2

我们在本地生成了 RSA 密钥对,并计划将它们同步到 GCP-KMS。有一个年度密钥轮换策略,将在本地完成,新的 key_versions 将同步到 KMS。我担心的是 KMS API。

问题:API 总是要求“key_version”作为加密/解密文件的参数。

期望的行为:在解密期间,KMS 是否不可能看到证书指纹并返回适当的密钥版本来解密给定的加密文件?例如,当提供给 KMS 时,使用 RSA_public 包装的 DEK 会被正确版本的 RSA_Private(或 KEK)解密。

如果是,是否有详细说明此用例的文档?

4

1 回答 1

0

根据文档,您可以使用对称签名(未指定密钥版本)来实现,但您不能使用 asymetricDecrypt(API 的 URL 路径中需要密钥版本)

于 2021-10-06T19:28:04.443 回答