Dieses Thema bietet einen Überblick über Cloud HSM. Außerdem erfahren Sie, wie Sie HSM-geschützte Verschlüsselungsschlüssel in Cloud Key Management Service erstellen und verwenden.
Was ist Cloud HSM?
Cloud HSM ist ein in der Cloud gehosteter HSM-Dienst (Hardware Security Module), mit dem Sie Verschlüsselungsschlüssel hosten und kryptografische Vorgänge in einem Cluster von HSMs durchführen können, die gemäß FIPS 140-2 Level 3 zertifiziert wurden. Google verwaltet den HSM-Cluster für Sie, sodass Sie sich keine Gedanken um Clustering, Skalierung oder Patching machen müssen. Da Cloud HSM Cloud KMS als Front-End verwendet, können Sie alle Features von Cloud KMS nutzen.
Vorbereitung
- Falls noch nicht geschehen, aktivieren Sie die Abrechnung für Ihr Projekt.
Schlüsselbund erstellen
Erstellen Sie einen Schlüsselbund namens hsm-ring.
Console
Rufen Sie in der GCP Console die Seite Kryptografische Schlüssel auf.
Klicken Sie auf Schlüsselbund erstellen.
Geben Sie im Feld Schlüsselbundname den String hsm-ring ein.
Wählen Sie im Drop-down-Menü Standort eine der unterstützten Regionen für Cloud HSM aus.
Klicken Sie auf Erstellen.
Befehlszeile
Erstellen Sie einen neuen Schlüsselbund mit dem Namen hsm-ring in einer der unterstützten Regionen für Cloud HSM.
gcloud kms keyrings create hsm-ring \
--location [LOCATION]
Schlüssel erstellen
Erstellen Sie einen Schlüssel mit dem Namen hsm-key.
Console
Rufen Sie in der GCP Console die Seite Kryptografische Schlüssel auf.
Klicken Sie auf den Schlüsselbund mit dem Namen
hsm-ring.Klicken Sie auf Schlüssel erstellen.
Geben Sie im Feld Schlüsselname den String hsm-key ein.
Klicken Sie auf das Drop-down-Menü Zweck und wählen Sie Symmetrisches Ver-/Entschlüsseln aus. Weitere Informationen finden Sie unter Schlüsselzwecke.
Wählen Sie als Schutzniveau die Option HSM aus. Weitere Informationen finden Sie unter Schutzniveaus.
[Optional] Klicken Sie im Feld Labels auf Label hinzufügen, wenn Sie Ihren Schlüssel mit Labels versehen möchten.
Klicken Sie auf Erstellen.
Befehlszeile
Erstellen Sie im Schlüsselbund hsm-ring einen neuen Schlüssel mit dem Namen hsm-key.
- Setzen Sie
--purposeaufencryption. Weitere Informationen finden Sie unter Schlüsselzwecke. - Setzen Sie
--protection-levelaufhsm. Weitere Informationen finden Sie unter Schutzniveaus.
gcloud kms keys create hsm-key \
--location [LOCATION] \
--keyring hsm-ring \
--purpose encryption \
--protection-level hsm
Daten verschlüsseln
Mit dem erstellten Schlüssel können Sie Text oder binären Inhalt verschlüsseln. Generieren Sie zu verschlüsselnden Text:
echo "Some text to be encrypted" > ~/my-secret-file
Codieren Sie den Klartext in eine Datei namens my-secret-file.enc:
gcloud kms encrypt \
--location [LOCATION] \
--keyring hsm-ring \
--key hsm-key \
--plaintext-file ~/my-secret-file \
--ciphertext-file ~/my-secret-file.enc
Geheimtext entschlüsseln
Zum Entschlüsseln von verschlüsselten Inhalten müssen Sie den gleichen Schlüssel verwenden, mit dem auch der Inhalt verschlüsselt wurde. Decodieren Sie die verschlüsselte Datei my-secret-file.enc mit dem folgenden Befehl:
gcloud kms decrypt \
--location [LOCATION] \
--keyring hsm-ring \
--key hsm-key \
--ciphertext-file ~/my-secret-file.enc \
--plaintext-file ~/my-secret-file.dec
Sie sollten sehen, dass der Inhalt von my-secret-file.dec und der Inhalt der ursprünglichen Klartextdatei my-secret-file identisch sind:
cat ~/my-secret-file.dec
Some text to be encrypted
Bereinigen
So vermeiden Sie, dass Ihrem GCP-Konto die in dieser Anleitung verwendeten Ressourcen in Rechnung gestellt werden:
Bereinigen beinhaltet das Löschen der in diesem Thema verwendeten Schlüsselversionen.
Listen Sie die für Ihren Schlüssel verfügbaren Versionen auf:
gcloud kms keys versions list \
--location [LOCATION] \
--keyring hsm-ring \
--key hsm-key
Führen Sie den folgenden Befehl aus, um eine Version zu löschen, wobei Sie [VERSION_NUMBER] durch die zu löschende Versionsnummer ersetzen:
gcloud kms keys versions destroy \
[VERSION_NUMBER] \
--location [LOCATION] \
--keyring hsm-ring \
--key hsm-key
Weitere Informationen
Beim Verschlüsselungsbeispiel in diesem Thema wurde ein symmetrischer Schlüssel mit dem Schutzniveau HSM verwendet. Führen Sie die Schritte unter Daten mit einem asymmetrischen Schlüssel verschlüsseln und entschlüsseln mit diesen Änderungen aus, um eine Codierung mit einem asymmetrischen Schlüssel mit dem Schutzniveau HSM durchzuführen:
- Erstellen Sie den Schlüsselbund in einer der unterstützten Regionen für Cloud HSM.
- Erstellen Sie den Schlüssel mit dem Schutzniveau HSM.
Folgen Sie der Anleitung unter Signaturen erstellen und überprüfen mit diesen Änderungen, um einen asymmetrischen Schlüssel mit dem Schutzniveau HSM für Elliptische-Kurven-Signaturen oder RSA-Signaturen zu verwenden:
- Erstellen Sie den Schlüsselbund in einer der unterstützten Regionen für Cloud HSM.
- Erstellen Sie den Schlüssel mit dem Schutzniveau HSM.
Mit der Verwendung der API beginnen.
Die Cloud KMS API-Referenz ansehen.
Anleitungen zu den ersten Schritten beim Erstellen und Rotieren von Schlüsseln und beim Einrichten von Berechtigungen lesen.
Mehr über die Konzepte Objekthierarchie, Schlüsselstatus und Schlüsselrotation erfahren.
Mehr über Logging in Cloud KMS erfahren. Beachten Sie, dass das Logging auf Vorgängen basiert und für Schlüssel mit beiden Schutzniveaus, HSM und SOFTWARE, gilt.
Bekannte Einschränkungen
Die Blockgröße ist auf 16.384 Byte (im Gegensatz zu 64 KiB für Cloud KMS-Softwareschlüssel) für vom Nutzer bereitgestellten Klartext und Geheimtext, einschließlich der zusätzlichen authentifizierten Daten, beschränkt.
Cloud HSM ist nur in bestimmten Regionen verfügbar. Weitere Informationen finden Sie unter Unterstützte Regionen für Cloud HSM.
Derzeit kann durch Schlüsselvorgänge für Schlüssel, die in Cloud HSM gespeichert sind, eine im Vergleich zum Verwenden von Cloud KMS-Softwareschlüsseln beträchtlich höhere Latenz hervorgerufen werden.
Wenn ein Fehler auftritt
Wenn Sie auf ein Problem stoßen, lesen Sie die Feedback-Optionen unter Support.
