Aws-cli: awskms復号化InvalidCiphertextExceptionエラー

何が起こっているかについてのほんの少しの背景情報：

1.6.6では、以前にエンコードしていた「blob」タイプをbase64でエンコードしていなかったリグレッションを修正しました。 その結果、「blob」タイプとしてマークされたパラメータに生のバイナリバイトを指定する必要があり、内部的には自動的にbase64でエンコードされます。 これは、キー暗号化をラウンドトリップするには、最初にbase64をデコードする必要があることを意味します。

$ aws kms encrypt --key-id <key-id> --plaintext "abcd" --query CiphertextBlob --output text | base64 -D > /tmp/encrypted-file
$ echo "Decrypted: $(aws kms decrypt --ciphertext-blob fileb:///tmp/encrypted-file --query Plaintext --output text | base64 -D)"
Decrypted: abcd

この例では、バイナリコンテンツを含むファイルであるため、 fileb://プレフィックスも使用しています。

行動はそのままにしておくべきだと思います。 この最初の問題の動作は、1.6.6で修正された1.6.5のリグレッションに依存していたため、既存の動作を変更することはできません。これは、お客様にとって重大な変更となるためです。 上記のスニペットの例は、AWS CLIでバイナリ入力/出力を処理するための予想される方法であり、この最近のリグレッションを除いて、この動作が常に行われている方法です。

更新していただきありがとうございます！

実際、問題＃1001と同様のエラーが発生しています。

$> aws kms encrypt --key-id $KMS_KEY_ID --plaintext "abcd" --query CiphertextBlob --output text | base64 -D > /tmp/encrypted-file

$> echo "Decrypted: $(aws kms decrypt --ciphertext-blob fileb:///tmp/encrypted-file --query Plaintext --output text | base64 -D)"

'ascii' codec can't decode byte 0xdd in position 2: ordinal not in range(128)
Decrypted: 

@mtougeron使用しているAWSCLIのバージョンは何ですか？ AWS CLIの最新バージョン（1.6.8）で再試行しましたが、この問題は発生していません。

~ $ aws kms encrypt --key-id $AWS_KEY_ID --plaintext "abcd" --query CiphertextBlob --output text | base64 -D > /tmp/encrypted-file
~ $ hexdump -C /tmp/encrypted-file
00000000  0a 20 e1 68 92 dc 42 40  fe 07 80 ca f6 54 1c 68  |. [email protected]|
00000010  e2 45 80 bb c3 e0 2a 2f  91 50 7c ac c3 02 9b c9  |.E....*/.P|.....|
00000020  a8 b3 12 8b 01 01 01 02  00 78 e1 68 92 dc 42 40  |.........x.h..B@|
00000030  fe 07 80 ca f6 54 1c 68  e2 45 80 bb c3 e0 2a 2f  |.....T.h.E....*/|
00000040  91 50 7c ac c3 02 9b c9  a8 b3 00 00 00 62 30 60  |.P|..........b0`|
00000050  06 09 2a 86 48 86 f7 0d  01 07 06 a0 53 30 51 02  |..*.H.......S0Q.|
00000060  01 00 30 4c 06 09 2a 86  48 86 f7 0d 01 07 01 30  |..0L..*.H......0|
00000070  1e 06 09 60 86 48 01 65  03 04 01 2e 30 11 04 0c  |...`.H.e....0...|
00000080  41 de f2 2a a6 c5 38 ef  8a 52 54 92 02 01 10 80  |A..*..8..RT.....|
00000090  1f 2e 01 90 65 7a 21 8c  dd 05 e4 4d 09 64 85 c4  |....ez!....M.d..|
000000a0  33 e3 3d e9 ce 33 6b e9  00 93 ec e5 54 33 8b 3b  |3.=..3k.....T3.;|
000000b0
~ $ echo "Decrypted: $(aws kms decrypt --ciphertext-blob fileb:///tmp/encrypted-file --query Plaintext --output text | base64 -D)"
Decrypted: abcd
~ $ aws --version
aws-cli/1.6.8 Python/2.7.7 Darwin/13.4.0

@ jamesls1.6.8で動作するようになりました。 ありがとう

@jamesls個人的には、これは非常に悪いUIだと思います。 暗号化から取得したものと同じ暗号文を復号化に渡すことができませんか？ 既存の顧客を壊したくないために変更できない場合は、少なくともより良いエラーメッセージを提供してください。

A client error (InvalidCiphertextException) occurred when calling the Decrypt operation: None

問題を解決するために何をすべきかをリモートで教えてくれません。 暗号がおそらくBase64であることを検出し、より適切なエラーを出力して、URLなどを指すことができます。

または、「最初にbase64からこれをデコードする」という追加のフラグをdecryptに渡してみませんか？

後でこれに来る人のために、暗号文をファイルに保存せずにこれを行うために、あなたはすることができます：

aws kms decrypt --ciphertext-blob fileb://<(echo 'ciphertext' | base64 -d)

注：以下の@hauntingEchoで指摘されて<(cmd)はPOSIXに準拠していないため、 shを使用している場合は機能しませんが、 bashとzsh正常に機能します。

Re： @thegranddesignのコメント、OS Xでは、少なくともbase64は大文字の「D」を使用する必要がありました。 例えば：

$ echo "Decrypted: $(aws kms decrypt --ciphertext-blob fileb://<(echo $ENCRYPTED_DATA | base64 -D) --query Plaintext --output text | base64 -D)"

Decrypted: Hello world!

