Verifica delle attestazioni

Questo argomento mostra come verificare le attestazioni per le chiavi Cloud HSM, che sono sempre archiviate in un modulo di sicurezza hardware (HSM).

Panoramica

Nella crittografia, un'attestazione è un'istruzione leggibile da macchina e programmatica che un software può generare da sé. Le attestazioni sono un componente importante del computing attendibile e potrebbero essere necessarie per motivi di conformità.

Per visualizzare e verificare le attestazioni, richiedi un'istruzione di attestazione firmata crittografica dal HSM, insieme alle catene di certificati utilizzate per firmare. La dichiarazione di attestazione è prodotta dall'hardware HSM e firmata da certificati di proprietà di Google e del produttore HSM.

Dopo aver scaricato le dichiarazioni di attestazione e le catene di certificati, puoi controllare i relativi attributi o verificare la validità dell'attestazione utilizzando le catene di certificato.

Lo script attestation è uno script Python open source sviluppato da Google. Puoi visualizzare il codice sorgente dello script per saperne di più sul formato di attestazione e sul funzionamento della verifica oppure come modello per una soluzione personalizzata.

Gli esempi in questo argomento sono progettati per gli ambienti Linux, incluso Cloud Shell. Per seguire i client macOS o Windows, potrebbe essere necessario apportare modifiche.

Prima di iniziare

Verifica dell'attestazione

Il processo di verifica dell'attestazione può essere eseguito automaticamente tramite Google Cloud Console o manualmente, scaricando il pacchetto di attestazione e lo script di verifica dell'attestato ed eseguendolo localmente o in Cloud Shell.

Verifica delle attestazioni tramite Cloud Console

Puoi verificare l'attestazione tramite Cloud Console, che consentirà di aprire Cloud Shell e precompilarlo con gli snippet di codice necessari per completare l'intero processo di verifica dell'attestazione.

  1. Vai alla pagina Gestione chiavi in Cloud Console.

    Vai alla pagina Gestione delle chiavi

  2. Seleziona il keyring contenente la chiave che vuoi attestare, quindi seleziona la chiave.

  3. Fai clic su Altro per la versione della chiave che vuoi attestare e seleziona Verifica attestazione.

  4. Nella finestra di dialogo Verifica attestazione, fai clic su Apri l'interfaccia a riga di comando gcloud. Cloud Shell viene aperto e viene precompilato con lo snippet di codice necessario per completare l'intera procedura di verifica.

  5. Analizza lo snippet di codice precompilato in Cloud Shell. Lo snippet scarica lo script di verifica dell'attestato e le sue dipendenze, esegue i comandi gcloud per scaricare l'attestazione e le catene di certificati, quindi esegue lo script per verificare l'attestazione.

  6. Esegui lo snippet di codice per verificare l'attestazione.

Verifica manuale dell'attestazione

L'attestazione, le catene di certificati e lo script di verifica dell'attestazione devono essere scaricati prima di verificare manualmente l'attestazione.

  1. Scarica le catene di attestazione e certificato.

    Console

    1. Vai alla pagina Gestione chiavi in Cloud Console.

      Vai alla pagina Gestione delle chiavi

    2. Seleziona il keyring contenente la chiave che vuoi attestare, quindi seleziona la chiave.

    3. Fai clic su Altro per la versione della chiave che vuoi attestare e seleziona Verifica attestazione.

    4. Nella finestra di dialogo Verifica attestazione, fai clic su Scarica pacchetto di attestazione. Verrà scaricato un file ZIP contenente le catene di attestazione e certificato.

    5. Estrai le catene di attestazione e certificato dal bundle di attestazione.

    gcloud

    1. Fai clic su Attiva Cloud Shell nella parte superiore della finestra della console.

      Attiva Cloud Shell Una sessione di Cloud Shell si apre all'interno di un nuovo frame nella parte inferiore della console e mostra un prompt della riga di comando. L'inizializzazione della sessione della shell può richiedere alcuni secondi.

