Crea claves asimétricas

En esta página, se muestra cómo crear una clave asimétrica. Puedes usar una clave asimétrica para la encriptación o la firma.

También puede crear una clave simétrica, una clave de Cloud HSM o una clave de Cloud External Key Manager.

Resumen

Cuando creas una clave, la agregas a un llavero de claves en una ubicación de Google Cloud determinada. Puedes crear un llavero de claves nuevo o usar uno existente. En este tema, crearás un llavero de claves nuevo y le agregarás una clave nueva.

Crea un llavero de claves

Sigue estos pasos para crear un llavero de claves para tu nueva clave. Si quieres usar un llavero de claves existente, puedes crear una clave.

Console

Ve a la página Claves criptográficas en Cloud Console.
Haz clic en Crear llavero de claves.
En el campo Nombre del llavero de claves, ingresa el nombre de tu llavero de claves.
Selecciona una ubicación en el menú desplegable Ubicación.
Haz clic en Crear.

Línea de comandos

Crea un llavero de claves nuevo con el nombre keyring-name en la ubicación location.

    gcloud kms keyrings create keyring-name \
      --location location

API

Llama al método KeyRing.create para crear un llavero de claves.

Crear una clave asimétrica

Sigue estos pasos para crear una clave asimétrica en el llavero de claves y la ubicación especificados.

Console

Ve a la página Claves criptográficas en Cloud Console.
Haz clic en el nombre del llavero de claves para el que crearás la clave.
Haz clic en Crear clave.
Ingresa el nombre en el campo Nombre de la clave.
Haz clic en el menú desplegable Propósito. Selecciona un propósito de clave asimétrica (por ejemplo Acceso asimétrico o Desencriptación asimétrica). Para obtener más información sobre los propósitos de clave, consulta esta sección.
Haz clic en el menú desplegable Algoritmo. Selecciona un algoritmo para tu clave. Puedes cambiar este parámetro para versiones de clave futuras. El Propósito que elijas determina los algoritmos disponibles. Por ejemplo, si tu objetivo principal es acceso asimétrico, uno de los algoritmos compatibles es Curva elíptica P-256 - Resumen de SHA256. Para obtener más información sobre los algoritmos para una clave asimétrica, consulta Algoritmos y propósitos de clave.
En Nivel de protección, selecciona Software o HSM. Para obtener más información sobre los niveles de protección, consulta Niveles de protección.
Tu página Claves criptográficas debería ser similar a la siguiente:
De manera opcional, si deseas agregar etiquetas a tu clave, haz clic en Agregar etiqueta en el campo Etiquetas.
Haga clic en Crear.

Línea de comandos

Crea una nueva clave key-name para el llavero de claves keyring-name.

Sigue estos pasos para crear una clave asimétrica:

Configura --purpose como asymmetric-signing o asymmetric-encryption. Para obtener la lista de valores admitidos para --purpose, consulta --purpose. Para obtener más información sobre los propósitos de clave en general, consulta Propósitos de clave.
Configura --default-algorithm con el algoritmo que deseas usar. Puedes cambiar este parámetro para versiones de clave futuras. La opción de propósito de clave determina los algoritmos que se admiten. Por ejemplo, si el propósito de clave es asymmetric- signing, uno de los algoritmos admitidos será ec-sign-p256-sha256. Para obtener la lista de valores admitidos para --default-algorithm, consulta --default- algorithm. Para obtener más información sobre los algoritmos para una clave, consulta Algoritmos y propósitos de clave.
Configura --protection-level como software o hsm. Para obtener más información sobre los niveles de protección, consulta esta sección.

    gcloud kms keys create key-name \
      --location location \
      --keyring keyring-name  \
      --purpose purpose \
      --default-algorithm algorithm \
      --protection-level protection-level

API

Llama al método CryptoKey.create para crear una clave asimétrica.

Especifica un propósito clave de ASYMMETRIC_SIGN o ASYMMETRIC_DECRYPT con el tipo CryptoKeyPurpose. Para obtener más información sobre los propósitos de clave, consulta esta sección.
Especifica un algoritmo mediante el tipo CryptoKeyVersionAlgorithm. Puedes cambiar este parámetro para versiones futuras. La opción de propósito de clave determina los algoritmos que se admiten. Por ejemplo, si el propósito de clave es ASYMMETRIC_SIGN, uno de los algoritmos admitidos será EC_SIGN_P256_SHA256. Para obtener más información sobre los algoritmos para una clave, consulta Algoritmos y propósitos de clave.
Especifica un nivel de protección de software o HSM mediante el tipo ProtectionLevel.

Cuando creas la clave por primera vez, la versión inicial de la clave tiene un estado de generación pendiente. Cuando el estado cambia a habilitado, puedes usar la clave. Para obtener más información sobre los estados de la versión de clave, consulta Estados clave.

Puedes obtener más información sobre Recuperación de la parte de clave pública de una clave asimétrica.

Controla el acceso a claves asimétricas

Un firmante o validador requiere el permiso o función adecuados para la clave asimétrica.

Para un usuario o servicio que realizará la firma, otorga el permiso cloudkms.cryptoKeyVersions.useToSign en la clave asimétrica.
Para un usuario o servicio que recuperará la clave pública, otorgue la cloudkms.cryptoKeyVersions.viewPublicKey en la clave asimétrica. Para la validación de la firma se necesita la clave pública.

Para conocer más sobre los permisos y las funciones en esta versión de Cloud KMS, sigue este vínculo.

Qué sigue

Más información sobre la creación y validación de firmas
Más información sobre la encriptación y desencriptación de datos con una clave de RSA.
Más información sobre la recuperación de una clave pública.