（ Decrypted行の前に改行を取得する理由はわかりませんが、大したことではありません）。

これは私のために働いた

#encrypt the password: TestReadWrite text in the test.txt file
aws kms encrypt --key-id cfc7acf7-4f20-49c3-aa11-8be4cdc3291d --plaintext fileb://test.txt --output text | base64 --decode > out.txt

#decrypt the password: TestReadWrite
aws kms decrypt  --ciphertext-blob fileb://out.txt --output text --query Plaintext | base64 --decode

私も同様の問題を抱えていましたが、ノードは次のことを助けました。

'use strict';

const KMS = require('aws-sdk').KMS;
const fs = require('fs');

const kms = new KMS({
  apiVersion: '2014-11-01',
  // region: 'eu-west-1'
});

function encrypt(params) {
  return kms.encrypt(params).promise();
}

const arn = 'arn:aws:kms:xxx';

encrypt({
  KeyId: arn,
  Plaintext: fs.readFileSync('/path/to/key.pem')
})
.then(data => fs.writeFileSync('/path/to/key.json', JSON.stringify(data)));

@thegranddesignのソリューションに関する別の注意- <(cmd)はbashismであり、POSIXに準拠していないため、bashがオプションでない場合は、別のソリューションを使用する必要があります。

これは気が遠くなるほど馬鹿げたバグであり、実際に修正されるまではまだ開いているはずです。 1つの形式を出力に使用し、完全に異なる（互換性のない）形式を入力に使用する対称操作を実行するツールを構築することは、巨大なアンチパターンです。 入力として自身の出力を消費できない対称ツールは壊れています。 それが実際に意図したとおりに機能しているかどうかは関係ありませんが、まだ壊れています。 ツールは、生のバイナリ入力に依存している場合、デフォルトで生のバイナリ出力を生成する必要があります。そうでない場合は、明示的なbase64デコード手順や特別なパラメータを指定せずに、生成されたbase64エンコード入力を消費できるはずです。その出力を生成するためにも必要です（または、同じ正確なパラメーターを使用しない場合はアンチパラメーター）。 これらのbase64エンコーディングのいずれかを指定せずに、aws kmsencryptを使用してbase64エンコード暗号化ペイロードのbase64エンコード出力を生成できるのはばかげたことではありませんが、取得するには、暗号化データと復号化データの両方を明示的にbase64デコードする必要があります最初に提供したフォームに戻ります。 そのためには、暗号化および復号化サブコマンドのレベルでも文書化されていないコマンドラインパラメータを使用する必要があるため、理解がはるかに困難になります。 ユーザーは、暗号化/復号化クライアントで誰かがやりたいと思うかもしれない最も明白なことを1つ実行する方法を理解しようとして時間を無駄にすることがほとんど保証されています-コマンドラインパラメータで指定された文字列を暗号化してから復号化します-そして完全にツールのため2つのサブコマンドが対称であると想定されているにもかかわらず、出力が入力と互換性がない動作モードが壊れています。 修正せずにこれを閉じると、使いやすさや開発者の効率についてまったく心配する必要がないことがわかります。

これを解決する別の方法（ @thegranddesignが数年前に述べたような新しいフラグとは対照的に）は、 /が有効なbase64文字ではなく、jsonでバイナリデータを指定する有効な方法がないことです。 したがって：

• ciphertext-blobパラメーターが有効なbase-64の場合は、base64として渡します
• ciphertext-blobパラメーターに/が含まれている場合は、パスとして解析します。 fileb://が現在の動作を実行している場合、 file://はb64でエンコードできます。

ただし、@ sgendler-stemに同意しました。このチケットは、KMSを使用する私が取り組んだすべてのプロジェクトにリンクされています。これは、参加しようとする人にとっては常に問題になるためです。

