Aws-cli: एडब्ल्यूएस किलोमीटर डिक्रिप्ट अमान्य सिफरटेक्स्ट अपवाद त्रुटि

क्या हो रहा है इसके बारे में बस थोड़ी सी पृष्ठभूमि की जानकारी:

1.6.6 में , हमने एक प्रतिगमन तय किया जिसमें हम बेस64 एन्कोडिंग "ब्लॉब" प्रकार नहीं थे जिन्हें हम पहले एन्कोडिंग कर रहे थे। नतीजतन, अब आपको "ब्लॉब" प्रकार के रूप में चिह्नित किसी भी पैरामीटर के लिए कच्चे बाइनरी बाइट्स को निर्दिष्ट करने की आवश्यकता है, और आंतरिक रूप से हम स्वचालित रूप से इसे आपके लिए बेस 64 एन्कोड करेंगे। इसका मतलब है कि राउंड ट्रिप कुंजी एन्क्रिप्शन के लिए आपको पहले बेस 64 को डीकोड करना होगा:

$ aws kms encrypt --key-id <key-id> --plaintext "abcd" --query CiphertextBlob --output text | base64 -D > /tmp/encrypted-file
$ echo "Decrypted: $(aws kms decrypt --ciphertext-blob fileb:///tmp/encrypted-file --query Plaintext --output text | base64 -D)"
Decrypted: abcd

इस उदाहरण में, मैं fileb:// उपसर्ग का भी उपयोग कर रहा हूं क्योंकि यह बाइनरी सामग्री वाली फ़ाइल है।

मेरा मानना ​​है कि व्यवहार जैसा है वैसा ही रहना चाहिए। यह देखते हुए कि इस प्रारंभिक अंक में व्यवहार 1.6.5 में एक प्रतिगमन पर निर्भर था जो कि 1.6.6 में तय किया गया था, हम वास्तव में पहले से मौजूद व्यवहार को नहीं बदल सकते हैं, क्योंकि यह ग्राहकों के लिए एक ब्रेकिंग बदलाव होगा। उपरोक्त उदाहरण स्निपेट एडब्ल्यूएस सीएलआई में बाइनरी इनपुट/आउटपुट को संभालने का अपेक्षित तरीका है, और इस हालिया रिग्रेशन को छोड़कर, यह व्यवहार हमेशा ऐसा ही रहा है।

अद्यतन के लिए धन्यवाद!

असल में, अब मुझे समस्या #1001 के समान त्रुटि मिल रही है

$> aws kms encrypt --key-id $KMS_KEY_ID --plaintext "abcd" --query CiphertextBlob --output text | base64 -D > /tmp/encrypted-file

$> echo "Decrypted: $(aws kms decrypt --ciphertext-blob fileb:///tmp/encrypted-file --query Plaintext --output text | base64 -D)"

'ascii' codec can't decode byte 0xdd in position 2: ordinal not in range(128)
Decrypted: 

@mtougeron आप AWS CLI के किस संस्करण का उपयोग कर रहे हैं? मैंने एडब्ल्यूएस सीएलआई (1.6.8) के नवीनतम संस्करण पर फिर से कोशिश की और मुझे यह समस्या नहीं दिखाई दे रही है:

~ $ aws kms encrypt --key-id $AWS_KEY_ID --plaintext "abcd" --query CiphertextBlob --output text | base64 -D > /tmp/encrypted-file
~ $ hexdump -C /tmp/encrypted-file
00000000  0a 20 e1 68 92 dc 42 40  fe 07 80 ca f6 54 1c 68  |. [email protected]|
00000010  e2 45 80 bb c3 e0 2a 2f  91 50 7c ac c3 02 9b c9  |.E....*/.P|.....|
00000020  a8 b3 12 8b 01 01 01 02  00 78 e1 68 92 dc 42 40  |.........x.h..B@|
00000030  fe 07 80 ca f6 54 1c 68  e2 45 80 bb c3 e0 2a 2f  |.....T.h.E....*/|
00000040  91 50 7c ac c3 02 9b c9  a8 b3 00 00 00 62 30 60  |.P|..........b0`|
00000050  06 09 2a 86 48 86 f7 0d  01 07 06 a0 53 30 51 02  |..*.H.......S0Q.|
00000060  01 00 30 4c 06 09 2a 86  48 86 f7 0d 01 07 01 30  |..0L..*.H......0|
00000070  1e 06 09 60 86 48 01 65  03 04 01 2e 30 11 04 0c  |...`.H.e....0...|
00000080  41 de f2 2a a6 c5 38 ef  8a 52 54 92 02 01 10 80  |A..*..8..RT.....|
00000090  1f 2e 01 90 65 7a 21 8c  dd 05 e4 4d 09 64 85 c4  |....ez!....M.d..|
000000a0  33 e3 3d e9 ce 33 6b e9  00 93 ec e5 54 33 8b 3b  |3.=..3k.....T3.;|
000000b0
~ $ echo "Decrypted: $(aws kms decrypt --ciphertext-blob fileb:///tmp/encrypted-file --query Plaintext --output text | base64 -D)"
Decrypted: abcd
~ $ aws --version
aws-cli/1.6.8 Python/2.7.7 Darwin/13.4.0

@jamesls यह अब 1.6.8 में काम करता है। धन्यवाद

@jamesls व्यक्तिगत रूप से मुझे लगता है कि यह अविश्वसनीय रूप से खराब UI है। उसी सिफरटेक्स्ट को डिक्रिप्ट में पास करने में सक्षम नहीं है जो आपको एन्क्रिप्ट से मिला है? यदि आप इसे बदल नहीं सकते क्योंकि आप मौजूदा ग्राहकों को तोड़ना नहीं चाहते हैं, तो कम से कम उन्हें एक बेहतर त्रुटि संदेश दें।

A client error (InvalidCiphertextException) occurred when calling the Decrypt operation: None

दूर से मुझे यह भी नहीं बताता कि समस्या को ठीक करने के लिए क्या करना चाहिए। आप पता लगा सकते हैं कि सिफर शायद बेस 64 है और एक बेहतर त्रुटि आउटपुट करता है और उन्हें यूआरएल या कुछ पर इंगित करता है।

या बिल्ली "इसे पहले बेस 64 से डीकोड करें" कहने के लिए decrypt पर अतिरिक्त ध्वज क्यों न दें?

उन लोगों के लिए जो बाद में इस पर आते हैं, ऐसा करने के लिए _बिना सिफर टेक्स्ट को फाइल में सेव करने के लिए, आप यह कर सकते हैं:

aws kms decrypt --ciphertext-blob fileb://<(echo 'ciphertext' | base64 -d)

नोट: जैसा कि नीचे @hauntingEcho द्वारा बताया गया है, <(cmd) POSIX- अनुरूप नहीं है, इसलिए यदि आप sh का उपयोग कर रहे हैं, तो यह काम नहीं करेगा, लेकिन bash और zsh ठीक काम करता है।

पुन: @thegranddesign की टिप्पणी , ओएस एक्स पर कम से कम मुझे base64 लिए पूंजी 'डी' का उपयोग करना पड़ा। जैसे:

$ echo "Decrypted: $(aws kms decrypt --ciphertext-blob fileb://<(echo $ENCRYPTED_DATA | base64 -D) --query Plaintext --output text | base64 -D)"

Decrypted: Hello world!

