时间戳

首页 > 解决方案 > 在 Python 中使用 Azure-key-vault 中的密钥加密 azure blob

python - 在 Python 中使用 Azure-key-vault 中的密钥加密 azure blob

问题描述

Microsoft 在 C# 中有一个示例,用于使用 azure-key-vault https://docs.microsoft.com/en-us/azure/storage/blobs/storage-encrypt-decrypt-blobs-key-vault中的密钥加密 azure blob ?WT.mc_id=Portal-Microsoft_Azure_Support&tabs=dotnet11#prerequisites

我希望在 Python 中做同样的事情我尝试遵循此页面中给出的代码 https://github.com/Azure/azure-storage-python/blob/master/samples/blob/encryption_usage.py 此页面不是使用天蓝色密钥

当我尝试在该示例中使用 azure key 时出现错误

class KeyWrapper:
    def __init__(self, kid):
        self.kek = self.get_azure_vault_key()
        self.backend = default_backend()
        self.kid = 'local:' + kid

    def get_azure_vault_key(self):
        credential = DefaultAzureCredential()
        key_client = KeyClient(vault_url="https://xyz.vault.azure.net/", credential=credential)
        keyvaultObj = key_client.get_key("my-key")
        actualKey = keyvaultObj.key.n
        return actualKey

def saveEncryptedCSVtoAzureBlob(CSVData, accountName, accountKey):
    blobName = 'myBlob'
    blobService = BlockBlobService(account_name=accountName, account_key=accountKey)
    kek = KeyWrapper('local:key1') 
    blobService.key_encryption_key = kek
    blobService.create_blob_from_text(containerName, blobName, CSVData)

此示例给出以下错误 ValueError: The wrapping key must be a valid AES key length

标签: pythonazure-blob-storageazure-keyvaultpublic-key-encryptionazure-container-service

解决方案

• 在您用于在python 的azure blob 存储中使用客户端加密的“encryptionusage.py”脚本中,“KEK”(即密钥加密密钥或包装密钥加密算法)被称为“A256KW”如下图所示,这是一种使用 AES256 位密钥的密钥包装加密算法。

加密.py 快照

• A256KW 算法的输出如下,从中提取了“CEK,即内容加密密钥”的详细信息,该密钥用于加密 Azure Blob 存储的内容并存储在 Azure Key Vault 中。

'eyJhbGciOiJBMjU2S1ciLCJlbmMiOiJBMjU2R0NNIn0.66xZoxFI18zfvLMO6WU1zzqqX1tT8xu_qZzMQyPcfVuajPNkOJUXQA.X5ZL8yaOektXmfny.brz-Lg.xG-EvM-9hrw0XRiuRW7HrA'--> CEK 的输出将通过 A2 算法提取

  ‘JWE Header:  {"alg":"A256KW","enc":"A256GCM"}                         
    Encrypted key (CEK):  66xZoxFI18zfvLMO6WU1zzqqX1tT8xu_qZzMQyPcfVuajPNkOJUXQA   
    Initialization vector:  X5ZL8yaOektXmfny                                         
    Ciphertext:  brz-Lg                                                   
    Authentication Tag:  xG-EvM-9hrw0XRiuRW7HrA ‘   data extracted from the KEK A256KW algorithm.

• 因此,上述输出示例中显示的KEK 或包装密钥,即'eyJhbGciOiJBMjU2S1ciLCJlbmMiOiJBMjU2R0NNIn0' 不具有可以提取CEK 的有效密钥长度。此外,在您的情况下,加密脚本中的“get_key_wrap_algorithm”命令返回“A256KW”的值,从该值中提取 256 位 CEK,如上所述。因此,请根据收到的错误检查存储在 azure key vault 中的密钥长度。它应符合上述 256 位规范。

请找到以下链接以获取更多信息:-

https://docs.microsoft.com/en-us/azure/storage/common/storage-client-side-encryption-python?tabs=python2

https://security.stackexchange.com/questions/80966/what-is-the-point-of-aes-key-wrap-with-json-web-encryption

推荐阅读