これは気が遠くなるほど馬鹿げたバグであり、実際に修正されるまではまだ開いているはずです。 1つの形式を出力に使用し、完全に異なる（互換性のない）形式を入力に使用する対称操作を実行するツールを構築することは、巨大なアンチパターンです。 入力として自身の出力を消費できない対称ツールは壊れています。 それが実際に意図したとおりに機能しているかどうかは関係ありませんが、まだ壊れています。 ツールは、生のバイナリ入力に依存している場合、デフォルトで生のバイナリ出力を生成する必要があります。そうでない場合は、明示的なbase64デコード手順や特別なパラメータを指定せずに、生成されたbase64エンコード入力を消費できるはずです。その出力を生成するためにも必要です（または、同じ正確なパラメーターを使用しない場合はアンチパラメーター）。 これらのbase64エンコーディングのいずれかを指定せずに、aws kmsencryptを使用してbase64エンコード暗号化ペイロードのbase64エンコード出力を生成できるのはばかげたことではありませんが、取得するには、暗号化データと復号化データの両方を明示的にbase64デコードする必要があります最初に提供したフォームに戻ります。 そのためには、暗号化および復号化サブコマンドのレベルでも文書化されていないコマンドラインパラメータを使用する必要があるため、理解がはるかに困難になります。 ユーザーは、暗号化/復号化クライアントで誰かがやりたいと思うかもしれない最も明白なことを1つ実行する方法を理解しようとして時間を無駄にすることがほとんど保証されています-コマンドラインパラメータで指定された文字列を暗号化してから復号化します-そして完全にツールのため2つのサブコマンドが対称であると想定されているにもかかわらず、出力が入力と互換性がない動作モードが壊れています。 修正せずにこれを閉じると、使いやすさや開発者の効率についてまったく心配する必要がないことがわかります。

@ sgendler-stemに完全に同意する必要があります-コードが出力を生成する場合、少なくともそれを入力として受け取ることができるはずです。

ただし、それだけではありません。 暗号化がSDKを介して行われる場合、暗号化されたファイルの最後に奇妙なarnを追加すると、 base64以外のarn削除した後でも、CLIはそれを復号化できません。 url。 これは壊れています。

再び同意した。 これは物事を不必要に苛立たせました。

これは実際に閉じていますか？ どうして？ これがオープンしてから4年になるとは信じられません。フィードバックは「意図したとおりに機能する」という人だけのようです。 いいえ、それはクソではありません。 @ sgendler-stemは的を射ていますが、これは完全に壊れています。 責任のあるチームが自分自身について気分が悪いことを願っています。

同じ例外に直面します：
botocore.errorfactory.InvalidCiphertextException：復号化操作の呼び出し中にエラーが発生しました（InvalidCiphertextException）：

中古：
キー= b64decode（key）
response = client.decrypt（
CiphertextBlob = key
）

encrypt 、 generate-data-keyなどの出力がフィールドCiphertextBlob呼び出さなかった場合、これはそれほどイライラしないと思います。 入力するとdecryptとも呼ばれる--ciphertext-blob 、この暗号文ブロブが異なって符号化する必要があることを徹底的に直感的です。

decryptのフラグの名前が異なる場合は、エンコーディングが異なることを示唆しています。

ここで復号化するbase64エンコード入力の機能提案がありますhttps://github.com/aws/aws-cli/issues/2063

@ojitha

復号化中にkey-idをパラメーターとして渡さないため、kmsは復号化に使用する暗号化キーをどのように認識しますか。

@ arpit728返されたCipherTextBlobは、特定のCMKのKeyIDに

解決するまでこのチケットを再度開いてください！

このチケットが見つかるまで、これで何時間も遊んだ。 暗号化と復号化の間で物事をどのように正確にコーディングおよび変換する必要があるかを示す公式ドキュメントはありますか？

何が起こっているかについてのほんの少しの背景情報：

1.6.6では、以前にエンコードしていた「blob」タイプをbase64でエンコードしていなかったリグレッションを修正しました。 その結果、「blob」タイプとしてマークされたパラメータに生のバイナリバイトを指定する必要があり、内部的には自動的にbase64でエンコードされます。 これは、キー暗号化をラウンドトリップするには、最初にbase64をデコードする必要があることを意味します。

$ aws kms encrypt --key-id <key-id> --plaintext "abcd" --query CiphertextBlob --output text | base64 -D > /tmp/encrypted-file
$ echo "Decrypted: $(aws kms decrypt --ciphertext-blob fileb:///tmp/encrypted-file --query Plaintext --output text | base64 -D)"
Decrypted: abcd

この例では、バイナリコンテンツを含むファイルであるため、 fileb://プレフィックスも使用しています。

この例は次を返します：

復号化操作を呼び出すときにエラーが発生しました（InvalidCiphertextException）。
復号化：

`aws kms Encryption --key-id arn：aws：kms：eu-west-1werwerwjl：key / xxxyyyy --plaintext" abcd "--query CiphertextBlob --output text | base64 -d> ./ encrypted-file

echo "復号化：$（aws kms復号化--ciphertext-blobファイルb：./暗号化ファイル--queryプレーンテキスト-出力テキスト| base64 --decode）"
`
ubuntuで試してみました。 誰かが明確なドキュメントや例（サイトなどへのリンク）を知っているなら、私はとても感謝しています！

編集：この記事のヒントを使用して暗号化と復号化を機能させました： https ：

参考までに、上記のリンクは機能しませんが、この記事は非常に役立つようで、ここから入手できます。