Aws-cli: aws kms 암호 해독 InvalidCiphertextException 오류

에 만든 2014년 12월 05일 · 27코멘트 · 출처: aws/aws-cli

오늘 awscli 버전 1.6.6으로 업그레이드했으며 aws kms 암호 해독이 암호 해독에 실패하기 시작했습니다. 1.6.5에서 작동합니다.

$> aws --version
aws-cli/1.6.6 Python/2.7.6 Darwin/13.4.0

$> python -V
Python 2.7.6

$> aws kms encrypt --key-id REDACTED --plaintext foo 
{
    "KeyId": "arn:aws:kms:us-east-1:REDACTED:key/REDACTED", 
    "CiphertextBlob": "CiDdiD7jljnCzXlfZUp27Y4LDY+QJa2Zqcw/7+ihfBDo7hKKAQEBAgB43Yg+45Y5ws15X2VKdu2OCw2PkCWtmanMP+/ooXwQ6O4AAABhMF8GCSqGSIb3DQEHBqBSMFACAQAwSwYJKoZIhvcNAQcBMB4GCWCGSAFlAwQBLjARBAwVt2CzbGDR2nUwszQCARCAHgdJ4aHQ4i7TMzBN6XlKcC73oilECgep+basamtnXQ=="
}

$> aws kms decrypt --ciphertext-blob CiDdiD7jljnCzXlfZUp27Y4LDY+QJa2Zqcw/7+ihfBDo7hKKAQEBAgB43Yg+45Y5ws15X2VKdu2OCw2PkCWtmanMP+/ooXwQ6O4AAABhMF8GCSqGSIb3DQEHBqBSMFACAQAwSwYJKoZIhvcNAQcBMB4GCWCGSAFlAwQBLjARBAwVt2CzbGDR2nUwszQCARCAHgdJ4aHQ4i7TMzBN6XlKcC73oilECgep+basamtnXQ==

A client error (InvalidCiphertextException) occurred when calling the Decrypt operation: None

$> pip freeze                                       
Babel==1.3
Fabric==1.10.0
Jinja2==2.7.3
MarkupSafe==0.23
Pillow==2.6.1
PyChef==0.2.3
PyYAML==3.11
Pygments==2.0.1
Sphinx==1.2.3
argparse==1.2.1
astroid==1.2.1
awscli==1.6.6
bcdoc==0.12.2
binaryornot==0.3.0
boto==2.34.0
botocore==0.77.0
box.py==1.2.8
cffi==0.8.6
cliff==1.8.0
cmd2==0.6.7
colorama==0.2.5
cookiecutter==0.8.0
coverage==3.7.1
cryptography==0.6.1
decorator==3.4.0
docutils==0.12
dogapi==1.8.5
ecdsa==0.11
futures==2.2.0
httplib2==0.9
httpretty==0.8.3
iso8601==0.1.10
jmespath==0.5.0
jsonpatch==1.9
jsonpointer==1.5
jsonschema==2.4.0
kazoo==2.0
keyring==4.0
logilab-common==0.63.0
lxml==3.4.0
mock==1.0.1
mockito==0.5.2
netaddr==0.7.12
nose==1.3.4
numpy==1.9.1
oath==1.2
oslo.config==1.4.0
oslo.i18n==1.0.0
oslo.serialization==1.0.0
oslo.utils==1.0.0
paramiko==1.15.1
pbr==0.10.0
prettytable==0.7.2
pyOpenSSL==0.14
pyasn1==0.1.7
pycparser==2.10
pycrypto==2.6.1
pylint==1.3.1
pyparsing==2.0.3
python-ceilometerclient==1.0.12
python-cinderclient==1.1.1
python-dateutil==2.3
python-glanceclient==0.14.2
python-heatclient==0.2.12
python-keystoneclient==0.11.2
python-neutronclient==2.3.9
python-novaclient==2.20.0
python-openstackclient==0.4.1
python-swiftclient==2.3.1
python-troveclient==1.0.7
pytz==2014.9
qrcode==5.1
requests==2.4.3
rsa==3.1.2
scipy==0.14.0
simplejson==3.6.5
six==1.8.0
stevedore==1.1.0
urllib3==1.9.1
virtualenv==1.11.6
warlock==1.1.0
wsgiref==0.1.2

