En este tema, se describe cómo formatear tus claves para que Cloud KMS pueda importarlas como versiones de claves nuevas.
El formato correcto para tu material de clave varía según si el material de clave se importa a una clave simétrica o asimétrica. Para obtener más información sobre la diferencia entre las claves asimétricas y las asimétricas, consulta Algoritmos y propósitos de clave.
Formatos de claves compatibles
Las claves simétricas para la encriptación deben ser de 16 bytes (solo para la encriptación simétrica sin procesar) o 32 bytes de datos binarios. no debe estar codificado. Si la clave está codificada en formato hexadecimal o en base64, debes antes de intentar importarlo.
Las claves simétricas para firmar (claves MAC) deben tener una longitud igual a la longitud de salida de la función de hash criptográfica que se usa (por ejemplo, las claves HMAC-SHA256 deben tener una longitud de 32 bytes) y no se deben codificar. Si tu clave es con codificación hexadecimal o en base64, debes decodificarlo antes de intentar importar que la modifica.
Las claves asimétricas para encriptación o firma deben estar en formato PKCS #8 y deben estar codificadas en DER. El formato PCKS #8 se define en RFC 5208. La codificación DER se define en Unión Internacional de Telecomunicaciones X.680. Las claves asimétricas deben usar una de las combinaciones de longitud y algoritmo compatibles con Cloud KMS.
Algunos aspectos de una clave, como su longitud, no se pueden cambiar después de la creación de la clave. En estos casos, la clave no se puede importar a Cloud KMS.
Verifica una clave simétrica
Usa el comando wc para verificar la longitud de una clave simétrica.
wc -c /path/to/unwrapped-key
No puedes importar una clave de encriptación simétrica con una longitud distinta de 32.
Las claves de firma simétricas (claves MAC) deben tener una longitud igual a la del resultado longitud de la función hash de criptografía que se usa (p.ej., claves HMAC-SHA256 debe tener una longitud de 32 bytes).
Usa el comando file para verificar el formato de una clave.
file /path/to/unwrapped-key
Si el resultado es
data, la clave está en el formato correcto para ser importada.Si el resultado es
ASCII text, usa el comandocatpara mostrar el contenido del archivo.Si es una cadena de letras y números que termina con un signo
=, podría estar codificado en base64. Usa el comandobase64(Base64.exeen Windows) para: y decodificarlo. A continuación, se muestra un ejemplo de una clave codificada en base64:THzArjassB+giKeNeT1Zr74OgV24t+Ep+37Ec6ojB3Y=
Si contiene una o más líneas de números hexadecimales, puede con codificación hexadecimal. Usa el comando
xxd(oFormat-HexComando de PowerShell en Windows) para decodificarlo. El siguiente es un ejemplo de una codificación hexadecimal clave:00000000: 4c7c c0ae 36ac b01f a088 a78d 793d 59af L|..6.......y=Y. 00000010: be0e 815d b8b7 e129 fb7e c473 aa23 0776 ...]...).~.s.#.v
Si contiene algún otro texto, es posible que no sea una clave simétrica válida.
Cómo formatear claves asimétricas
Claves asimétricas que usan cualquiera de los algoritmos compatibles que un usuario puede importar. En la práctica, es difícil determinar de forma retroactiva el algoritmo que se usó para crear una clave asimétrica. Por ese motivo, te recomendamos lo siguiente: ejecuta los siguientes comandos en cada clave asimétrica antes de intentar impórtalos a Cloud KMS.
Usa el comando
filepara verificar el formato de una clave.file /path/to/unwrapped-key
Si el resultado es
PEM, la clave está en formato PEM. Si esASCII text, probablemente esté en formato PEM. En cualquier caso, ejecuta el siguiente comando: para convertirlo al formato DER PCKS#8:openssl pkcs8 -topk8 -nocrypt -inform PEM -outform DER \ -in /path/to/asymmetric-key-pem \ -out /path/to/formatted-keySi el resultado es
data, es probable que la clave esté en formato DER, pero Es posible que no estén en formato PKCS n.o 8. Ejecuta el siguiente comando para asegurarte de que de que la clave esté en el formato correcto. El comando no tiene efecto si la clave ya está en el formato correcto. En ese caso, puedes usardiffpara verificar que los archivos de entrada y de salida sean idénticos.openssl pkcs8 -topk8 -nocrypt -inform DER -outform DER \ -in /path/to/asymmetric-key-der \ -out /path/to/formatted-key
Soluciona problemas
Si ejecutas los comandos anteriores y crees que la clave está en un pero la importación sigue fallando, verificar si hay errores en la consola de Google Cloud y luego, consulta Error de solución de problemas más recientes.
¿Qué sigue?
- Continúa a la sección Importa una versión de clave.
- Obtén más información sobre la importación de claves.