데이터 서명 및 확인

AO는 gRPC 클라이언트를 통해 KMS에 에어 갭이 적용된 Google Distributed Cloud (GDC)를 통해 서명 및 확인 작업을 실행합니다.

시작하기 전에

데이터에 서명하는 데 필요한 권한을 얻으려면 조직 IAM 관리자에게 프로젝트 네임스페이스에 KMS 개발자 (kms-developer) 역할을 부여해 달라고 요청하세요.

데이터 서명

데이터에 서명하려면 gdcloud kms keys asymmetric-sign 명령어를 사용합니다. 이 명령어는 Signing 키를 사용하여 입력 파일의 디지털 서명을 만들고 base64로 인코딩된 서명을 저장합니다.

  • 데이터에 서명하려면 키 이름과 다음을 전달하세요.

    gdcloud kms keys asymmetric-sign \
    namespaces/NAMESPACE/signingKeys/KEY_NAME \
    --input-file=INPUT_PATH \
    --signature-file=SIGNATURE_FILE
    

    다음 변수를 바꿉니다.

    • NAMESPACE: 프로젝트 네임스페이스입니다(예: kms-test1).
    • KEY_NAME: 서명에 사용된 키의 이름입니다(예: key-1).
    • INPUT_PATH: 서명하려는 입력 파일의 경로입니다.
    • SIGNATURE_FILE: base64로 인코딩된 서명을 저장할 출력 파일의 경로입니다.

    명령어를 실행하면 --signature-file 플래그에 지정한 출력 파일에 base64로 인코딩된 서명이 포함됩니다.

데이터 확인

데이터에 서명한 후 gdcloud kms keys asymmetric-verify 명령어를 사용하여 base64 디지털 서명을 확인합니다. 이 명령어는 gdcloud kms keys asymmetric-sign 명령어를 실행한 후 수신한 base64 인코딩 디지털 서명이 유효한지 확인합니다.

  • 서명을 확인하려면 서명 파일과 다음을 전달하세요.

    gdcloud kms keys asymmetric-verify \
    namespaces/NAMESPACE/signingKeys/KEY_NAME \
      --input-file=INPUT_PATH \
      --signature-file=SIGNATURE_FILE
    

    명령어를 실행한 후 성공하면 Verification OK 출력이 표시됩니다. 실패하면 Verification Failure 실패 출력이 표시됩니다.