      Sessione Cloud Shell

    2. Nel prompt della riga di comando di Cloud Shell, utilizza il comando gcloud kms keys versions describe per recuperare l'attestazione per la chiave da verificare. Il flag --attestation-file specifica il percorso e la destinazione del nome file per l'attestazione recuperata.

      gcloud kms keys versions describe key-version \
       --key key-name \
       --location location \
       --keyring keyring-name \
       --attestation-file [attestation-file] \
      
    3. Nel prompt della riga di comando di Cloud Shell, utilizza il comando gcloud kms keys versions get-certificate-chain per recuperare le catene di certificati per la chiave che vuoi attestare. Il flag --output-file specifica il percorso e la destinazione del nome file per i certificati recuperati.

      gcloud kms keys versions get-certificate-chain key-version \
       --key key-name \
       --location location \
       --keyring keyring-name \
       --output-file [certificates-file] \
      
  2. Scarica lo script per la verifica delle attestazioni e i relativi prerequisiti e consulta la documentazione relativa allo script per verificare l'attestazione nel file di attestazione utilizzando i certificati nel file dei certificati.

Verifica dell'attestazione tramite pacchetti di certificati

I pacchetti di certificati sono stati utilizzati per verificare l'attestazione prima dell'introduzione delle catene di certificati per ogni versione della chiave. Ti consigliamo di verificare manualmente l'attestazione utilizzando catene di certificati poiché abbiamo in programma di ritirare i pacchetti di certificati in futuro.

  1. Scarica il bundle di certificati che genera il certificato radice di Google.

    curl -O https://www.gstatic.com/cloudhsm/cloud-kms-prod-[location]-google.pem
    
  2. Scarica il bundle di certificati che rimanda al certificato radice del produttore HSM.

    curl -O https://www.gstatic.com/cloudhsm/cloud-kms-prod-[location]-cavium.pem
    
  3. Scarica l'attestazione.

    Console

    1. Vai alla pagina Gestione chiavi in Cloud Console.

      Vai alla pagina Gestione delle chiavi

    2. Seleziona il keyring contenente la chiave che vuoi attestare, quindi seleziona la chiave.

    3. Fai clic su Altro per la versione della chiave che vuoi attestare e seleziona Ottieni attestazione.

    4. Nella finestra di dialogo Ottieni attestazione, fai clic su Scarica. Il file di attestazione viene scaricato nel sistema locale.

      Il formato del nome del file di attestazione è [keyring-name]-[key-name]-[key-version]-[attestation-format]-attestation.dat. Ogni parte del nome file è separata da un trattino. Per questo motivo, il testo del segnaposto è racchiuso tra parentesi quadre ([ e ]).

    gcloud

    1. Fai clic su Attiva Cloud Shell nella parte superiore della finestra della console.

      Attiva Cloud Shell Una sessione di Cloud Shell si apre all'interno di un nuovo frame in fondo alla console e mostra un prompt della riga di comando. L'inizializzazione della sessione della shell può richiedere alcuni secondi.

      Sessione Cloud Shell

    2. Nel prompt della riga di comando di Cloud Shell, utilizza il comando gcloud kms keys versions describe per recuperare l'attestazione per la chiave da verificare. Il flag --attestation-file specifica il percorso e la destinazione del nome file per l'attestazione recuperata.

      gcloud kms keys versions describe key-version \
       --key key-name \
       --location location \
       --keyring keyring-name \
       --attestation-file [attestation-file] \
      
  4. Scarica lo script per la verifica delle attestazioni con pacchetti di certificati e i relativi prerequisiti e consulta la documentazione relativa allo script per verificare l'attestazione nel file di attestazione con entrambi i pacchetti di certificati.

Analisi dei valori di attestazione

La documentazione del produttore HSM include istruzioni complete sull'utilizzo degli script per analizzare i valori di una attestazione e verificare la chiave pubblica per una coppia di chiavi asimmetriche. L'attestazione dovrà essere decompressa con il seguente comando prima di poter essere analizzata.

  • Decomprimi l'attestazione compressa.

    gzip -d < compressed_attestation.dat > attestation.dat
    

Questi link rimandano direttamente alle istruzioni specifiche del produttore di HSM:

Le istruzioni per analizzare il valore dell'attestazione includono un riferimento ai campi generali nell'attestazione, non specifico alle chiavi HSM in Cloud HSM.