(सुनिश्चित नहीं है कि मुझे Decrypted लाइन से पहले एक नई लाइन क्यों मिलती है, लेकिन कोई बड़ी बात नहीं है)।

यह मेरे लिए काम किया

#encrypt the password: TestReadWrite text in the test.txt file
aws kms encrypt --key-id cfc7acf7-4f20-49c3-aa11-8be4cdc3291d --plaintext fileb://test.txt --output text | base64 --decode > out.txt

#decrypt the password: TestReadWrite
aws kms decrypt  --ciphertext-blob fileb://out.txt --output text --query Plaintext | base64 --decode

मेरे पास एक समान समस्या थी, लेकिन नोड ने मदद की:

'use strict';

const KMS = require('aws-sdk').KMS;
const fs = require('fs');

const kms = new KMS({
  apiVersion: '2014-11-01',
  // region: 'eu-west-1'
});

function encrypt(params) {
  return kms.encrypt(params).promise();
}

const arn = 'arn:aws:kms:xxx';

encrypt({
  KeyId: arn,
  Plaintext: fs.readFileSync('/path/to/key.pem')
})
.then(data => fs.writeFileSync('/path/to/key.json', JSON.stringify(data)));

@thegranddesign के समाधान पर एक और नोट - <(cmd) एक बैशिज्म है, POSIX के अनुरूप नहीं है, इसलिए यदि बैश एक विकल्प नहीं है, तो आपको दूसरे समाधान का उपयोग करने की आवश्यकता होगी।

यह एक दिमागी दबदबा गूंगा बग है जिसे वास्तव में तब तक खुला रहना चाहिए जब तक कि यह वास्तव में ठीक न हो जाए। यह एक उपकरण बनाने के लिए एक विशाल विरोधी पैटर्न है जो एक सममित संचालन करता है जो आउटपुट के लिए एक प्रारूप और इनपुट के लिए एक पूरी तरह से अलग (और असंगत) प्रारूप का उपयोग करता है। एक सममित उपकरण जो इनपुट के रूप में अपने स्वयं के आउटपुट का उपभोग नहीं कर सकता है वह BROKEN है। मुझे परवाह नहीं है कि यह वास्तव में इरादा के अनुसार काम कर रहा है, यह अभी भी टूटा हुआ है। उपकरण को या तो डिफ़ॉल्ट रूप से कच्चे बाइनरी आउटपुट उत्पन्न करना चाहिए यदि यह कच्चे बाइनरी इनपुट पर निर्भर है, या फिर यह अच्छी तरह से बेस 64 एन्कोडेड इनपुट का उपभोग करने में सक्षम होना चाहिए जो इसे किसी भी स्पष्ट बेस 64 डीकोड चरणों या विशेष पैरा को निर्दिष्ट किए बिना उत्पन्न किया गया था जो नहीं थे उस आउटपुट को उत्पन्न करने के लिए भी आवश्यक है (या एक एंटी-पैरा यदि वह उसी सटीक परम का उपयोग नहीं करता है)। यह बेतुका से परे है कि मैं उन बेस 64 एन्कोडिंग के किसी भी निर्दिष्ट किए बिना बेस 64 एन्कोडेड एन्क्रिप्शन पेलोड के बेस 64 एन्कोडेड आउटपुट उत्पन्न करने के लिए एडब्ल्यूएस किलोमीटर एन्क्रिप्ट का उपयोग कर सकता हूं, लेकिन फिर मुझे एन्क्रिप्टेड डेटा और डिक्रिप्टेड डेटा दोनों को स्पष्ट रूप से बेस 64 डीकोड करना होगा ताकि प्राप्त किया जा सके यह वापस उस फॉर्म में है जिसे मैंने पहले स्थान पर प्रदान किया था। तथ्य यह है कि ऐसा करने के लिए कमांड लाइन पैराम्स के उपयोग की भी आवश्यकता होती है जो कि एन्क्रिप्ट और डिक्रिप्ट उपकमांड के स्तर पर भी दस्तावेज नहीं होते हैं, जिससे यह पता लगाना अधिक कठिन हो जाता है। उपयोगकर्ताओं को यह पता लगाने की कोशिश करने में घंटों बर्बाद करने की गारंटी है कि एन्क्रिप्शन/डिक्रिप्शन क्लाइंट के साथ कोई सबसे स्पष्ट चीज कैसे करना चाहता है - एन्क्रिप्ट करें और फिर कमांड लाइन परम में निर्दिष्ट स्ट्रिंग को डिक्रिप्ट करें - और पूरी तरह से क्योंकि उपकरण एक टूटा हुआ ऑपरेटिंग मोड है जहां आउटपुट इनपुट के साथ संगत नहीं हैं, इस तथ्य के बावजूद कि दो उप-आदेश सममित माना जाता है। इसे ठीक किए बिना इसे बंद करना बताता है कि आपको उपयोगिता या डेवलपर दक्षता के लिए बिल्कुल कोई चिंता नहीं है।

