Firma e verifica i dati

L'AO esegue operazioni di firma e verifica tramite Google Distributed Cloud (GDC) air-gapped al KMS tramite un client gRPC.

Prima di iniziare

Per ottenere le autorizzazioni necessarie per firmare i dati, chiedi all'amministratore IAM dell'organizzazione di concederti il ruolo Sviluppatore KMS (kms-developer) nello spazio dei nomi del progetto.

Dati del cartello

Per firmare i dati, utilizza il comando gdcloud kms keys asymmetric-sign. Questo comando crea una firma digitale di un file di input utilizzando la chiave Signing e salva la firma con codifica Base64.

  • Per firmare i dati, trasmetti il nome della chiave e quanto segue:

    gdcloud kms keys asymmetric-sign \
    namespaces/NAMESPACE/signingKeys/KEY_NAME \
    --input-file=INPUT_PATH \
    --signature-file=SIGNATURE_FILE
    

    Sostituisci le seguenti variabili:

    • NAMESPACE: lo spazio dei nomi del progetto, ad esempio: kms-test1.
    • KEY_NAME: il nome della chiave utilizzata per la firma, ad esempio key-1.
    • INPUT_PATH: il percorso del file di input che vuoi far firmare.
    • SIGNATURE_FILE: il percorso del file di output in cui salvare la firma codificata in base64.

    Dopo aver eseguito il comando, vedrai un file di output specificato nel flag --signature-file che contiene la firma con codifica Base64.

Verifica dei dati

Dopo aver firmato i dati, verifica la firma digitale in base64 utilizzando il comando gdcloud kms keys asymmetric-verify. Questo comando verifica se la firma digitale con codifica Base64 che ricevi dopo aver eseguito il comando gdcloud kms keys asymmetric-sign è valida.

  • Per verificare la firma, passa il file della firma e quanto segue:

    gdcloud kms keys asymmetric-verify \
    namespaces/NAMESPACE/signingKeys/KEY_NAME \
      --input-file=INPUT_PATH \
      --signature-file=SIGNATURE_FILE
    

    Dopo aver eseguito il comando, se l'operazione è riuscita, viene visualizzato l'output Verification OK. In caso contrario, viene visualizzato l'output di errore Verification Failure.