Googleは、Google Cloud Platform(GCP)の新たなサービスとして、秘密鍵暗号方式の鍵の作成、使用、ローテーション、破棄を可能にするサービスを発表した。新しいCloud Key Management Service(KMS)はGoogleのCloud Identity Access ManagementおよびCloud Audit Loggingと統合されているが、KMSを利用して管理されているキーは独立して利用することが出来る。
Google KMSが出る以前は、Google Cloud Platformのユーザーは、GCPに自動的に暗号鍵を処理させるか、サーバーサイドの暗号化のために自前で鍵を用意していた。Google Key Management Serviceを使用することで、クラウドベースのキーを管理し、APIを使用してデータを暗号化および復号化することができる。 Google Cloud KMSでは、手動またはスケジュールベースのキーのローテーションの実施も可能になる。キーのローテーションが実施されると、古いキーは復号化のためにアクティブのまま残り、1つの主となるキーのみが新しいデータを暗号化するために使用される。
Googleによると、Cloud KMSは数百万の暗号化キーを簡単に扱うことができ、鍵へのアクセス時間を短縮できる。特筆すべき点としてGCPはデータをサブファイルチャンクに分割することでデータを暗号化し、各チャンクは独自の個別データ暗号化キー(DEK)を使用して暗号化される。DEKは、暗号化されたデータの近くに保存され、クラウドKMSを使用して管理するキー暗号化キー(KEK)を使用して保護される。
Google Cloud KMSは、GoogleのオープンソースBoringSSLライブラリによって提供されるAES256鍵を使用している。Googleはさらに、アルゴリズムがGalois / Counter Modeで動作することを述べており、これによるパイプラインや並列化の使用により高データレートで認証された暗号化を提供することを目指す。
Rate this Article
- Editor Review
- Chief Editor Action