출처

mtougeron

가장 유용한 댓글

나중에 이 작업을 수행하는 사람들을 위해 암호문을 파일에 저장하지 않고 _이 작업을 수행하려면 다음을 수행할 수 있습니다.

aws kms decrypt --ciphertext-blob fileb://<(echo 'ciphertext' | base64 -d)

참고: 아래 @hauntingEcho에서 지적한 대로 <(cmd) 는 POSIX와 호환되지 않으므로 sh 를 사용하는 경우 작동하지 않지만 bash 및 zsh 잘 작동합니다.

thegranddesign 에 2016년 04월 29일

👍85 ❤27 🎉11

모든 27 댓글

무슨 일이 일어나고 있는지에 대한 약간의 배경 정보:

1.6.6 에서 이전에 인코딩했던 "blob" 유형을 base64로 인코딩하지 않는 회귀 를 수정했습니다. 결과적으로 이제 "blob" 유형으로 표시된 매개변수에 대해 원시 이진 바이트를 지정해야 하며 내부적으로 자동으로 base64 인코딩합니다. 즉, 왕복 키 암호화를 위해서는 먼저 base64를 디코딩해야 합니다.

$ aws kms encrypt --key-id <key-id> --plaintext "abcd" --query CiphertextBlob --output text | base64 -D > /tmp/encrypted-file
$ echo "Decrypted: $(aws kms decrypt --ciphertext-blob fileb:///tmp/encrypted-file --query Plaintext --output text | base64 -D)"
Decrypted: abcd

이 예에서는 바이너리 콘텐츠가 포함된 파일이기 때문에 fileb:// 접두사도 사용하고 있습니다.

jamesls 에 2014년 12월 06일

👍17

나는 그 행동이 그대로 유지되어야 한다고 생각합니다. 이 초기 문제의 동작이 1.6.6에서 수정된 1.6.5의 회귀에 의존한다는 점을 감안할 때 기존 동작을 변경할 수 없습니다. 위의 예제 스니펫은 AWS CLI에서 이진 입력/출력을 처리하는 데 예상되는 방법이며 최근 회귀를 제외하고 이 동작이 항상 그래왔던 방식입니다.

jamesls 에 2014년 12월 08일

👎6

업데이트해주셔서 감사합니다!

mtougeron 에 2014년 12월 09일

사실, 이제 문제 #1001과 유사한 오류가 발생합니다.

$> aws kms encrypt --key-id $KMS_KEY_ID --plaintext "abcd" --query CiphertextBlob --output text | base64 -D > /tmp/encrypted-file

$> echo "Decrypted: $(aws kms decrypt --ciphertext-blob fileb:///tmp/encrypted-file --query Plaintext --output text | base64 -D)"

'ascii' codec can't decode byte 0xdd in position 2: ordinal not in range(128)
Decrypted:

mtougeron 에 2014년 12월 09일

@mtougeron 어떤 버전의 AWS CLI를 사용하고 있습니까? 방금 최신 버전의 AWS CLI(1.6.8)에서 다시 시도했지만 이 문제가 표시되지 않습니다.

