Tinkey は、鍵を管理するための Tink のコマンドライン ユーティリティです。Tinkey を使用すると、リモート KMS に保存されている鍵暗号鍵を使用して鍵セットを暗号化または復号できます。Tinkey には、AWS KMS と Google Cloud KMS のサポートが組み込まれています。他の KMS のサポートを追加する場合、Tinkey を変更する必要はありません。
インストール
Tinkey は、ビルド済みのバイナリからインストールするか、Homebrew を使用するか、Tink ソースからビルドできます。
ビルド済みのバイナリ
Tinkey の最新リリースは 1.12.0 です(ダウンロード)。Linux、macOS、Windows で動作します。
Homebrew
Homebrew を使用して Tinkey をインストールするには、次のコマンドを実行します。
brew tap tink-crypto/tink-tinkey https://github.com/tink-crypto/tink-tinkey
brew install tinkey
ソースから
Tink のソースコードから Tinkey の最新バージョンをビルドするには、Bazelisk で Bazel を使用します。
TINKEY_URL="https://github.com/tink-crypto/tink-tinkey/releases/download/v1.12.0/tink-tinkey-1.12.0.zip"
TINKEY_SHA256="425a551254847323078aaa80c0087bb228d7672e0c8663807aa06c50dcffa75a"
curl -LsS "${TINKEY_URL}" -o tinkey.zip
echo "${TINKEY_SHA256} tinkey.zip" | sha256sum -c
unzip tinkey.zip && cd "tink-tinkey-1.12.0"
bazelisk build //:tinkey
これにより、バイナリ bazel-bin/tinkey が生成されます。
コマンド リファレンス
Tinkey を使用して鍵を生成したり、鍵の暗号化、復号、ローテーションなどの管理タスクを実行したりできます。
表に記載されているコマンドを使用する構文は tinkey <command>
[<args>] です。
| コマンド | アクション |
|---|---|
help |
使用可能なすべてのコマンドのヘルプ メッセージを出力します。 |
add-key |
キーセットに新しいキーを生成して追加します。 |
convert-keyset |
キーセットの形式を変更、暗号化、復号します。 |
create-keyset |
新しい鍵セットを作成します。 |
create-public-keyset |
秘密鍵セットから公開鍵セットを作成します。 |
list-key-templates |
サポートされているすべての鍵テンプレートを一覧表示します。 |
delete-key |
鍵セット内の指定された鍵を削除します。 |
destroy-key |
非推奨。鍵セット内の指定された鍵の鍵マテリアルを破棄します。(これは非推奨です。破棄された鍵を含む鍵セットでの Tink の動作は、Tink のバージョンによって異なる場合があります)。 |
disable-key |
鍵セット内の指定された鍵を無効にします。 |
enable-key |
鍵セット内の指定された鍵を有効にします。 |
list-keyset |
鍵セット内の鍵を一覧表示します。 |
promote-key |
指定されたキーをプライマリに昇格します。 |
rotate-keyset |
[非推奨] 新しい鍵を追加して、プライマリにします。(代わりに、最初に add-key で新しい鍵を追加し、後で promote-key で明示的にプライマリにすることをおすすめします。分散システムでは、新しいキーをプライマリに昇格させる前に、すべてのサーバーで新しいキーが使用可能であることを確認する必要があります)。 |