L'AO esegue operazioni di firma e verifica tramite Google Distributed Cloud (GDC) air-gapped al KMS tramite un client gRPC.
Prima di iniziare
Per ottenere le autorizzazioni necessarie per firmare i dati, chiedi all'amministratore IAM dell'organizzazione di concederti il ruolo Sviluppatore KMS (kms-developer) nello spazio dei nomi del progetto.
Dati del cartello
Per firmare i dati, utilizza il comando gdcloud kms keys asymmetric-sign. Questo comando
crea una firma digitale di un file di input utilizzando la chiave Signing e salva
la firma con codifica Base64.
Per firmare i dati, trasmetti il nome della chiave e quanto segue:
gdcloud kms keys asymmetric-sign \ namespaces/NAMESPACE/signingKeys/KEY_NAME \ --input-file=INPUT_PATH \ --signature-file=SIGNATURE_FILESostituisci le seguenti variabili:
- NAMESPACE: lo spazio dei nomi del progetto, ad esempio:
kms-test1. - KEY_NAME: il nome della chiave utilizzata per la firma, ad esempio
key-1. - INPUT_PATH: il percorso del file di input che vuoi far firmare.
- SIGNATURE_FILE: il percorso del file di output in cui salvare la firma codificata in base64.
Dopo aver eseguito il comando, vedrai un file di output specificato nel flag
--signature-fileche contiene la firma con codifica Base64.- NAMESPACE: lo spazio dei nomi del progetto, ad esempio:
Verifica dei dati
Dopo aver firmato i dati, verifica la firma digitale in base64 utilizzando
il comando gdcloud kms keys asymmetric-verify. Questo comando verifica se
la firma digitale con codifica Base64 che ricevi dopo aver eseguito il
comando gdcloud kms keys asymmetric-sign è valida.
Per verificare la firma, passa il file della firma e quanto segue:
gdcloud kms keys asymmetric-verify \ namespaces/NAMESPACE/signingKeys/KEY_NAME \ --input-file=INPUT_PATH \ --signature-file=SIGNATURE_FILEDopo aver eseguito il comando, se l'operazione è riuscita, viene visualizzato l'output
Verification OK. In caso contrario, viene visualizzato l'output di erroreVerification Failure.