Daten signieren und überprüfen

Der AO führt Signier- und Prüfvorgänge über Google Distributed Cloud (GDC) aus, die über einen gRPC-Client vom KMS getrennt sind.

Hinweise

Bitten Sie Ihren IAM-Administrator der Organisation, Ihnen die Rolle „KMS Developer“ (kms-developer) in Ihrem Projekt-Namespace zuzuweisen, um die erforderlichen Berechtigungen zum Signieren von Daten zu erhalten.

Daten signieren

Verwenden Sie den Befehl gdcloud kms keys asymmetric-sign, um Daten zu signieren. Mit diesem Befehl wird eine digitale Signatur einer Eingabedatei mit dem Signing-Schlüssel erstellt und die base64-codierte Signatur gespeichert.

  • Um Ihre Daten zu signieren, übergeben Sie den Schlüsselnamen und Folgendes:

    gdcloud kms keys asymmetric-sign \
    namespaces/NAMESPACE/signingKeys/KEY_NAME \
    --input-file=INPUT_PATH \
    --signature-file=SIGNATURE_FILE
    

    Ersetzen Sie die folgenden Variablen:

    • NAMESPACE: der Projekt-Namespace, z. B. kms-test1.
    • KEY_NAME: der Name des Schlüssels, der zum Signieren verwendet wird, z. B. key-1.
    • INPUT_PATH: Der Pfad der Eingabedatei, die signiert werden soll.
    • SIGNATURE_FILE: Der Pfad der Ausgabedatei, in der die base64-codierte Signatur gespeichert werden soll.

    Nach der Ausführung des Befehls wird eine Ausgabedatei angezeigt, die Sie im Flag --signature-file angegeben haben und die die base64-codierte Signatur enthält.

Daten überprüfen

Nachdem Sie Ihre Daten signiert haben, überprüfen Sie die base64-digitale Signatur mit dem Befehl gdcloud kms keys asymmetric-verify. Mit diesem Befehl wird geprüft, ob die base64-codierte digitale Signatur, die Sie nach Ausführung des Befehls gdcloud kms keys asymmetric-sign erhalten, gültig ist.

  • Um die Signatur zu prüfen, übergeben Sie die Signaturdatei und Folgendes:

    gdcloud kms keys asymmetric-verify \
    namespaces/NAMESPACE/signingKeys/KEY_NAME \
      --input-file=INPUT_PATH \
      --signature-file=SIGNATURE_FILE
    

    Nach der Ausführung des Befehls wird bei Erfolg die Ausgabe Verification OK angezeigt. Wenn nicht, wird die Fehlerausgabe Verification Failure angezeigt.