इसे हल करने का एक और रास्ता (नए झंडे के विपरीत, जैसा कि @thegranddesign साल पहले उल्लेख किया गया था) यह हो सकता है कि / वैध बेस 64 वर्ण नहीं है, और जेसन में बाइनरी डेटा निर्दिष्ट करने का कोई वैध तरीका नहीं है। इसलिए:

• यदि सिफरटेक्स्ट-ब्लॉब पैरामीटर मान्य आधार-64 है, तो इसे आधार 64 के रूप में पास करें
• यदि सिफरटेक्स्ट-ब्लॉब पैरामीटर में / , तो पथ के रूप में पार्स करें। fileb:// अपने वर्तमान व्यवहार को करते हुए, file:// को b64-एन्कोडेड किया जा सकता है।

हालांकि @ sgendler-stem से सहमत - यह टिकट मेरे द्वारा काम की गई हर परियोजना में जुड़ा हुआ है, जिस पर KMS का उपयोग किया जाता है, क्योंकि बोर्ड पर आने की कोशिश करने वाले किसी व्यक्ति के लिए यह हमेशा एक समस्या होती है।

यह एक दिमागी दबदबा गूंगा बग है जिसे वास्तव में तब तक खुला रहना चाहिए जब तक कि यह वास्तव में ठीक न हो जाए। यह एक उपकरण बनाने के लिए एक विशाल विरोधी पैटर्न है जो एक सममित संचालन करता है जो आउटपुट के लिए एक प्रारूप और इनपुट के लिए एक पूरी तरह से अलग (और असंगत) प्रारूप का उपयोग करता है। एक सममित उपकरण जो इनपुट के रूप में अपने स्वयं के आउटपुट का उपभोग नहीं कर सकता है वह BROKEN है। मुझे परवाह नहीं है कि यह वास्तव में इरादा के अनुसार काम कर रहा है, यह अभी भी टूटा हुआ है। उपकरण को या तो डिफ़ॉल्ट रूप से कच्चे बाइनरी आउटपुट उत्पन्न करना चाहिए यदि यह कच्चे बाइनरी इनपुट पर निर्भर है, या फिर यह अच्छी तरह से बेस 64 एन्कोडेड इनपुट का उपभोग करने में सक्षम होना चाहिए जो इसे किसी भी स्पष्ट बेस 64 डीकोड चरणों या विशेष पैरा को निर्दिष्ट किए बिना उत्पन्न किया गया था जो नहीं थे उस आउटपुट को उत्पन्न करने के लिए भी आवश्यक है (या एक एंटी-पैरा यदि वह उसी सटीक परम का उपयोग नहीं करता है)। यह बेतुका से परे है कि मैं उन बेस 64 एन्कोडिंग के किसी भी निर्दिष्ट किए बिना बेस 64 एन्कोडेड एन्क्रिप्शन पेलोड के बेस 64 एन्कोडेड आउटपुट उत्पन्न करने के लिए एडब्ल्यूएस किलोमीटर एन्क्रिप्ट का उपयोग कर सकता हूं, लेकिन फिर मुझे एन्क्रिप्टेड डेटा और डिक्रिप्टेड डेटा दोनों को स्पष्ट रूप से बेस 64 डीकोड करना होगा ताकि प्राप्त किया जा सके यह वापस उस फॉर्म में है जिसे मैंने पहले स्थान पर प्रदान किया था। तथ्य यह है कि ऐसा करने के लिए कमांड लाइन पैराम्स के उपयोग की भी आवश्यकता होती है जो कि एन्क्रिप्ट और डिक्रिप्ट उपकमांड के स्तर पर भी दस्तावेज नहीं होते हैं, जिससे यह पता लगाना अधिक कठिन हो जाता है। उपयोगकर्ताओं को यह पता लगाने की कोशिश करने में घंटों बर्बाद करने की गारंटी है कि एन्क्रिप्शन/डिक्रिप्शन क्लाइंट के साथ कोई सबसे स्पष्ट चीज कैसे करना चाहता है - एन्क्रिप्ट करें और फिर कमांड लाइन परम में निर्दिष्ट स्ट्रिंग को डिक्रिप्ट करें - और पूरी तरह से क्योंकि उपकरण एक टूटा हुआ ऑपरेटिंग मोड है जहां आउटपुट इनपुट के साथ संगत नहीं हैं, इस तथ्य के बावजूद कि दो उप-आदेश सममित माना जाता है। इसे ठीक किए बिना इसे बंद करना बताता है कि आपको उपयोगिता या डेवलपर दक्षता के लिए बिल्कुल कोई चिंता नहीं है।