~ $ aws kms encrypt --key-id $AWS_KEY_ID --plaintext "abcd" --query CiphertextBlob --output text | base64 -D > /tmp/encrypted-file
~ $ hexdump -C /tmp/encrypted-file
00000000  0a 20 e1 68 92 dc 42 40  fe 07 80 ca f6 54 1c 68  |. [email protected]|
00000010  e2 45 80 bb c3 e0 2a 2f  91 50 7c ac c3 02 9b c9  |.E....*/.P|.....|
00000020  a8 b3 12 8b 01 01 01 02  00 78 e1 68 92 dc 42 40  |.........x.h..B@|
00000030  fe 07 80 ca f6 54 1c 68  e2 45 80 bb c3 e0 2a 2f  |.....T.h.E....*/|
00000040  91 50 7c ac c3 02 9b c9  a8 b3 00 00 00 62 30 60  |.P|..........b0`|
00000050  06 09 2a 86 48 86 f7 0d  01 07 06 a0 53 30 51 02  |..*.H.......S0Q.|
00000060  01 00 30 4c 06 09 2a 86  48 86 f7 0d 01 07 01 30  |..0L..*.H......0|
00000070  1e 06 09 60 86 48 01 65  03 04 01 2e 30 11 04 0c  |...`.H.e....0...|
00000080  41 de f2 2a a6 c5 38 ef  8a 52 54 92 02 01 10 80  |A..*..8..RT.....|
00000090  1f 2e 01 90 65 7a 21 8c  dd 05 e4 4d 09 64 85 c4  |....ez!....M.d..|
000000a0  33 e3 3d e9 ce 33 6b e9  00 93 ec e5 54 33 8b 3b  |3.=..3k.....T3.;|
000000b0
~ $ echo "Decrypted: $(aws kms decrypt --ciphertext-blob fileb:///tmp/encrypted-file --query Plaintext --output text | base64 -D)"
Decrypted: abcd
~ $ aws --version
aws-cli/1.6.8 Python/2.7.7 Darwin/13.4.0

jamesls 에 2014년 12월 10일

@jamesls 이제 1.6.8에서 작동합니다. 감사 해요

mtougeron 에 2014년 12월 10일

@jamesls 개인적으로 이것은 매우 나쁜 UI라고 생각합니다. 암호화에서 얻은 것과 동일한 암호문을 암호 해독에 전달할 수 없습니까? 기존 고객을 깨고 싶지 않아 변경할 수 없다면 적어도 더 나은 오류 메시지를 제공하십시오.

A client error (InvalidCiphertextException) occurred when calling the Decrypt operation: None

문제를 해결하기 위해 무엇을 해야 하는지 원격으로 알려주지도 않습니다. 암호가 Base64일 가능성이 있음을 감지하고 더 나은 오류를 출력하고 URL 등을 가리킬 수 있습니다.

thegranddesign 에 2016년 04월 29일

👍71 ❤9

아니면 decrypt 에 추가 플래그를 전달하여 "이것을 먼저 base64에서 디코딩하십시오"라고 말하는 것이 어떻습니까?

thegranddesign 에 2016년 04월 29일

👍18 ❤5

나중에 이 작업을 수행하는 사람들을 위해 암호문을 파일에 저장하지 않고 _이 작업을 수행하려면 다음을 수행할 수 있습니다.

aws kms decrypt --ciphertext-blob fileb://<(echo 'ciphertext' | base64 -d)

참고: 아래 @hauntingEcho에서 지적한 대로 <(cmd) 는 POSIX와 호환되지 않으므로 sh 를 사용하는 경우 작동하지 않지만 bash 및 zsh 잘 작동합니다.

thegranddesign 에 2016년 04월 29일

👍85 ❤27 🎉11

Re: @thegranddesign 의 의견 , OS X에서는 최소한 base64 대문자 'D'를 사용해야 했습니다. 예:

$ echo "Decrypted: $(aws kms decrypt --ciphertext-blob fileb://<(echo $ENCRYPTED_DATA | base64 -D) --query Plaintext --output text | base64 -D)"

Decrypted: Hello world!

( Decrypted 행 앞에 개행 문자가 표시되는 이유는 확실하지 않지만 큰 문제는 아닙니다.)

msabramo 에 2017년 04월 09일

👍18 🎉9 ❤6

이것은 나를 위해 일했습니다.

#encrypt the password: TestReadWrite text in the test.txt file
aws kms encrypt --key-id cfc7acf7-4f20-49c3-aa11-8be4cdc3291d --plaintext fileb://test.txt --output text | base64 --decode > out.txt

#decrypt the password: TestReadWrite
aws kms decrypt  --ciphertext-blob fileb://out.txt --output text --query Plaintext | base64 --decode

ojitha 에 2017년 05월 09일

👍2

비슷한 문제가 있었지만 Node가 도움이되었습니다.

