Como criar chaves assimétricas

Este tópico fornece informações sobre como criar chaves assimétricas. Se você pretende criar chaves simétricas, consulte o tópico Como criar chaves e keyrings.

Criar um keyring

O keyring é definido pelo local e nome correspondentes.

Console

  1. Acesse a página Chaves criptográficas no Console do GCP.

  2. Clique em Criar keyring.

  3. No campo Nome do keyring, digite o nome do seu keyring.

  4. No menu suspenso Local, selecione um local.

  5. Clique em Criar.

Linha de comando

Crie um novo keyring com o nome [KEYRING_NAME] no local [LOCATION].

gcloud kms keyrings create [KEYRING_NAME] \
  --location [LOCATION]

API

Crie um keyring chamando o método KeyRing.create.

Criar uma chave

Você precisa criar a chave em um keyring.

Console

  1. Acesse a página Chaves criptográficas no Console do GCP.

  2. Clique no nome do keyring em que a chave será criada.

  3. Clique em Criar chave.

  4. No campo Nome da chave, insira o nome da sua chave.

  5. Clique no menu suspenso Finalidade. Selecione uma finalidade de chave assimétrica, por exemplo, Assinatura assimétrica ou Descriptografia assimétrica. Para saber mais sobre finalidades de chave, consulte Finalidades de chave.

  6. Clique no menu suspenso Algoritmo. Selecione o algoritmo da chave. Você pode alterá-lo para versões futuras da chave. A escolha da Finalidade determina quais algoritmos estão disponíveis. Por exemplo, se a finalidade de chave for Assinatura assimétrica, um dos algoritmos compatíveis será Curva elíptica P-256 - resumo SHA256. Para saber mais sobre algoritmos de uma chave assimétrica, consulte Algoritmos e finalidades de chave.

  7. Em Nível de proteção, selecione Software ou HSM. Para saber mais sobre os níveis de proteção, consulte Níveis de proteção.
    A página Chaves criptográficas será semelhante a esta:

    Criar uma chave assimétrica

  8. [Opcional] No campo Rótulos, clique em Adicionar rótulo para adicioná-los à chave.

  9. Clique em Criar.

Linha de comando

Crie uma nova chave [KEY_NAME] para o keyring [KEYRING_NAME].

Para criar uma chave assimétrica, faça o seguinte:

  • Defina --purpose como asymmetric-signing ou asymmetric-encryption. Para ver uma lista de valores compatíveis com --purpose, consulte --purpose. Para saber mais sobre finalidades de chave em geral, consulte Finalidades de chave.
  • Defina --default-algorithm como o algoritmo que você quer usar. Você pode alterá-lo para versões futuras da chave. A escolha da finalidade de chave determina quais algoritmos são compatíveis. Por exemplo, se a finalidade de chave for asymmetric- signing, um dos algoritmos compatíveis será ec-sign-p256-sha256. Para ver a lista de valores compatíveis com --default-algorithm, consulte --default- algorithm. Para saber mais sobre algoritmos de uma chave, consulte Algoritmos e finalidades de chave.
  • Defina --protection-level como software ou hsm. Você pode saber mais sobre os níveis de proteção em Níveis de proteção.
gcloud kms keys create [KEY_NAME] \
  --location [LOCATION] \
  --keyring [KEYRING_NAME] \
  --purpose [PURPOSE] \
  --default-algorithm [ALGORITHM] \
  --protection-level [PROTECTION_LEVEL]

API

Crie uma chave assimétrica chamando o método CryptoKey.create.

Quando você cria uma chave assimétrica, o estado inicial da versão da chave é geração pendente. Quando o Cloud KMS conclui a geração da versão da chave, o estado dela é alterado automaticamente para ativado. Saiba mais sobre os estados da versão de chave em Estados de chave.

Se você quer recuperar a parte da chave pública da versão da chave recém-criada, siga as instruções em Como recuperar uma chave pública.

Controle de acesso a chaves assimétricas

Um signatário ou validador exige a permissão ou o papel apropriado na chave assimétrica.

  • Para um usuário ou serviço que executará a assinatura, conceda a permissão cloudkms.cryptoKeyVersions.useToSign na chave assimétrica.

  • Para um usuário ou serviço que recuperará a chave pública, conceda cloudkms.cryptoKeyVersions.viewPublicKey na chave assimétrica. A chave pública é necessária para a validação da assinatura.

Saiba mais sobre permissões e papéis na versão do Cloud KMS em Permissões e papéis.

A seguir

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…