Attestierungen verifizieren

In diesem Thema erfahren Sie, wie Sie Attestierungen für Cloud HSM-Schlüssel prüfen, die immer in einem Hardware-Sicherheitsmodul (HSM) gespeichert sind.

Übersicht

In der Kryptografie ist eine Attestierung eine maschinenlesbare, programmgesteuerte Anweisung, die von einer Software vorgenommen wird. Attestierungen sind eine wichtige Komponente des vertrauenswürdigen Computing und können aus Compliance-Gründen erforderlich sein.

Um die Attestierungen anzuzeigen und zu prüfen, fordern Sie eine kryptografisch signierte Attestierungserklärung vom HSM zusammen mit den zum Signieren verwendeten Zertifikatsketten an. Die Attestierungserklärung wird von der HSM-Hardware erstellt und durch Zertifikate signiert, die Google und dem HSM-Hersteller gehören.

Nachdem Sie Attestierungserklärung und Zertifikatsketten heruntergeladen haben, können Sie die Attribute oder die Gültigkeit der Attestierung mit den Zertifikatsketten prüfen.

Das Attestierungsskript ist ein von Google entwickeltes Open-Source-Python-Skript. Anhand des Quellcodes für das Skript können Sie mehr über das Attestierungsformat und die Funktionsweise der Verifizierung erfahren. Sie können ihn auch als Modell für eine benutzerdefinierte Lösung verwenden.

Die Beispiele in diesem Thema wurden für Linux-Umgebungen erstellt, einschließlich Cloud Shell. Damit Sie macOS- oder Windows-Clients folgen können, müssen Sie möglicherweise Änderungen vornehmen.

Hinweis

Erstellen Sie bei Bedarf einen Cloud HSM-Schlüssel für einen Schlüsselbund in einer von Cloud HSM unterstützten Region.
Laden Sie die Skripts zum Parsen der Attestierungswerte vom HSM-Hersteller herunter und installieren Sie sie. Laden Sie alle diese Skripts herunter:
- verify_pubkey.py
- parse_v1.py
- parse_v2.py
Hinweis: Laden Sie verify_attest.py nicht herunter. Verwenden Sie stattdessen das von Google bereitgestellte Verifizierungsskript.

Die Dokumentation zur Verwendung der Skripts findet sich am selben Speicherort.
Laden Sie das Skript zum Verifizieren von Attestierungen und den zugehörigen Voraussetzungen herunter und sehen Sie sich die Dokumentation für das Skript an.

Attestierung prüfen

Der Attestierungsüberprüfungsprozess kann entweder automatisch über die Google Cloud Console oder manuell durch Herunterladen des Attestierungs-Bundles und eines Attestierungsskripts ausgeführt werden, entweder lokal oder in der Cloud Shell.

Attestierungen über die Google Cloud Console prüfen

Sie können die Attestierung über die Google Cloud Console prüfen. Dadurch wird eine Cloud Shell geöffnet und die Code-Snippets vorab ausgefüllt, die für die gesamte Bestätigung erforderlich sind.

Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.

Zur Seite „Schlüsselverwaltung“
Wählen Sie den Schlüsselbund mit dem Schlüssel aus, den Sie attestieren möchten. Wählen Sie dann den Schlüssel aus.
Klicken Sie für die zu attestierende Schlüsselversion auf Mehr und wählen Sie Attestierung prüfen.
Klicken Sie im Dialogfeld Bestätigung prüfen auf gcloud-CLI öffnen. Dadurch wird die Cloud Shell geöffnet und mit dem für einen kompletten Durchlauf des Überprüfungsprozesses erforderlichen Code-Snippet vorabbefüllt.
Prüfen Sie das vorabbefüllte Code-Snippet in Cloud Shell. Das Snippet lädt das Attestierungsprüfungsskript und dessen Abhängigkeiten herunter, führt gcloud-Befehle aus, um die Attestierungs- und Zertifikatsketten herunterzuladen, und führt dann das Skript aus, um die Attestierung zu prüfen.
Führen Sie das Code-Snippet aus, um die Attestierung zu prüfen.

Attestierung manuell prüfen

Die Attestierung, die Zertifikatsketten und das Skript zur Attestierungsprüfung müssen heruntergeladen werden, bevor die Attestierung manuell verifiziert werden kann.

Laden Sie die Attestierungs- und Zertifikatsketten herunter.
Console
1. Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.
  
  Zur Seite „Schlüsselverwaltung“
2. Wählen Sie den Schlüsselbund mit dem Schlüssel aus, den Sie attestieren möchten. Wählen Sie dann den Schlüssel aus.
3. Klicken Sie für die zu attestierende Schlüsselversion auf Mehr und wählen Sie Attestierung prüfen.
4. Klicken Sie im Dialogfeld Bestätigung bestätigen auf Attestierungspaket herunterladen. Dadurch wird eine ZIP-Datei mit den Attestierungs- und Zertifikatsketten heruntergeladen.
5. Extrahieren Sie die Attestierungs- und Zertifikatsketten aus dem Attestierungspaket.
gcloud
1. Klicken Sie im oberen Fensterbereich der Konsole auf Cloud Shell aktivieren.
  