Le sezioni seguenti spiegano come verificare le informazioni sulle chiavi specifiche per Cloud HSM.

Verifica l'ID versione della chiave

Puoi verificare se l'hash SHA-256 dell'ID risorsa della versione chiave è presente nell'attestazione. Il nome della risorsa della chiave fa parte del campo 0x0102 o del campo ID chiave nel file di attestazione. L'ID chiave è composto da due digest hash SHA-256 concatenati in formato esadecimale. Il secondo deve corrispondere al nome della risorsa della chiave.

  1. Recupera l'ID risorsa della versione della chiave per la versione della chiave. Puoi usare Cloud Console per ottenere l'ID risorsa della versione chiave oppure puoi eseguire il seguente comando:

    gcloud kms keys versions list \
       --location location \
       --keyring key-ring-name \
       --key key-name
    
  2. Nella riga di comando, assegna resource_name all'ID risorsa della versione della chiave appena recuperato.

    RESOURCE_NAME="projects/project-id/locations/location/keyRings/key-ring-name/cryptoKeys/key-name/cryptoKeyVersions/key-version"
    
  3. Poiché lo script di analisi scarica tutti i campi di attestazione in formato esadecimale, l'ID chiave sarebbe stato formattato in formato esadecimale due volte. (Una volta creato l'ID chiave, l'altro durante l'analisi dell'attestazione). Per verificare che il nome della risorsa corrisponda all'ID chiave, converti il nome della risorsa in un digest esadecimale SHA-256, ripristina una conversione esadecimale dell'ID chiave nel file di attestazione e confronta i due.

    RESOURCE_NAME_HEX="$(echo -n ${RESOURCE_NAME} | openssl dgst -sha256 -hex | awk '{print $2}')"
    
  4. Lo script di analisi esegue il dump di tutti i campi di attestazione in formato esadecimale e l'ID chiave viene codificato internamente come esadecimale una seconda volta. Imposta la variabile di ambiente KEYID_HEX sul valore dell'ID chiave con un livello di codifica esadecimale decodificata:

    KEYID_HEX=$(grep -m 1 0x0102 /path/to/parsed/attestation.dat | awk '{print $2}' | xxd -p -r)
    
  5. Confronta i valori di RESOURCE_NAME_HEX e KEYID_HEX come stringhe:

    test  ${RESOURCE_NAME_HEX} == ${KEYID_HEX:(-64)} || echo "Values don't match"
    

    Se i valori corrispondono, non viene restituito alcun output e il comando esce con codice 0.

Verificare altre proprietà della chiave

Puoi visualizzare varie proprietà chiave corrispondenti ai campi dello standard PKCS #11. Utilizza i seguenti esempi come guide per verificare altre proprietà della chiave.

  • Indica se una chiave è estraibile nel campo 0x0102 dell'output analizzato. Per determinare se una chiave è estraibile, esamina il campo 0x0162. Un valore di \x01 è true e un valore di \x00 è false.

    Le chiavi di Cloud HSM non sono estrabili.

    grep '0x0162:' /path/to/parsed/attestation.dat
    
  • Come è stata inserita la chiave nel HSM (sia che sia stata creata direttamente sia importata) nel campo 0x0163. Se la chiave è stata creata localmente su HSM, il campo è impostato su \x01. Un campo della chiave importato è impostato su \x00.

    Puoi dedurre alcune informazioni dalla modalità di generazione della chiave nell'HSM. Se la chiave è stata creata in Cloud HSM, significa che non è mai stata archiviata non criptata al di fuori di un HSM. Se la chiave è stata importata, il meccanismo di importazione garantisce che la chiave sia protetta durante il processo di importazione e durante l'utilizzo di Cloud HSM.

    grep '0x0163:' /path/to/parsed/attestation.dat
    
  • Un tipo di chiave viene memorizzato nel campo 0x0100. I tipi di chiavi sono documentati nello standard PCKS#11 con il prefisso CKK_*. Ad esempio, una chiave AES ha un tipo \x1f.

    grep '0x0100:' /path/to/parsed/attestation.dat
    

Informazioni aggiuntive

Devi verificare un'attestazione per determinare se una versione della chiave è stata creata all'interno di un HSM.