Como configurar o OpenSSL para encapsulamento manual de chaves

Antes de importar uma chave para o Cloud KMS, ela precisa ser encapsulada usando o método PKCS#11 (link em inglês) CKM_RSA_AES_KEY_WRAP, que inclui RSA-OAEP (que estão incluídos) em OpenSSL 1.1 por padrão) e encapsulamento de chaves AES com padding (que não é). Esse mecanismo não está incluído no OpenSSL.

Recomendamos o uso da CLI do Google Cloud para encapsular cada chave automaticamente durante a importação. Se você precisar encapsular as chaves manualmente devido a requisitos regulatórios ou de conformidade, primeiro recompile o OpenSSL para adicionar compatibilidade com encapsulamento de chaves AES com preenchimento. Depois de recompilar o OpenSSL, você pode encapsular a chave manualmente.

Antes de começar

Não substitua os binários OpenSSL integrados do sistema pelos binários com patch produzidos seguindo os procedimentos deste tópico. Por exemplo, não instale o OpenSSL com patch diretamente em /usr. Se você seguir exatamente esse procedimento, o OpenSSL com patch será criado em $HOME/build e instalado em $HOME/local/bin.

Se o ${HOME}/local/bin já existir, faça backup do conteúdo dele ou mova esses arquivos para outro lugar antes de seguir as etapas deste tópico.

Corrigir e instalar o OpenSSL v1.1.0

Se você optar por usar o OpenSSL para ajustar manualmente suas chaves antes de importá-las para o Cloud KMS, o OpenSSL v1.1.0 será necessário, com a seguinte correção aplicada. Você precisará compilar o OpenSSL e instalá-lo em um local separado da instalação padrão do seu sistema OpenSSL.

  1. Faça o download do código-fonte para a versão do OpenSSL 1.1.0l em https://www.openssl.org/source. Esta é a versão mais recente na linha de código 1.1.0. Não use uma versão mais recente do OpenSSL, como a v1.1.1, neste procedimento. O patch não será aplicado.

  2. Extraia o arquivo para ${HOME}/build/openssl/ usando o comando a seguir. Esse comando substitui o diretório padrão, que inclui a versão do OpenSSL e muda com frequência. Substitua /path/to/downloaded-openssl.tar.gz pelo caminho do arquivo .tar.gz salvo.

    # Create the directory for the eventual OpenSSL binaries
    mkdir -p ${HOME}/local/ssl
    
    # Create the build directory
    mkdir -p ${HOME}/build/openssl
    
    # Extract the archive to ${HOME}/build/openssl
    tar xzvf /path/to/downloaded-openssl.tar.gz \
      -C ${HOME}/build/openssl/ \
      --strip-components 1
    
  3. Aplique um patch personalizado à origem do OpenSSL extraída usando os comandos a seguir. O patch ativa a sinalização EVP_CIPHER_CTX_FLAG_WRAP_ALLOW.

    cd ${HOME}/build
    cat <<-EOF | patch -d . -p0
    --- orig/openssl/apps/enc.c 2020-01-17 14:39:54.991708785 -0500
    +++ openssl/apps/enc.c  2020-01-17 14:41:33.215704269 -0500
    @@ -482,6 +482,7 @@
              */
    
             BIO_get_cipher_ctx(benc, &ctx);
    +   EVP_CIPHER_CTX_set_flags(ctx, EVP_CIPHER_CTX_FLAG_WRAP_ALLOW);
    
             if (!EVP_CipherInit_ex(ctx, cipher, NULL, NULL, NULL, enc)) {
                 BIO_printf(bio_err, "Error setting cipher %s\n",
    EOF
    

  4. Execute os seguintes comandos para construir binários e bibliotecas OpenSSL a partir da origem com patch, teste a validade da build e instale os binários e as bibliotecas no diretório ${HOME}/local.

    CPUS=$(getconf _NPROCESSORS_ONLN)
    cd ${HOME}/build/openssl
    ./config --prefix=${HOME}/local --openssldir=${HOME}/local/ssl
    make -j${CPUS}
    make test
    make install
    

    Não omita ou modifique os sinalizadores --prefix ou --openssldir, para garantir que você não substitua a instalação do OpenSSL do sistema.

  5. Execute o seguinte comando para verificar se o novo binário do OpenSSL foi instalado com êxito:

    test -x ${HOME}/local/bin/openssl || echo FAIL
    

    Você não verá saída se os binários estiverem instalados corretamente. Caso veja FAIL, verifique a saída dos comandos make, make test e make install executados anteriormente.

  6. Os binários do OpenSSL corrigidos são vinculados dinamicamente às bibliotecas do OpenSSL em ${HOME}/local/ssl/lib/, mas o comando ld não indexa essas bibliotecas por padrão. Execute os seguintes comandos para criar um script de encapsulamento que adicione as bibliotecas com patch ao ${LD_LIBRARY_PATH} antes de invocar a CLI para o OpenSSL com patch.

    cat > ${HOME}/local/bin/openssl.sh <<-EOF
    #!/bin/bash
    env LD_LIBRARY_PATH=${HOME}/local/lib/ ${HOME}/local/bin/openssl "\$@"
    EOF
    chmod u+x ${HOME}/local/bin/openssl.sh
    

  7. Verifique se a versão do OpenSSL que o script inicia é a versão que você acabou de criar e instalar usando o seguinte comando:

    ${HOME}/local/bin/openssl.sh version
    

Agora você pode invocar o script de encapsulamento ${HOME}/local/bin/openssl.sh para encapsular manualmente as chaves para importação.