Questo argomento fornisce informazioni sulla creazione e sull'utilizzo di una chiave per la crittografia asimmetrica con una chiave RSA. Se vuoi utilizzare chiavi asimmetriche per creare e convalidare le firme, consulta Creazione e convalida delle firme digitali. Se vuoi utilizzare chiavi simmetriche per la crittografia e la decriptazione, consulta Crittografia e decriptazione dei dati.
La crittografia asimmetrica utilizza la parte della chiave pubblica della chiave asimmetrica, mentre la decrittografia utilizza la parte della chiave privata della chiave. Cloud Key Management Service offre funzionalità per recuperare la chiave pubblica e funzionalità per decriptare il testo crittografato che è stato criptato con la chiave pubblica. Cloud KMS non consente l'accesso diretto alla chiave privata.
Prima di iniziare
Questo argomento fornisce esempi da eseguire nella riga di comando. Per semplificare l'utilizzo degli esempi, utilizza Cloud Shell. L'esempio di crittografia utilizza OpenSSL, che è preinstallato su Cloud Shell.
Crea una chiave asimmetrica con lo scopo principale di
ASYMMETRIC_DECRYPT
. Per verificare quali algoritmi sono supportati per lo scopo delle chiaviASYMMETRIC_DECRYPT
, consulta Algoritmi di crittografia asimmetrica. Non puoi seguire questa procedura con una chiave con scopoASYMMETRIC_SIGN
.Se utilizzerai la riga di comando, installa OpenSSL, se non lo hai già. Se utilizzi Cloud Shell, OpenSSL è già installato.
- Utenti di MacOS: la versione di OpenSSL installata su macOS non supporta i flag utilizzati per decriptare i dati in questo argomento. Per seguire questi passaggi su macOS, installa OpenSSL da Homebrew.
Controllo dell'accesso alla chiave
Per un utente o un servizio che recupererà la chiave pubblica, concedi l'autorizzazione
cloudkms.cryptoKeyVersions.viewPublicKey
sulla chiave asimmetrica. La chiave pubblica è necessaria per la crittografia dei dati.Per un utente o un servizio che decripta i dati criptati con la chiave pubblica, concedi l'autorizzazione
cloudkms.cryptoKeyVersions.useToDecrypt
per la chiave asimmetrica.
Per saperne di più sulle autorizzazioni e sui ruoli in Cloud KMS, consulta Autorizzazioni e ruoli.
Cripta i dati
Per criptare i dati utilizzando una chiave di crittografia asimmetrica, recupera la chiave pubblica e utilizza la chiave pubblica per criptarli.
gcloud
Questo esempio richiede l'installazione di OpenSSL sul tuo sistema locale.
Scarica chiave pubblica
Scarica la chiave pubblica:
gcloud kms keys versions get-public-key key-version \ --key key \ --keyring key-ring \ --location location \ --output-file public-key-path
Sostituisci key-version con la versione della chiave che contiene la chiave pubblica. Sostituisci key con il nome della chiave. Sostituisci key-ring con il nome del keyring in cui si trova la chiave. Sostituisci location con la località di Cloud KMS per il keyring. Sostituisci public-key-path con la posizione per salvare la chiave pubblica nel sistema locale.
Cripta i dati
Cripta i dati utilizzando la chiave pubblica appena scaricata e salva l'output in un file:
openssl pkeyutl -in cleartext-data-input-file \ -encrypt \ -pubin \ -inkey public-key-path \ -pkeyopt rsa_padding_mode:oaep \ -pkeyopt rsa_oaep_md:sha256 \ -pkeyopt rsa_mgf1_md:sha256 \ > encrypted-data-output-file
Sostituisci cleartext-data-input-file con il percorso e il nome del file da criptare.
Sostituisci public-key-path con il percorso e il nome del file in cui hai scaricato la chiave pubblica.
Sostituisci encrypted-data-output-file con il percorso e il nome del file per salvare i dati criptati.
C#
Per eseguire questo codice, prima configura un ambiente di sviluppo C# e installa l'SDK C# di Cloud KMS.
Go
Per utilizzare Cloud KMS nella riga di comando, devi prima installare o eseguire l'upgrade alla versione più recente di Google Cloud CLI.
