阿里云用戶在云上部署IT資產,需要對敏感數據進行加密保護。如果被加密的數據對象較大,則可以通過KMS的密碼運算API在線生成數據密鑰,用離線數據密鑰在本地加密大量數據。這類加密模式叫作信封加密。
背景信息
典型的場景包括(但不限于):
對業務數據文件的加密
對全磁盤數據加密
本文以加密本地文件為例,介紹如何使用KMS實現對數據的信封加密,以及如何解密被信封加密的數據。
加密和解密的原理
使用KMS創建一個主密鑰,使用主密鑰生成一個數據密鑰,再使用數據密鑰在本地加解密數據。這種場景適用于大量數據的加解密。具體架構如下所示:
信封加密
操作流程如下: 通過KMS控制臺,或者調用CreateKey,創建一個用戶主密鑰。
調用GenerateDataKey創建一個數據密鑰。KMS會返回一個明文的數據密鑰和一個密文的數據密鑰。
使用明文的數據密鑰加密文件,產生密文文件,然后銷毀內存中的明文密鑰。
用戶將密文數據密鑰和密文文件一同存儲到持久化存儲設備或服務中。
信封解密
操作流程如下: 從本地文件中讀取密文數據密鑰。
調用KMS服務的Decrypt,將加密過的密鑰解密為明文密鑰。
用明文密鑰為本地數據解密,再銷毀內存中的明文密鑰。
加密和解密的API
您可以調用以下KMS API,在本地對數據進行加解密。
API名稱 | 說明 |
創建用戶主密鑰(CMK)。 | |
為指定用戶主密鑰創建一個別名。 | |
在線生成數據密鑰,用指定CMK加密數據密鑰后,返回數據密鑰的密文和明文。 | |
解密KMS直接加密的數據(包括GenerateDataKey產生的數據密鑰的密文),不需要指定CMK。 |
加密和解密本地文件
阿里云賬號AccessKey擁有所有OpenAPI的訪問權限,建議您使用RAM用戶進行API訪問或日常運維。強烈建議不要把AccessKey ID和AccessKey Secret保存到工程代碼里,否則可能導致AccessKey泄露,威脅您賬號下所有資源的安全。
本示例以將AccessKey配置在環境變量ALIBABA_CLOUD_ACCESS_KEY_ID和ALIBABA_CLOUD_ACCESS_KEY_SECRET的方式來實現身份驗證為例。
更多認證信息配置方式,請參見客戶端與憑證。
不同操作系統的環境變量配置方法不同,具體操作,請參見在Linux、macOS和Windows系統配置環境變量。
您可以通過阿里云CLI創建用戶主密鑰,加密和解密本地文件。
調用CreateKey,創建用戶主密鑰。
aliyun kms CreateKey預期輸出:
{ "KeyMetadata": { "CreationDate": "2019-04-08T07:45:54Z", "Description": "", "KeyId": "1234abcd-12ab-34cd-56ef-12345678****", "KeyState": "Enabled", "KeyUsage": "ENCRYPT/DECRYPT", "DeleteDate": "", "Creator": "151266687691****", "Arn": "acs:kms:cn-hangzhou:151266687691****:key/1234abcd-12ab-34cd-56ef-12345678****", "Origin": "Aliyun_KMS", "MaterialExpireTime": "" }, "RequestId": "2a37b168-9fa0-4d71-aba4-2077dd9e80df" }(可選)給主密鑰添加別名。
別名是用戶主密鑰的可選標識。如果用戶不創建別名,也可以直接使用密鑰的ID。
aliyun kms CreateAlias --AliasName alias/Apollo/WorkKey --KeyId 1234abcd-12ab-34cd-56ef-12345678****說明其中,
Apollo/WorkKey表示Apollo項目中的工作密鑰(當前被用于加密的密鑰)。您可以在后續示例代碼中使用別名(alias/Apollo/WorkKey)調用加密API。加密本地文件。
示例代碼中:
用戶主密鑰:別名為
alias/Apollo/WorkKey。明文數據文件:./data/sales.csv。
輸出的密文數據文件:./data/sales.csv.cipher。
#!/usr/bin/env python #coding=utf-8 import json import base64 from Crypto.Cipher import AES from aliyunsdkcore import client from aliyunsdkkms.request.v20160120 import GenerateDataKeyRequest def KmsGenerateDataKey(client, key_alias): request = GenerateDataKeyRequest.GenerateDataKeyRequest() request.set_accept_format('JSON') request.set_KeyId(key_alias) request.set_NumberOfBytes(32) response = json.loads(client.do_action(request)) datakey_encrypted = response["CiphertextBlob"] datakey_plaintext = response["Plaintext"] return (datakey_plaintext, datakey_encrypted) def ReadTextFile(in_file): file = open(in_file, 'r') content = file.read() file.close() return