Geheime Entschlüsselung
Secrets Manager kann Zugriffstoken, zusätzlich zu Master-Passwörtern, verwenden, um Geheimnisse zu entschlüsseln, zu bearbeiten und zu erstellen. Insbesondere wird dies in Szenarien zur Geheimniseinspritzung durchgeführt, wie die Beispiele hier.
Konzeptionell bestehen Zugriffstoken aus zwei Komponenten:
Ein API-Schlüssel , der eine Client-ID und ein Geheimnis für die Authentifizierung bei Bitwarden-Servern enthält.
Ein eindeutiger Verschlüsselungsschlüssel , der zum Entschlüsseln einer verschlüsselten Nutzlast verwendet wird, die den symmetrischen Verschlüsselungsschlüssel Ihrer Organisation enthält.
Wenn ein Zugriffstoken verwendet wird, zum Beispiel bei der Authentifizierung eines CLI-Befehls wie bws get secret:
Eine Anfrage wird an die Bitwarden-Server gesendet, die die Client-ID und das Client-Geheimnis des API-Schlüssels enthält.
Bitwarden-Server verwenden diese Anmeldeinformationen zur Authentifizierung der Client-Sitzung und senden eine Antwort, die eine verschlüsselte Nutzlast enthält. Diese verschlüsselte Nutzlast enthält den symmetrischen Schlüssel der Organisation.
Sobald sie empfangen wurde, wird der symmetrische Schlüssel der Organisation lokal mit dem einzigartigen Verschlüsselungsschlüssel des Zugriffs-Tokens entschlüsselt.
Eine nachfolgende Anfrage wird an die Bitwarden APIs gesendet, um die in dem
bwsBefehl geforderten Daten abzurufen, zum Beispiel ein Geheimnis.Bitwarden bestimmt, ob die angeforderten Daten basierend auf einer Service-Konto-Kennung in der Anfrage bereitgestellt werden können. Wenn ja, wird eine Antwort mit den verschlüsselten Daten an den Client gesendet.
Die Daten werden lokal mit dem symmetrischen Schlüssel der Organisation entschlüsselt. Relevante Werte werden verwendet, wie auch immer Sie den Secrets Manager verwenden, zum Beispiel indem Sie einen entschlüsselten
"key": ""Wert in einer Umgebungsvariable speichern.