'use strict';

const KMS = require('aws-sdk').KMS;
const fs = require('fs');

const kms = new KMS({
  apiVersion: '2014-11-01',
  // region: 'eu-west-1'
});

function encrypt(params) {
  return kms.encrypt(params).promise();
}

const arn = 'arn:aws:kms:xxx';

encrypt({
  KeyId: arn,
  Plaintext: fs.readFileSync('/path/to/key.pem')
})
.then(data => fs.writeFileSync('/path/to/key.json', JSON.stringify(data)));

webjay 에 2017년 11월 20일

😕4 👎1

@thegranddesign 의 솔루션에 대한 또 다른 참고 사항 - <(cmd) 는 POSIX와 호환되지 않는 bashism이므로 bash가 옵션이 아닌 경우 다른 솔루션을 사용해야 합니다.

hauntingEcho 에 2018년 01월 18일

이것은 실제로 수정될 때까지 여전히 열려 있어야 하는 정신이 아찔할 정도로 멍청한 버그입니다. 출력에 하나의 형식을 사용하고 입력에 완전히 다른(호환되지 않는) 형식을 사용하는 대칭 작업을 수행하는 도구를 빌드하는 것은 거대한 안티 패턴입니다. 자체 출력을 입력으로 사용할 수 없는 대칭 도구는 BROKEN입니다. 나는 그것이 실제로 의도한 대로 작동하는지 상관하지 않습니다. 그것은 여전히 깨져 있습니다. 이 도구는 원시 이진 입력에 종속된 경우 기본적으로 원시 이진 출력을 생성해야 합니다. 그렇지 않으면 명시적인 base64 디코딩 단계 또는 지정되지 않은 특수 매개변수를 지정하지 않고 생성된 base64 인코딩 입력을 사용할 수 있어야 합니다. 또한 해당 출력을 생성하기 위해 필요합니다(또는 동일한 정확한 매개변수를 사용하지 않는 경우 안티 매개변수). aws kms encrypt를 사용하여 base64 인코딩 중 어느 하나를 지정하지 않고 base64 인코딩된 암호화 페이로드의 base64 인코딩된 출력을 생성할 수 있다는 것은 터무니없는 일입니다. 처음에 내가 제공한 양식으로 되돌립니다. 그렇게 하려면 암호화 및 암호 해독 하위 명령 수준에서도 문서화되지 않은 명령줄 매개변수를 사용해야 하기 때문에 파악하기가 훨씬 더 어렵습니다. 사용자는 누군가가 암호화/복호화 클라이언트로 수행할 수 있는 가장 명백한 단일 작업(명령줄 매개변수에 지정된 문자열을 암호화한 다음 암호 해독하는 방법)을 수행하는 방법을 알아내느라 시간을 낭비할 수 밖에 없습니다. 두 하위 명령이 대칭적이어야 한다는 사실에도 불구하고 출력이 입력과 호환되지 않는 작동 모드가 손상되었습니다. 수정하지 않고 닫는 것은 사용성이나 개발자 효율성에 대해 전혀 걱정하지 않는다는 의미입니다.

ghost 에 2018년 09월 07일

👍34 🚀2 ❤2

이 문제를 해결하는 또 다른 경로는(몇 년 전에 @thegranddesign이 언급한 것처럼 새 플래그와 반대) / 가 유효한 base64 문자가 아니며 json에 이진 데이터를 지정하는 유효한 방법이 없다는 것입니다. 그러므로:

ciphertext-blob 매개변수가 유효한 base-64인 경우 base-64로 전달합니다.
ciphertext-blob 매개변수에 / 가 포함되어 있으면 경로로 구문 분석합니다. fileb:// 는 현재 동작을 수행하고 있으며 file:// 는 b64로 인코딩될 수 있습니다.

