使用Google Cloud 的 KMS进行对称加密时,Google Cloud 会自动选择主密钥版本:
每个对称加密密钥都有一个指定的主要版本,该版本在该时间点用于加密数据。为了使密钥可用于加密数据,它需要具有已启用的主密钥版本。
当密钥用于加密明文时,其主密钥版本用于加密该数据。关于使用哪个版本加密数据的信息存储在数据的密文中。在任何给定时间点,只有一个版本的密钥可以是主要的。
EncryptResponse包括密文和使用的密钥版本。
如果加密时没有保存密钥的版本,以后是否可以确定密钥的版本?密钥版本存储在密文中,KMS 服务能够确定用于解密的密钥版本,但DecryptResponse仅包含明文,不包含密钥版本。