मुझे @ sgendler-stem से पूरी तरह सहमत होना होगा - यदि कोड आउटपुट उत्पन्न करता है तो कम से कम , इसे इनपुट के रूप में लेने में सक्षम होना चाहिए।

हालाँकि, इसके लिए और भी बहुत कुछ है। यदि एन्क्रिप्शन एसडीके के माध्यम से किया जाता है - एन्क्रिप्टेड फ़ाइल के अंत में एक अजीब arn जोड़कर, सीएलआई गैर-बेस 64 arn को हटाने के बाद भी इसे डिक्रिप्ट करने में सक्षम नहीं होगा। यूआरएल. यह अभी टूटा हुआ है ।

फिर से सहमत। इसने चीजों को अनावश्यक रूप से निराशाजनक बना दिया है।

यह वास्तव में बंद है? क्यों? मुझे विश्वास नहीं हो रहा है कि इसे खोले हुए 4 साल हो गए हैं और ऐसा लगता है कि केवल प्रतिक्रिया ही किसी को "इच्छानुसार काम करती है" कह रही है। नहीं, यह कमबख्त नहीं है; @ sgendler-stem निशाने पर सही है, यह पूरी तरह टूटा हुआ है। आशा है कि जिम्मेदार टीम को अपने बारे में बुरा लगेगा।

समान अपवादों का सामना करें:
botocore.errorfactory.InvalidCiphertextException: डिक्रिप्ट ऑपरेशन को कॉल करते समय एक त्रुटि हुई (InvalidCiphertextException):

उपयोग किया गया:
कुंजी = b64decode (कुंजी)
प्रतिक्रिया = क्लाइंट। डिक्रिप्ट (
सिफरटेक्स्टब्लॉब=कुंजी
)

मुझे लगता है कि यह बहुत निराशा होती नहीं होगा अगर के उत्पादन में encrypt , generate-data-key , आदि क्षेत्र फोन नहीं किया CiphertextBlob । के लिए इनपुट जब decrypt भी कहा जाता है --ciphertext-blob , यह है कि इस सिफर ब्लॉब जरूरतों को अलग ढंग से एन्कोड करने की अच्छी तरह से unintuitive है।

यदि ध्वज का decrypt एक अलग नाम था, तो यह एक संकेत होगा कि इसकी एक अलग एन्कोडिंग है।

