我已将密钥材料导入Cloud KMS,并且KMS生成了(AES-256)密钥,然后将密钥材料保存在本地,并使用生成的密钥加密了一些数据文件。
此后,如果我的Google帐户欠款或Cloud KMS崩溃并导致KMS密钥丢失(我知道这种情况极不可能)。我还能恢复密钥并解密加密的文件吗?
具体来说,我的情况是更新付款方式后,我的KMS服务恢复了。我可以使用相同的密钥材料将其重新导入到KMS中以重新生成新的密钥,该密钥可以解密使用旧密钥加密的文件吗?
答案 0 :(得分:0)
即使您拥有导入的密钥材料Cloud KMS only allows operations through its API,这也意味着无法访问它,也无法解密文件。
来自documentation on symmetrical keys:
出于安全原因,无法查看或导出Cloud KMS密钥代表的原始加密密钥材料。授权用户只能在调用Cloud KMS API时使用它来加密或解密数据。
在您的特定情况下,即使您使用相同的密钥材料来创建另一个对称密钥,也无法使用旧密钥解密以前加密的文件。