Dieses Thema bietet einen Überblick über Cloud HSM. Außerdem erfahren Sie, wie Sie HSM-geschützte Verschlüsselungsschlüssel in Cloud Key Management Service erstellen und verwenden.
Was ist Cloud HSM?
Cloud HSM ist ein in der Cloud gehosteter HSM-Dienst (Hardware Security Module), mit dem Sie Verschlüsselungsschlüssel hosten und kryptografische Abläufe in einem Cluster von zertifizierten HSMs auf FIPS 140-2 Level 3 durchführen können. Google verwaltet den HSM-Cluster für Sie, sodass Sie sich keine Gedanken über Clustering, Skalierung oder Patching machen müssen. Da Cloud HSM Cloud KMS als Front-End verwendet, können Sie alle Features von Cloud KMS nutzen.
Schlüsselbund erstellen
Wenn Sie einen Schlüssel erstellen, fügen Sie ihn einem Schlüsselbund an einem bestimmten Google Cloud-Speicherort hinzu. Sie können einen neuen Schlüsselbund erstellen oder einen vorhandenen verwenden. In diesem Thema erstellen Sie einen neuen Schlüsselbund und fügen ihm einen neuen Schlüssel hinzu.
Erstellen Sie einen Schlüsselbund an einem Google Cloud-Standort, der Cloud HSM unterstützt.
Console
Rufen Sie in der Cloud Console die Seite Kryptografische Schlüsselbunde auf.
Klicken Sie auf KeyRing erstellen.
Geben Sie im Feld Schlüsselbundname den gewünschten Namen für den Schlüsselbund ein.
Wählen Sie im Drop-down-Menü Schlüsselbundort einen Standort wie
"us-east1"aus.Klicken Sie auf Erstellen.
gcloud
Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst Cloud SDK installieren oder ein Upgrade ausführen.
gcloud kms keyrings create key-ring \
--location location
Geben Sie für key-ring einen Namen für die Schlüsselbund an. Ersetzen Sie location durch den Cloud KMS-Standort für den Schlüsselbund und seine Schlüssel.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
API
In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.
curl "https://cloudkms.googleapis.com/v1/projects/project-id/locations/location-id/keyRings" \
--request "POST" \
--header "authorization: Bearer token" \
--header "content-type: application/json" \
--header "x-goog-user-project: project-id" \
--data "{\"name\": {\"key-ring-name\": {}}}"
Weitere Informationen finden Sie in der KeyRing.create API-Dokumentation.
Schlüssel erstellen
Führen Sie die folgenden Schritte aus, um einen Cloud HSM-Schlüssel für den angegebenen Schlüsselbund und Speicherort zu erstellen.
Console
Rufen Sie in der Cloud Console die Seite Kryptografische Schlüsselbunde auf.
Klicken Sie auf den Namen des Schlüsselbunds, für den Sie einen Schlüssel erstellen.
Klicken Sie auf Schlüssel erstellen.
Wählen Sie unter Welchen Schlüsseltyp möchten Sie erstellen? die Option Generierter Schlüssel aus.
Geben Sie im Feld Schlüsselname einen Namen für den Schlüssel ein.
Klicken Sie auf das Drop-down-Menü Schutzniveau und wählen Sie HSM aus.
Klicken Sie auf das Drop-down-Menü Zweck und wählen Sie Symmetrisches Verschlüsseln/Entschlüsseln aus.
Übernehmen Sie für Rotationszeitraum und Ab dem die Standardwerte.
Klicken Sie auf Erstellen.
gcloud
Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst Cloud SDK installieren oder ein Upgrade ausführen.
gcloud kms keys create key \
--keyring key-ring \
--location location \
--purpose "encryption" \
--protection-level "hsm"
Geben Sie für key einen Namen für den neuen Schlüssel an. Ersetzen Sie key-ring durch den Namen des vorhandenen Schlüsselbunds, in dem sich der Schlüssel befinden wird. Ersetzen Sie location durch den Cloud KMS-Speicherort für den Schlüsselbund.
Für Informationen zu allen Flags und den möglichen Werten führen Sie den Befehl mit dem Flag --help aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
Daten verschlüsseln
Mit dem erstellten Schlüssel können Sie Text oder binären Inhalt verschlüsseln.
gcloud
Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst Cloud SDK installieren oder ein Upgrade ausführen.
gcloud kms encrypt \
--key key \
--keyring key-ring \
--location location \
--plaintext-file file-with-data-to-encrypt \
--ciphertext-file file-to-store-encrypted-data
Ersetzen Sie key durch den Namen des Schlüssels, der für die Verschlüsselung verwendet werden soll. Ersetzen Sie key-ring durch den Namen des Schlüsselbunds, in dem sich der Schlüssel befindet. Ersetzen Sie location durch den Cloud KMS-Speicherort mit dem Schlüsselbund. Ersetzen Sie file-with-data-to-encrypt und file-to-store-encrypted-data durch die lokalen Dateipfade, um die Klartextdaten zu lesen und die verschlüsselte Ausgabe zu speichern.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
API
In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.
Wenn Sie JSON und die REST API verwenden, müssen Inhalte mit base-64 codiert sein, bevor sie von Cloud KMS verschlüsselt werden können.
