Cloud HSM

Dieses Thema bietet einen Überblick über Cloud HSM. Außerdem erfahren Sie, wie Sie HSM-geschützte Verschlüsselungsschlüssel in Cloud Key Management Service erstellen und verwenden.

Was ist Cloud HSM?

Cloud HSM ist ein in der Cloud gehosteter HSM-Dienst (Hardware Security Module), mit dem Sie Verschlüsselungsschlüssel hosten und kryptografische Vorgänge in einem Cluster von HSMs durchführen können, die gemäß FIPS 140-2 Level 3 zertifiziert wurden. Google verwaltet den HSM-Cluster für Sie, sodass Sie sich keine Gedanken um Clustering, Skalierung oder Patching machen müssen. Da Cloud HSM Cloud KMS als Front-End verwendet, können Sie alle Features von Cloud KMS nutzen.

Vorbereitung

Schlüsselbund erstellen

Erstellen Sie einen Schlüsselbund namens hsm-ring.

Console

  1. Rufen Sie in der GCP Console die Seite Kryptografische Schlüssel auf.

  2. Klicken Sie auf Schlüsselbund erstellen.

  3. Geben Sie im Feld Schlüsselbundname den String hsm-ring ein.

  4. Wählen Sie im Drop-down-Menü Standort eine der unterstützten Regionen für Cloud HSM aus.

  5. Klicken Sie auf Erstellen.

Befehlszeile

Erstellen Sie einen neuen Schlüsselbund mit dem Namen hsm-ring in einer der unterstützten Regionen für Cloud HSM.

gcloud kms keyrings create hsm-ring \
  --location [LOCATION]

Schlüssel erstellen

Erstellen Sie einen Schlüssel mit dem Namen hsm-key.

Console

  1. Rufen Sie in der GCP Console die Seite Kryptografische Schlüssel auf.

  2. Klicken Sie auf den Schlüsselbund mit dem Namen hsm-ring.

  3. Klicken Sie auf Schlüssel erstellen.

  4. Geben Sie im Feld Schlüsselname den String hsm-key ein.

  5. Klicken Sie auf das Drop-down-Menü Zweck und wählen Sie Symmetrisches Ver-/Entschlüsseln aus. Weitere Informationen finden Sie unter Schlüsselzwecke.

  6. Wählen Sie als Schutzniveau die Option HSM aus. Weitere Informationen finden Sie unter Schutzniveaus.

  7. [Optional] Klicken Sie im Feld Labels auf Label hinzufügen, wenn Sie Ihren Schlüssel mit Labels versehen möchten.

  8. Klicken Sie auf Erstellen.

Befehlszeile

Erstellen Sie im Schlüsselbund hsm-ring einen neuen Schlüssel mit dem Namen hsm-key.

  • Setzen Sie --purpose auf encryption. Weitere Informationen finden Sie unter Schlüsselzwecke.
  • Setzen Sie --protection-level auf hsm. Weitere Informationen finden Sie unter Schutzniveaus.
gcloud kms keys create hsm-key \
  --location [LOCATION] \
  --keyring hsm-ring \
  --purpose encryption \
  --protection-level hsm

Daten verschlüsseln

Mit dem erstellten Schlüssel können Sie Text oder binären Inhalt verschlüsseln. Generieren Sie zu verschlüsselnden Text:

echo "Some text to be encrypted" > ~/my-secret-file

Codieren Sie den Klartext in eine Datei namens my-secret-file.enc:

gcloud kms encrypt \
  --location [LOCATION] \
  --keyring hsm-ring \
  --key hsm-key \
  --plaintext-file ~/my-secret-file \
  --ciphertext-file ~/my-secret-file.enc

Geheimtext entschlüsseln

Zum Entschlüsseln von verschlüsselten Inhalten müssen Sie den gleichen Schlüssel verwenden, mit dem auch der Inhalt verschlüsselt wurde. Decodieren Sie die verschlüsselte Datei my-secret-file.enc mit dem folgenden Befehl:

gcloud kms decrypt \
  --location [LOCATION] \
  --keyring hsm-ring \
  --key hsm-key \
  --ciphertext-file ~/my-secret-file.enc \
  --plaintext-file ~/my-secret-file.dec

Sie sollten sehen, dass der Inhalt von my-secret-file.dec und der Inhalt der ursprünglichen Klartextdatei my-secret-file identisch sind:

cat ~/my-secret-file.dec
Some text to be encrypted

Bereinigen

So vermeiden Sie, dass Ihrem GCP-Konto die in dieser Anleitung verwendeten Ressourcen in Rechnung gestellt werden:

Bereinigen beinhaltet das Löschen der in diesem Thema verwendeten Schlüsselversionen.

Listen Sie die für Ihren Schlüssel verfügbaren Versionen auf:

gcloud kms keys versions list \
  --location [LOCATION] \
  --keyring hsm-ring \
  --key hsm-key

Führen Sie den folgenden Befehl aus, um eine Version zu löschen, wobei Sie [VERSION_NUMBER] durch die zu löschende Versionsnummer ersetzen:

gcloud kms keys versions destroy \
  [VERSION_NUMBER] \
  --location [LOCATION] \
  --keyring hsm-ring \
  --key hsm-key

Weitere Informationen

Bekannte Einschränkungen

  • Die Blockgröße ist auf 16.384 Byte (im Gegensatz zu 64 KiB für Cloud KMS-Softwareschlüssel) für vom Nutzer bereitgestellten Klartext und Geheimtext, einschließlich der zusätzlichen authentifizierten Daten, beschränkt.

  • Cloud HSM ist nur in bestimmten Regionen verfügbar. Weitere Informationen finden Sie unter Unterstützte Regionen für Cloud HSM.

  • Derzeit kann durch Schlüsselvorgänge für Schlüssel, die in Cloud HSM gespeichert sind, eine im Vergleich zum Verwenden von Cloud KMS-Softwareschlüsseln beträchtlich höhere Latenz hervorgerufen werden.

Wenn ein Fehler auftritt

Wenn Sie auf ein Problem stoßen, lesen Sie die Feedback-Optionen unter Support.

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...