  Im unteren Bereich der Konsole wird ein neuer Frame für die Cloud Shell-Sitzung geöffnet, in dem eine Befehlszeilen-Eingabeaufforderung angezeigt wird. Die Initialisierung der Shell-Sitzung kann einige Sekunden dauern.
2. Führen Sie in der Eingabeaufforderung der Cloud Shell-Befehlszeile den Befehl gcloud kms keys versions describe aus, um die Attestierung für den zu bestätigenden Schlüssel abzurufen. Das Flag --attestation-file gibt den Pfad und den Dateinamen für die abgerufene Attestierung an.
```
gcloud kms keys versions describe key-version \
 --key key-name \
 --location location \
 --keyring keyring-name \
 --attestation-file [attestation-file] \
```
3. Führen Sie in der Eingabeaufforderung der Cloud Shell-Befehlszeile den Befehl gcloud kms keys versions get-certificate-chain aus, um die Zertifikatkette für den Schlüssel abzurufen, den Sie bestätigen möchten. Das Flag --output-file gibt den Pfad und den Dateinamen für die abgerufenen Zertifikate an.
```
gcloud kms keys versions get-certificate-chain key-version \
 --key key-name \
 --location location \
 --keyring keyring-name \
 --output-file [certificates-file] \
```
Laden Sie das Skript zum Prüfen von Attestierungen und die dazu erforderlichen Elemente herunter und gehen Sie die Dokumentation für das Skript durch, um die Attestierung in der Attestierungsdatei mit den Zertifikaten in der Zertifikatsdatei zu bestätigen.

Attestierung mit Zertifikatspaketen prüfen

Vor der Einführung von Zertifikatsketten für die einzelnen Schlüsselversionen wurden Attestierungen über Zertifikatpakete geprüft, . Wir empfehlen, die Attestierung manuell mithilfe von Zertifikatsketten zu bestätigen, da Zertifikatsets zukünftig geplant werden.

Laden Sie das Zertifikatspaket herunter, das zum Root-Zertifikat von Google führt.
```
curl -O https://www.gstatic.com/cloudhsm/cloud-kms-prod-[location]-google.pem
```
Laden Sie das Zertifikatspaket herunter, das zum Root-Zertifikat des HSM-Herstellers führt.
```
curl -O https://www.gstatic.com/cloudhsm/cloud-kms-prod-[location]-cavium.pem
```
Laden Sie die Attestierung herunter.
Console
1. Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.
  
  Zur Seite „Schlüsselverwaltung“
2. Wählen Sie den Schlüsselbund mit dem Schlüssel aus, den Sie attestieren möchten. Wählen Sie dann den Schlüssel aus.
3. Klicken Sie für die zu attestierende Schlüsselversion auf Mehr und wählen Sie Attestierung abrufen aus.
4. Klicken Sie im Dialogfeld Bestätigung abrufen auf Download. Die Attestierungsdatei wird auf Ihr lokales System heruntergeladen.
  
  Das Format für den Namen der Attestierungsdatei lautet [keyring-name]-[key-name]-[key-version]-[attestation-format]-attestation.dat. Die Bestandteile des Dateinamens sind per Bindestrich voneinander getrennt. Aus diesem Grund wird Platzhaltertext von eckigen Klammern ([ und ]) umgeben.
gcloud
1. Klicken Sie im oberen Fensterbereich der Konsole auf Cloud Shell aktivieren.
  
  In einem neuen Frame im unteren Teil der Console wird eine Cloud Shell-Sitzung geöffnet, in der eine Eingabeaufforderung angezeigt wird. Die Initialisierung der Shell-Sitzung kann einige Sekunden dauern.
2. Führen Sie in der Eingabeaufforderung der Cloud Shell-Befehlszeile den Befehl gcloud kms keys versions describe aus, um die Attestierung für den zu bestätigenden Schlüssel abzurufen. Das Flag --attestation-file gibt den Pfad und den Dateinamen für die abgerufene Attestierung an.
```
gcloud kms keys versions describe key-version \
 --key key-name \
 --location location \
 --keyring keyring-name \
 --attestation-file [attestation-file] \
```
Laden Sie das Skript zum Prüfen von Attestierungen mit Zertifikatpaketen und die erforderlichen Elemente herunter und lesen Sie die Dokumentation zum Skript, um die Attestierung in der Attestierungsdatei mit beiden Zertifikatpaketen zu prüfen.

Werte der Attestierung parsen

Die HSM-Herstellerdokumentation enthält eine umfassende Anleitung zur Verwendung der zugehörigen Skripts zum Parsen der Werte einer Attestierung und zum Prüfen des öffentlichen Schlüssels für ein asymmetrisches Schlüsselpaar. Die Attestierung muss mit folgendem Befehl entpackt werden, bevor sie geparst werden kann.

Entpacken Sie die komprimierte Attestierung.

gzip -d < compressed_attestation.dat > attestation.dat

Diese Links führen direkt zu bestimmten Anleitungen des HSM-Herstellers:

Die Anleitung zum Parsen des Attestierungswerts enthält einen Verweis auf allgemeine Felder in der Attestierung, nicht spezifisch für HSM-Schlüssel in Cloud HSM.

