6

我正在尝试使用 google KMS 工具解密令牌。由于某种原因,在本地运行它,加密似乎有效,但解密无效。

我正在运行以下代码:

import base64
import googleapiclient.discovery
kms_client = googleapiclient.discovery.build('cloudkms', 'v1')
crypto_keys = kms_client.projects().locations().keyRings().cryptoKeys()
name = "projects/my-project/locations/my-loc/keyRings/my-kr/cryptoKeys/my-key"
request = crypto_keys.decrypt(name=name, body={'ciphertext': base64.b64encode("my text").decode('ascii')})
response = request.execute()

最后一行返回 400 错误:

HttpError: <HttpError 400 when requesting https://cloudkms.g[...]ion:decrypt?alt=json 
returned "Decryption failed: verify that 'name' refers to the correct CryptoKey.">

然而,这个名字实际上似乎是正确的。令人惊讶的是,替换对decryptby的调用encrypt,我得到了一个有效的输出。

我错过了一个明显的错误,还是应该在项目的 github 上打开一个问题?

编辑:我试图解密纯文本,这当然没有多大意义(但错误消息在某种程度上误导了我)。

4

1 回答 1

15

确保您尝试解密的密文是使用相同的密钥加密的。如果您使用另一个密钥进行加密,KMS 会告诉您它找不到密钥,而实际上已找到密钥但无法用于解密密码。

我认为错误信息“有点”误导。

于 2019-05-24T09:53:15.997 回答