Abrufen des KMS-Schlüssels von KMS CipherTextBlob

Question

Wie bekomme ich die KMS-Schlüsselinformationen aus dem Chiffretext-Blob?

Am Beispiel von der aws Website

AWS KMS doc

aws kms encrypt --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --plaintext fileb://ExamplePlaintextFile --output text --query CiphertextBlob | base64 --decode > ExampleEncryptedFile 

Gibt es eine Möglichkeit an ExampleEncryptedFile zu schauen und herauszufinden, welche Schlüssel KMS verwendet wurde, um es zu verschlüsseln?

Ich frage, weil ich ein Problem habe, etwas zu lesen, das ich verschlüsselt habe, und ich möchte überprüfen, dass es mit dem Schlüssel verschlüsselt wurde, den ich dachte, dass es war.

Answer 1

Ich fürchte, Sie werden es nicht schaffen können. Die API encrypt verwendet einen Kundenstammschlüssel (CMK), um die Daten zu verschlüsseln, und dieser Schlüssel verlässt nie AWS. Sofern Sie die Schlüssel-ID nicht irgendwo gespeichert haben (was nicht sehr praktisch ist), können Sie sie nicht aus der verschlüsselten Datei ableiten.

ein paar Dinge, die für den Fall, können Sie helfen, die administrativen Zugriff auf die AWS-Konsole:

• buchstäblich versuchen aws kms decrypt rufen den Hauptschlüssel verwenden Sie haben (vorausgesetzt, sie sind nicht viele und das Original hat nicht wurde gelöscht);
• Mit Blick auf Ihre CloudTrail-Protokolle können Sie möglicherweise herausfinden, welcher Schlüssel verwendet wurde, wenn Sie eine ungefähre Vorstellung davon haben, wann er verwendet wurde (vorausgesetzt, Sie haben CloudTrail enabled on your KMS operations).