In folgenden Abschnitten wird gezeigt, wie Sie für Cloud HSM spezifische Informationen zu Ihren Schlüsseln prüfen.

Die Versions-ID des Schlüssels überprüfen

Sie können prüfen, ob der SHA-256-Hash der Schlüsselversion-Ressourcen-ID in der Bestätigung enthalten ist. Der Ressourcenname des Schlüssels ist in der Attestierungsdatei Teil des Felds 0x0102 oder des Felds "Schlüssel-ID". Die Schlüssel-ID besteht aus zwei verketteten Hash-Digests SHA-256 im Hexadezimalformat. Der zweite sollte dem Ressourcennamen des Schlüssels entsprechen.

Rufen Sie die Ressourcen-ID der Schlüsselversion ab. Sie können die Google Cloud Console verwenden, um die Ressourcen-ID der Schlüsselversion abzurufen, oder den folgenden Befehl ausführen:
```
gcloud kms keys versions list \
   --location location \
   --keyring key-ring-name \
   --key key-name
```

Weisen Sie der soeben abgerufenen Schlüsselversions-Ressourcen-ID in der Befehlszeile resource_name zu.

RESOURCE_NAME="projects/project-id/locations/location/keyRings/key-ring-name/cryptoKeys/key-name/cryptoKeyVersions/key-version"

Da das Parsing-Skript alle Attestierungsfelder im Hexadezimalformat ausgibt, wäre die Schlüssel-ID zweimal in Hexadezimalformat formatiert worden. (Einmal beim Erstellen der Schlüssel-ID, das andere mal beim Parsen der Attestierung.) Prüfen Sie, ob der Ressourcenname mit der Schlüssel-ID übereinstimmt. Wandeln Sie dazu den Ressourcennamen in einen SHA-256-Hex-Digest um, stellen eine Hexadezimal-Konvertierung der Schlüssel-ID in der Attestierungsdatei wieder her und vergleichen die beiden.
```
RESOURCE_NAME_HEX="$(echo -n ${RESOURCE_NAME} | openssl dgst -sha256 -hex | awk '{print $2}')"
```
Das Parse-Skript gibt alle Attestierungsfelder im Hexadezimalformat aus und die Schlüssel-ID wird intern ein zweites Mal Hex-codiert. Legen Sie für die Umgebungsvariable KEYID_HEX den Wert der Schlüssel-ID mit einer decodierten Hex-Codierungsebene fest:
```
KEYID_HEX=$(grep -m 1 0x0102 /path/to/parsed/attestation.dat | awk '{print $2}' | xxd -p -r)
```
Vergleichen Sie die Werte von RESOURCE_NAME_HEX und KEYID_HEX als Strings:
```
test  ${RESOURCE_NAME_HEX} == ${KEYID_HEX:(-64)} || echo "Values don't match"
```
Wenn die Werte übereinstimmen, wird keine Ausgabe zurückgegeben und der Befehl wird mit dem Code 0 beendet.

Andere Eigenschaften des Schlüssels bestätigen

Sie können verschiedene Schlüsselattribute anzeigen lassen, die den Feldern im PKCS #11-Standard entsprechen. Anhand der folgenden Beispiele können Sie weitere Eigenschaften des Schlüssels überprüfen.

Ob ein Schlüssel extrahierbar ist, wird im Feld 0x0102 der geparsten Ausgabe gespeichert. Prüfen Sie das Feld 0x0162, um zu ermitteln, ob ein Schlüssel extrahierbar ist. Der Wert \x01 ist true und der Wert \x00 ist false.

Cloud HSM-Schlüssel können nicht extrahiert werden.
```
grep '0x0162:' /path/to/parsed/attestation.dat
```
Wie der Schlüssel in den HSM gelangt ist (direkt erstellt oder importiert), wird im Feld 0x0163 gespeichert. Wenn der Schlüssel lokal im HSM erstellt wurde, wird das Feld auf \x01 gesetzt. Das Feld eines importierten Schlüssels ist auf \x00 gesetzt.

Sie können einige Informationen darüber ableiten, wie der Schlüssel im HSM entstanden ist. Wenn der Schlüssel in Cloud HSM erstellt wurde, bedeutet dies, dass der Schlüssel nie unverschlüsselt außerhalb eines HSM gespeichert wurde. Wenn der Schlüssel importiert wurde, garantiert der Importmechanismus, dass der Schlüssel während des Importvorgangs und anschließend in Cloud HSM geschützt ist.
```
grep '0x0163:' /path/to/parsed/attestation.dat
```
Der Typ eines Schlüssels wird im Feld 0x0100 gespeichert. Schlüsseltypen werden im PCKS#11-Standard mit dem Präfix CKK_* dokumentiert. Ein AES-Schlüssel hat beispielsweise den Typ \x1f.
```
grep '0x0100:' /path/to/parsed/attestation.dat
```

Weitere Informationen

Sie verifizieren eine Bestätigung, um festzustellen, ob eine Schlüsselversion in einem HSM erstellt wurde.