Erstellen Sie eine POST-Anfrage und geben Sie die entsprechenden Projekt- und Schlüsselinformationen an. Außerdem geben Sie den zu verschlüsselnden base64-codierten Text im Feld plaintext des Anfragetexts an, um Daten zu verschlüsseln.
curl "https://cloudkms.googleapis.com/v1/projects/project-id/locations/location/keyRings/key-ring-name/cryptoKeys/key-name:encrypt" \
--request "POST" \
--header "authorization: Bearer token" \
--header "content-type: application/json" \
--data "{\"plaintext\": \"base64-encoded-input\"}"
Hier ein Beispiel für eine Nutzlast mit base64-codierten Daten:
{
"plaintext": "U3VwZXIgc2VjcmV0IHRleHQgdGhhdCBtdXN0IGJlIGVuY3J5cHRlZAo=",
}
Geheimtext entschlüsseln
Zum Entschlüsseln von verschlüsselten Inhalten müssen Sie den gleichen Schlüssel verwenden, mit dem auch der Inhalt verschlüsselt wurde.
gcloud
Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst Cloud SDK installieren oder ein Upgrade ausführen.
gcloud kms decrypt \
--key key \
--keyring key-ring \
--location location \
--ciphertext-file file-path-with-encrypted-data \
--plaintext-file file-path-to-store-plaintext
Ersetzen Sie key durch den Namen des Schlüssels, der für die Entschlüsselung verwendet werden soll. Ersetzen Sie key-ring durch den Namen des Schlüsselbunds, in dem sich der Schlüssel befindet. Ersetzen Sie location durch den Cloud KMS-Speicherort für den Schlüsselbund. Ersetzen Sie file-path-with-encrypted-data und file-path-to-store-plaintext durch die lokalen Dateipfade, um die verschlüsselten Daten zu lesen und die entschlüsselte Ausgabe zu speichern.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
API
In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.
Der vom Cloud KMS im JSON-Dokument zurückgegebene entschlüsselte Text ist Base64-codiert.
Erstellen Sie eine POST-Anforderung und geben Sie das entsprechende Projekt und die Schlüsselinformationen sowie den verschlüsselten Text im Feld ciphertext des Anfragetexts an, um verschlüsselte Daten zu entschlüsseln.
curl "https://cloudkms.googleapis.com/v1/projects/project-id/locations/location/keyRings/key-ring-name/cryptoKeys/key-name:decrypt" \
--request "POST" \
--header "authorization: Bearer token" \
--header "content-type: application/json" \
--data "{\"ciphertext\": \"encrypted-content\"}"
Hier ein Beispiel für eine Nutzlast mit base64-codierten Daten:
{
"ciphertext": "CiQAhMwwBo61cHas7dDgifrUFs5zNzBJ2uZtVFq4ZPEl6fUVT4kSmQ...",
}
Nächste Schritte
Beim Verschlüsselungsbeispiel in diesem Thema wurde ein symmetrischer Schlüssel mit dem Schutzniveau HSM verwendet. Führen Sie die Schritte unter Daten mit einem asymmetrischen Schlüssel verschlüsseln und entschlüsseln mit diesen Änderungen aus, um eine Codierung mit einem asymmetrischen Schlüssel mit dem Schutzniveau HSM durchzuführen:
- Erstellen Sie den Schlüsselbund in einer der unterstützten Regionen für Cloud HSM.
- Erstellen Sie den Schlüssel mit dem Schutzniveau HSM.
Folgen Sie der Anleitung unter Signaturen erstellen und überprüfen mit diesen Änderungen, um einen asymmetrischen Schlüssel mit dem Schutzniveau HSM für Elliptische-Kurven-Signaturen oder RSA-Signaturen zu verwenden:
- Erstellen Sie den Schlüsselbund in einer der unterstützten Regionen für Cloud HSM.
- Erstellen Sie den Schlüssel mit dem Schutzniveau HSM.
Mit der Verwendung der API beginnen.
Die Cloud KMS API-Referenz ansehen.
Anleitungen zu den ersten Schritten beim Erstellen und Rotieren von Schlüsseln und beim Einrichten von Berechtigungen lesen.
Mehr über die Konzepte Objekthierarchie, Schlüsselstatus und Schlüsselrotation erfahren.
Weitere Informationen zu Logging in Cloud KMS. Beachten Sie, dass das Logging auf Vorgängen basiert und für Schlüssel mit beiden Schutzniveaus, HSM und SOFTWARE, gilt.
Bekannte Einschränkungen
Die Blockgröße ist auf 16.384 Byte (im Gegensatz zu 64 KiB für Cloud KMS-Softwareschlüssel) für vom Nutzer bereitgestellten Klartext und Geheimtext, einschließlich der zusätzlichen authentifizierten Daten, beschränkt.
Cloud HSM ist möglicherweise in bestimmten Multi- oder Dual-Regionen nicht verfügbar. Weitere Informationen finden Sie unter Unterstützte Regionen für Cloud HSM.
Wenn Sie Cloud HSM-Schlüssel mit Integrationen für vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Key integrations, CMEK-Integrationen) in anderen Google Cloud-Diensten verwenden, müssen die Standorte, die Sie für die Dienste verwenden, genau mit den Speicherorten Ihrer Cloud HSM-Schlüssel übereinstimmen. Dies gilt für regionale, dualregionale und multiregionale Standorte.
Weitere Informationen zu CMEK-Integrationen finden Sie im entsprechenden Abschnitt des Artikels Verschlüsselung inaktiver Daten.
Derzeit kann durch Schlüsselvorgänge für asymmetrische Schlüssel, die in Cloud HSM gespeichert sind, eine im Vergleich zum Verwenden von Cloud KMS-Softwareschlüsseln beträchtlich höhere Latenz hervorgerufen werden.
Gehostete private HSMs
Google Cloud bietet zusätzliche HSM-Optionen, z. B. die Nutzung durch einen einzelnen Mandanten. Gehostetes Privates HSM steht Kunden zur Verfügung, um ihre eigenen HSMs in dem von Google bereitgestellten Bereich zu hosten. Weitere Informationen erhalten Sie von Ihrem Kundenbetreuer.