यहाँ पर डिक्रिप्ट करने के लिए बेस 64-एन्कोडेड इनपुट के लिए एक सुविधा प्रस्ताव है https://github.com/aws/aws-cli/issues/2063

@ojitha

किमी को कैसे पता चलता है कि डिक्रिप्शन के लिए किस एन्क्रिप्शन कुंजी का उपयोग करना है, क्योंकि हम डिक्रिप्ट करते समय की-आईडी को पैरामीटर के रूप में पास नहीं कर रहे हैं।

@ arpit728 मुझे लगता है कि CipherTextBlob लौटाया गया एक विशेष सीएमके के कीआईडी ​​के बारे में विशेष रूप से है।

कृपया इस टिकट का समाधान होने तक इसे फिर से खोलें!

इसके साथ कई घंटे तक खेले जब तक कि यह टिकट नहीं मिल गया। क्या कोई आधिकारिक दस्तावेज है जो बताता है कि एन्क्रिप्ट और डिक्रिप्ट के बीच वास्तव में चीजों को कैसे कोडित और रूपांतरित किया जाना चाहिए?

क्या हो रहा है इसके बारे में बस थोड़ी सी पृष्ठभूमि की जानकारी:

1.6.6 में , हमने एक प्रतिगमन तय किया जिसमें हम बेस64 एन्कोडिंग "ब्लॉब" प्रकार नहीं थे जिन्हें हम पहले एन्कोडिंग कर रहे थे। नतीजतन, अब आपको "ब्लॉब" प्रकार के रूप में चिह्नित किसी भी पैरामीटर के लिए कच्चे बाइनरी बाइट्स को निर्दिष्ट करने की आवश्यकता है, और आंतरिक रूप से हम स्वचालित रूप से इसे आपके लिए बेस 64 एन्कोड करेंगे। इसका मतलब है कि राउंड ट्रिप कुंजी एन्क्रिप्शन के लिए आपको पहले बेस 64 को डीकोड करना होगा:

$ aws kms encrypt --key-id <key-id> --plaintext "abcd" --query CiphertextBlob --output text | base64 -D > /tmp/encrypted-file
$ echo "Decrypted: $(aws kms decrypt --ciphertext-blob fileb:///tmp/encrypted-file --query Plaintext --output text | base64 -D)"
Decrypted: abcd

इस उदाहरण में, मैं fileb:// उपसर्ग का भी उपयोग कर रहा हूं क्योंकि यह बाइनरी सामग्री वाली फ़ाइल है।

यह उदाहरण लौटाता है:

डिक्रिप्ट ऑपरेशन को कॉल करते समय एक त्रुटि हुई (InvalidCiphertextException):
डिक्रिप्टेड:

`एडब्ल्यूएस किमी एन्क्रिप्ट --की-आईडी अर्न: एडब्ल्यूएस: किमी: ईयू-वेस्ट-1werwerwjl: कुंजी/xxxyyyy --plaintext "abcd" --query CiphertextBlob --आउटपुट टेक्स्ट | बेस 64 -डी> ./एन्क्रिप्टेड-फाइल

इको "डिक्रिप्टेड: $(aws kms decrypt --ciphertext-blob fileb:./encrypted-file --query Plaintext --output text | base64 --decode)"
`
उबंटू के साथ कोशिश की। अगर किसी को स्पष्ट दस्तावेज या उदाहरण (किसी साइट या किसी चीज़ का लिंक) पता है तो मैं बहुत आभारी रहूंगा!

संपादित करें: इस आलेख से युक्तियों का उपयोग करके एन्क्रिप्ट और डिक्रिप्ट काम कर रहा है: https://dev.to/matchilling/pragmatically-storing-security- संवेदनशील-डेटा-उपयोग-aws-kms-5e5b

एफवाईआई, उपरोक्त लिंक काम नहीं करता है, लेकिन लेख बहुत उपयोगी लगता है और यहां उपलब्ध है ।