4. Buat Kunci KMS

Buat Key Ring Cloud KMS. Di Cloud KMS, Key Ring adalah kumpulan logis kunci kriptografis. Key Ring berisi metadata tentang kunci seperti lokasinya. Buat Key Ring bernama my-keyring di region global:

$ gcloud kms keyrings create "my-keyring" \
    --location "global"

Sekarang buat Kunci Kripto bernama my-symmetric-key dengan tujuan encryption di dalam Key Ring yang baru saja Anda buat.

$ gcloud kms keys create "my-symmetric-key" \
    --location "global" \
    --keyring "my-keyring" \
    --purpose "encryption"

5. Mengenkripsi Data

Buat file dengan data yang akan dienkripsi dan gunakan alat command line gcloud untuk mengenkripsi data dalam file:

$ echo "my-contents" > ./data.txt

$ gcloud kms encrypt \
    --location "global" \
    --keyring "my-keyring" \
    --key "my-symmetric-key" \
    --plaintext-file ./data.txt \
    --ciphertext-file ./data.txt.enc

Data terenkripsi (juga dikenal sebagai "ciphertext") disimpan di data.txt.enc di disk. Jika Anda membuka file data.txt.enc, Anda akan melihat bahwa file tersebut memiliki karakter yang aneh dan tidak dapat dicetak. Hal ini karena data yang dihasilkan dalam format biner.

Saat menyimpan ciphertext dalam database atau mengirimkannya sebagai bagian dari permintaan HTTP, Anda mungkin perlu mengenkode data. Mekanisme encoding yang umum adalah base64.

Cloud KMS tidak menyimpan teks biasa yang Anda berikan. Anda harus menyimpan ciphertext ini di lokasi yang aman karena akan diperlukan untuk mengambil nilai teks biasa.

6. Mendekripsi Data

Dekripsi teks tersandi dari file menggunakan alat command line gcloud:

$ gcloud kms decrypt \
    --location "global" \
    --keyring "my-keyring" \
    --key "my-symmetric-key" \
    --plaintext-file - \
    --ciphertext-file ./data.txt.enc

Alat command line gcloud membaca ciphertext dari file dan mendekripsinya menggunakan Cloud KMS. Perhatikan contoh ini menentukan argumen --plaintext-file sebagai -. Perintah ini menginstruksikan gcloud untuk mencetak hasil ke terminal.

Konsol akan mencetak my-contents, yang merupakan nilai teks biasa yang sama dari file di atas.

7. Merotasi Kunci

Di Cloud KMS, Kunci Kriptografis sebenarnya adalah kumpulan Versi Kunci Kriptografis. Anda dapat membuat Versi Crypto Key baru untuk melakukan rotasi kunci. Cloud KMS juga dapat merotasi kunci secara otomatis sesuai jadwal.

Untuk merotasi kunci secara manual, buat Versi Kunci Kripto baru dan tetapkan sebagai versi utama:

$ gcloud kms keys versions create \
    --location "global" \
    --keyring "my-keyring" \
    --key "my-symmetric-key" \
    --primary

Semua permintaan mendatang untuk mengenkripsi data akan menggunakan kunci baru ini. Kunci yang lebih lama masih tersedia untuk mendekripsi data yang sebelumnya dienkripsi menggunakan kunci tersebut. Cloud KMS secara otomatis menentukan kunci dekripsi yang sesuai berdasarkan ciphertext yang diberikan - Anda tidak perlu menentukan Versi Kunci Kripto mana yang akan digunakan untuk dekripsi.

Untuk mencegah nilai ciphertext yang dienkripsi menggunakan Versi Kunci Kriptografis yang lebih lama didekripsi menggunakan Cloud KMS, Anda dapat menonaktifkan atau menghancurkan Versi Kunci Kriptografis tersebut. Penonaktifan adalah operasi yang dapat dibatalkan, sedangkan penghancuran bersifat permanen. Untuk menonaktifkan versi:

$ gcloud kms keys versions disable "1" \
    --location "global" \
    --keyring "my-keyring" \
    --key "my-symmetric-key"

8. Selamat!

Anda telah mengaktifkan Cloud KMS API, membuat kunci enkripsi simetris, serta mengenkripsi dan mendekripsi data. Cloud KMS adalah produk yang canggih dan enkripsi/dekripsi hanyalah sebagian kecil dari kemampuannya.

Pembersihan

Jika Anda sudah selesai menjelajah, pertimbangkan untuk menghapus project Anda.

  • Buka Cloud Platform Console
  • Pilih project yang ingin Anda nonaktifkan, lalu klik "Hapus" di bagian atas. Tindakan ini akan menjadwalkan penghapusan project.

Pelajari Lebih Lanjut

Lisensi

Karya ini dilisensikan berdasarkan Lisensi Umum Creative Commons Attribution 2.0.