content def WriteTextFile(out_file, lines): file = open(out_file, 'w') for ln in lines: file.write(ln) file.write('\n') file.close() # Out file format (text) # Line 1: b64 encoded data key # Line 2: b64 encoded IV # Line 3: b64 encoded ciphertext # Line 4: b64 encoded authentication tag def LocalEncrypt(datakey_plaintext, datakey_encrypted, in_file, out_file): data_key_binary = base64.b64decode(datakey_plaintext) cipher = AES.new(data_key_binary, AES.MODE_EAX) in_content = ReadTextFile(in_file) ciphertext, tag = cipher.encrypt_and_digest(in_content) lines = [datakey_encrypted, base64.b64encode(cipher.nonce), base64.b64encode(ciphertext), base64.b64encode(tag)]; WriteTextFile(out_file, lines) clt = client.AcsClient(os.getenv("ALIBABA_CLOUD_ACCESS_KEY_ID"),os.getenv("ALIBABA_CLOUD_ACCESS_KEY_SECRET"),'Region-Id') key_alias = 'alias/Apollo/WorkKey' in_file = './data/sales.csv' out_file = './data/sales.csv.cipher' # Generate Data Key datakey = KmsGenerateDataKey(clt, key_alias) # Locally Encrypt the sales record LocalEncrypt(datakey[0], datakey[1], in_file, out_file)解密本地文件。
示例代碼中:
密文數據文件:./data/sales.csv.cipher。
輸出的明文數據文件:./data/decrypted_sales.csv。
#!/usr/bin/env python #coding=utf-8 import json import base64 from Crypto.Cipher import AES from aliyunsdkcore import client from aliyunsdkkms.request.v20160120 import DecryptRequest def KmsDecrypt(client, ciphertext): request = DecryptRequest.DecryptRequest() request.set_accept_format('JSON') request.set_CiphertextBlob(ciphertext) response = json.loads(client.do_action(request)) return response.get("Plaintext") def ReadTextFile(in_file): file = open(in_file, 'r') lines = [] for ln in file: lines.append(ln) file.close() return lines def WriteTextFile(out_file, content): file = open(out_file, 'w') file.write(content) file.close() def LocalDecrypt(datakey, iv, ciphertext, tag, out_file): cipher = AES.new(datakey, AES.MODE_EAX, iv) data = cipher.decrypt_and_verify(ciphertext, tag).decode('utf-8') WriteTextFile(out_file, data) clt = client.AcsClient(os.getenv("ALIBABA_CLOUD_ACCESS_KEY_ID"),os.getenv("ALIBABA_CLOUD_ACCESS_KEY_SECRET"),'Region-Id') in_file = './data/sales.csv.cipher' out_file = './data/decrypted_sales.csv' # Read encrypted file in_lines = ReadTextFile(in_file) # Decrypt data key datakey = KmsDecrypt(clt, in_lines[0]) # Locally decrypt the sales record LocalDecrypt( base64.b64decode(datakey), base64.b64decode(in_lines[1]), # IV base64.b64decode(in_lines[2]), # Ciphertext base64.b64decode(in_lines[3]), # Authentication tag out_file )