@sgendler-stem에 동의했습니다. 이 티켓은 KMS를 사용하는 내가 작업한 모든 프로젝트에 연결되어 있습니다. 참여하려는 사람에게는 항상 문제가 되기 때문입니다.

hauntingEcho 에 2018년 09월 07일

👍4

이것은 실제로 수정될 때까지 여전히 열려 있어야 하는 정신이 아찔할 정도로 멍청한 버그입니다. 출력에 하나의 형식을 사용하고 입력에 완전히 다른(호환되지 않는) 형식을 사용하는 대칭 작업을 수행하는 도구를 빌드하는 것은 거대한 안티 패턴입니다. 자체 출력을 입력으로 사용할 수 없는 대칭 도구는 BROKEN입니다. 나는 그것이 실제로 의도한 대로 작동하는지 상관하지 않습니다. 그것은 여전히 깨져 있습니다. 이 도구는 원시 이진 입력에 종속된 경우 기본적으로 원시 이진 출력을 생성해야 합니다. 그렇지 않으면 명시적인 base64 디코딩 단계 또는 지정되지 않은 특수 매개변수를 지정하지 않고 생성된 base64 인코딩 입력을 사용할 수 있어야 합니다. 또한 해당 출력을 생성하기 위해 필요합니다(또는 동일한 정확한 매개변수를 사용하지 않는 경우 안티 매개변수). aws kms encrypt를 사용하여 base64 인코딩 중 어느 하나를 지정하지 않고 base64 인코딩된 암호화 페이로드의 base64 인코딩된 출력을 생성할 수 있다는 것은 터무니없는 일입니다. 처음에 내가 제공한 양식으로 되돌립니다. 그렇게 하려면 암호화 및 암호 해독 하위 명령 수준에서도 문서화되지 않은 명령줄 매개변수를 사용해야 하기 때문에 파악하기가 훨씬 더 어렵습니다. 사용자는 누군가가 암호화/복호화 클라이언트로 수행할 수 있는 가장 명백한 단일 작업(명령줄 매개변수에 지정된 문자열을 암호화한 다음 암호 해독하는 방법)을 수행하는 방법을 알아내느라 시간을 낭비할 수 밖에 없습니다. 두 하위 명령이 대칭적이어야 한다는 사실에도 불구하고 출력이 입력과 호환되지 않는 작동 모드가 손상되었습니다. 수정하지 않고 닫는 것은 사용성이나 개발자 효율성에 대해 전혀 걱정하지 않는다는 의미입니다.

나는 @sgendler-stem에 완전히 동의해야 합니다. 코드가 출력을 생성한다면 적어도 그것을 입력으로 받아들일 수 있어야 합니다.

그러나 그 이상의 것이 있습니다. SDK를 통해 암호화가 완료된 경우 - 암호화된 파일 끝에 이상한 arn 를 추가하면 base64 가 arn 제거한 후에도 CLI에서 암호를 해독할 수 없습니다. URL. 이것은 그냥 깨졌습니다 .

RLThomaz 에 2018년 10월 02일

👍4

다시 동의했습니다. 이로 인해 불필요하게 실망스러운 상황이 발생했습니다.

julianeden 에 2018년 11월 19일

이것은 실제로 닫혀 있습니까? 왜요? 이 오픈한지 4년이 지났다는 것이 믿기지 않고 유일한 피드백은 누군가 "의도한 대로 작동한다"고 말하는 것 같습니다. 아니 빌어먹을; @sgendler-stem이 대상에 맞습니다. 이것은 완전히 망가졌습니다. 담당 팀이 스스로에 대해 기분이 좋지 않기를 바랍니다.

Isnor 에 2018년 11월 29일

🚀2 🎉2

동일한 예외에 직면:
botocore.errorfactory.InvalidCiphertextException: 암호 해독 작업을 호출할 때 오류가 발생했습니다(InvalidCiphertextException).

