Можно ли восстановить импортированный ключ HSM AES-256 по материалу ключа?

Question

Я импортировал материал ключа в Cloud KMS, и KMS сгенерировал ключ (AES-256), затем я сохранил материал ключа локально и зашифровал некоторые файлы данных сгенерированным ключом.

После этого, если мой Googleзадолженность по счету или облачный сбой KMS и приводит к потере ключа KMS (я знаю, что это очень маловероятно). Могу ли я восстановить ключ и расшифровать зашифрованный файл?

В частности, мой сценарий заключается в том, что после возобновления способа оплаты моя служба KMS возобновила работу. Могу ли я использовать тот же материал ключа для его повторного импорта в KMS, чтобы создать новый ключ, который может расшифровать файлы, зашифрованные с помощью старого ключа?

Answer 1

Даже если у вас есть импортированный ключевой материал, Cloud KMS разрешает операции только через его API , это означает, что без доступа к нему невозможно расшифровать файлы.

Из документация по симметричным ключам :

По соображениям безопасности необработанный материал криптографического ключа, представленный ключом Cloud KMS, никогда не может быть просмотрен или экспортирован. Он может использоваться только авторизованным пользователем для шифрования или дешифрования данных при вызове API Cloud KMS.

В вашем конкретном сценарии , даже если вы используете тот же материал ключачтобы создать другой симметричный ключ, вы не сможете расшифровать ранее зашифрованные файлы с помощью старого ключа.