Java
Per eseguire questo codice, prima configura un ambiente di sviluppo Java e installa l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, prima configura un ambiente di sviluppo Node.js e installa l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri innanzitutto come utilizzare PHP su Google Cloud e installare l'SDK PHP di Cloud KMS.
Python
Per eseguire questo codice, prima configura un ambiente di sviluppo Python e installa l'SDK Python di Cloud KMS.
Ruby
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Ruby e poi installare l'SDK Ruby di Cloud KMS.
Decripta i dati
Utilizza Cloud KMS per eseguire la decrittografia.
gcloud
Per utilizzare Cloud KMS nella riga di comando, devi prima installare o eseguire l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms asymmetric-decrypt \ --version key-version \ --key key \ --keyring key-ring \ --location location \ --ciphertext-file file-path-with-encrypted-data \ --plaintext-file file-path-to-store-plaintext
Sostituisci key-version con la versione della chiave oppure ometti il flag --version
per rilevare automaticamente la versione. Sostituisci key con il nome della chiave da utilizzare per la decrittografia. Sostituisci key-ring con il nome del keyring in cui si troverà la chiave. Sostituisci location con la località di Cloud KMS per il keyring. Sostituisci file-path-with-encrypted-data e file-path-to-store-plaintext con i percorsi dei file locali per la lettura dei dati criptati e il salvataggio dell'output decriptato.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
Per visualizzare i contenuti del file decriptato, aprilo nell'editor o nel terminale. Ecco un esempio che mostra il contenuto del file utilizzando il comando cat
:
cat ./my-file.txt
C#
Per eseguire questo codice, prima configura un ambiente di sviluppo C# e installa l'SDK C# di Cloud KMS.
Go
Per eseguire questo codice, prima configura un ambiente di sviluppo Go e installa l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, prima configura un ambiente di sviluppo Java e installa l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, prima configura un ambiente di sviluppo Node.js e installa l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri innanzitutto come utilizzare PHP su Google Cloud e installare l'SDK PHP di Cloud KMS.
Python
Per eseguire questo codice, prima configura un ambiente di sviluppo Python e installa l'SDK Python di Cloud KMS.
Ruby
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Ruby e poi installare l'SDK Ruby di Cloud KMS.
API
In questi esempi viene utilizzato curl come client HTTP per dimostrare l'utilizzo dell'API. Per maggiori informazioni sul controllo dell'accesso, consulta Accesso all'API Cloud KMS.
Utilizza il metodo CryptoKeyVersions.asymmetricDecrypt
.
Risoluzione dei problemi
incorrect key purpose: ASYMMETRIC_SIGN
Puoi decriptare i dati solo con una chiave con scopo della chiave ASYMMETRIC_DECRYPT
.
invalid parameter
durante la decrittografia su macOS
La versione di OpenSSL installata su macOS non supporta i flag utilizzati per decriptare i dati in questo argomento. Per seguire questi passaggi su macOS, installa OpenSSL da Homebrew.
data too large for key size
La dimensione massima del payload per la decrittografia RSA dipende dalle dimensioni della chiave e dall'algoritmo di spaziatura interna. Tutti i formati di crittografia RSA utilizzati da Cloud KMS utilizzano OAEP, standardizzato in RFC 2437. Come riferimento rapido, i seguenti algoritmi supportano le seguenti dimensioni massime dei payload (maxMLen
, in byte):
Algoritmo | Parametri | Lunghezza massima del messaggio |
---|---|---|
RSA_DECRYPT_OAEP_2048_SHA256 | k = 256; hLen = 32; | maxMLen = 190 |
RSA_DECRYPT_OAEP_3072_SHA256 | k = 384; hLen = 32; | maxMLen = 318 |
RSA_DECRYPT_OAEP_4096_SHA256 | k = 512; hLen = 32; | maxMLen = 446 |
RSA_DECRYPT_OAEP_4096_SHA512 | k = 512; hLen = 64; | maxMLen = 382 |
La crittografia asimmetrica non è consigliata per i messaggi di diversa lunghezza che potrebbero essere superiori a questi limiti. Valuta la possibilità di utilizzare la crittografia ibrida. Tink è una libreria crittografica che utilizza questo approccio.