사용 된:
키 = b64decode(키)
응답 = client.decrypt(
CiphertextBlob=키
)

sunbarve 에 2018년 12월 04일

encrypt , generate-data-key 등의 출력이 CiphertextBlob 필드를 호출하지 않으면 이것이 그렇게 실망스럽지 않을 것이라고 생각합니다. 에 입력하면 decrypt 라고도 --ciphertext-blob ,이 암호문 방울 요구 다르게 인코딩 할 것을 철저하게 직관적이다.

decrypt 대한 플래그의 이름이 다른 경우 인코딩이 다르다는 힌트가 됩니다.

orirawlings 에 2018년 12월 19일

👍4

여기 https://github.com/aws/aws-cli/issues/2063 에서 해독할 base64 인코딩 입력에 대한 기능 제안이

rdkls 에 2018년 12월 28일

🎉1

@오지타

복호화하는 동안 key-id를 매개변수로 전달하지 않기 때문에 kms는 복호화에 사용할 암호화 키를 어떻게 알 수 있습니까?

arpit728 에 2019년 02월 04일

👍3

@arpit728 반환된 CipherTextBlob은 특정 CMK의 KeyID에 대해 구체적이라고 생각합니다.

Achint08 에 2019년 02월 11일

문제가 해결될 때까지 이 티켓을 다시 열어주세요!

WingsLikeEagles 에 2019년 02월 13일

👍1

이 티켓을 찾을 때까지 이것으로 너무 많은 시간을 놀았습니다. 암호화와 암호 해독 간에 정확히 어떻게 코딩되고 변환되어야 하는지 명시한 공식 문서가 있습니까?

svolotin 에 2019년 10월 04일

무슨 일이 일어나고 있는지에 대한 약간의 배경 정보:
1.6.6 에서 이전에 인코딩했던 "blob" 유형을 base64로 인코딩하지 않는 회귀 를 수정했습니다. 결과적으로 이제 "blob" 유형으로 표시된 매개변수에 대해 원시 이진 바이트를 지정해야 하며 내부적으로 자동으로 base64 인코딩합니다. 즉, 왕복 키 암호화를 위해서는 먼저 base64를 디코딩해야 합니다.
$ aws kms encrypt --key-id <key-id> --plaintext "abcd" --query CiphertextBlob --output text | base64 -D > /tmp/encrypted-file
$ echo "Decrypted: $(aws kms decrypt --ciphertext-blob fileb:///tmp/encrypted-file --query Plaintext --output text | base64 -D)"
Decrypted: abcd
이 예에서는 바이너리 콘텐츠가 포함된 파일이기 때문에 fileb:// 접두사도 사용하고 있습니다.

이 예에서는 다음을 반환합니다.

Decrypt 작업을 호출할 때 오류(InvalidCiphertextException)가 발생했습니다.
복호화:

`aws kms encrypt --key-id arn:aws:kms:eu-west-1werwerwjl:key/xxxyyyy --plaintext "abcd" --query CiphertextBlob --출력 텍스트 | base64 -d > ./암호화된 파일

echo "암호 해독됨: $(aws kms 해독 --ciphertext-blob fileb:./encrypted-file --query 일반 텍스트 --출력 텍스트 | base64 --decode)"
`
우분투로 시도했습니다. 누구든지 명확한 문서나 예제(사이트 또는 무언가에 대한 링크)를 알고 있다면 매우 감사할 것입니다!

편집: 이 문서의 팁을 사용하여 암호화 및 암호 해독 작업을 얻었습니다. https://dev.to/matchilling/pragmatically-storing-security-sensitive-data-using-aws-kms-5e5b

svolotin 에 2019년 10월 04일

👍1

참고로 위의 링크는 작동하지 않지만 기사는 꽤 유용해 보이며 여기에서 볼 수 있습니다 .

DestyNova 에 2020년 05월 08일

이 페이지가 도움이 되었나요?

0 / 5 - 0 등급

Aws-cli: aws kms 암호 해독 InvalidCiphertextException 오류

가장 유용한 댓글

모든 27 댓글

관련 문제