Schlüsselimport

In diesem Thema werden konzeptionelle Informationen zum Importieren von Schlüsseln als neue Schlüsselversionen in Cloud Key Management Service behandelt. Eine detaillierte Anleitung finden Sie unter Schlüsselversion importieren.

Einführung

Möglicherweise verwenden Sie vorhandene kryptografische Schlüssel, die lokal oder in einem externen Schlüsselverwaltungssystem erstellt wurden. Wenn Sie eine Anwendung zu Google Cloud migrieren oder einer vorhandenen Google Cloud-Anwendung kryptografische Unterstützung hinzufügen, können Sie die entsprechenden Schlüssel in Cloud KMS importieren.

  • Sie können Daten in Cloud HSM-Schlüssel oder -Softwareschlüssel in Cloud KMS importieren.
  • Zum Schutz bei der Übertragung wird das Schlüsselmaterial verpackt. Sie können den Schlüssel mit der Google Cloud CLI automatisch verpacken oder den Schlüssel manuell verpacken.
  • Google Cloud hat nur im Bereich des Importjobs Zugriff auf den Verpackungsschlüssel. Bei Cloud HSM-Schlüsseln befindet sich der Verpackungsschlüssel nie außerhalb von Cloud HSM.

Dieses Thema enthält Informationen zu Einschränkungen und Anforderungen für den Import von Schlüsseln sowie einen Überblick darüber, wie Sie einen Schlüssel importieren.

Beschränkungen und Anforderungen

Lesen Sie diese Abschnitte, um sicherzustellen, dass Ihre Schlüssel in Cloud KMS- oder Cloud HSM-Schlüssel importiert werden können.

Unterstützte Schlüsselformate

  • Symmetrische Schlüssel für die Verschlüsselung müssen 16 Byte (nur für rohe symmetrische Verschlüsselung) oder 32 Byte Binärdaten betragen und dürfen nicht codiert sein. Wenn Ihr Schlüssel hex- oder base64-codiert ist, müssen Sie ihn vor dem Import decodieren.

  • Symmetrische Schlüssel zum Signieren (MAC-Schlüssel) müssen eine Länge haben, die der Ausgabelänge der verwendeten kryptografischen Hash-Funktion entspricht, (z. B. HMAC-SHA256-Schlüssel müssen eine Länge von 32 Byte haben) und dürfen nicht codiert sein. Wenn Ihr Schlüssel hexadezimal oder base64-codiert ist, müssen Sie ihn vor dem Import decodieren.

  • Asymmetrische Schlüssel für die Verschlüsselung oder Signierung müssen im PKCS #8-Format vorliegen und DER-codiert sein. Das PCKS #8-Format ist in RFC5208 definiert. Die DER-Codierung ist in der International Tel Nachrichten Union X.680 definiert. Asymmetrische Schlüssel müssen eine der von Cloud KMS unterstützten Längen- und Algorithmuskombinationen verwenden.

Einige Aspekte eines Schlüssels, z. B. die Länge des Schlüssels, können nach der Erstellung des Schlüssels nicht mehr geändert werden. In diesen Fällen kann der Schlüssel nicht in Cloud KMS importiert werden.

Informationen zum Überprüfen und Neuformatieren Ihres Schlüssels für den Import finden Sie unter Schlüssel für den Import formatieren.

Unterstützte Schutzniveaus

Sie können einen Schlüssel entweder in einen Cloud KMS-Schlüssel oder einen Cloud HSM-Schlüssel importieren. Dazu setzen Sie das Schutzniveau des Schlüssels auf SOFTWARE oder HSM. Für Cloud HSM-Schlüssel fallen zusätzliche Kosten an. Der Import in einen Cloud External Key Manager-Schlüssel (einen Schlüssel mit dem Schutzniveau EXTERNAL) ist nicht möglich.

Unterstützte Größen für den Verpackungsschlüssel

Wenn Sie einen Importjob erstellen, können Sie die Größe des zu verpackenden Schlüssels steuern, der zum Schutz Ihres Schlüssels bei der Übertragung an Google verwendet wird, indem Sie die Importmethode des Importjobs konfigurieren. Die Standardgröße für den zu verpackenden Schlüssel ist 3072. Wenn Sie bestimmte Anforderungen haben, können Sie den Importjob so konfigurieren, dass stattdessen ein 4096-Bit-Schlüssel verwendet wird.

Hier gibt es weitere Informationen zu den Algorithmen für das Verpacken des Schlüssels und zum Konfigurieren eines Importjobs.

So importieren Sie Schlüssel

In diesem Abschnitt wird erläutert, was beim Importieren eines Schlüssels geschieht. Einige Teile des Ablaufs unterscheiden sich, wenn Sie das automatische Verpacken verwenden oder den Schlüssel manuell verpacken. Es wird empfohlen, das automatische Wrapping zu verwenden. Eine genaue Anleitung finden Sie unter Schlüsselversion importieren. Eine genaue Anleitung zum manuellen Verpacken Ihres Schlüssels vor dem Import finden Sie unter Schlüssel mit OpenSSL unter Linux verpacken.

Das folgende Diagramm veranschaulicht den Schlüsselimportprozess unter Verwendung des automatischen Schlüsselverpackens. Die im Diagramm gezeigten Phasen werden in diesem Abschnitt beschrieben.

In diesem Abschnitt beschriebener Importvorgang

  1. Bereiten Sie sich auf den Import von Schlüsseln vor.

    1. Erstellen Sie zuerst einen Zielschlüsselring und einen Zielschlüssel, die schließlich den Importjob und das importierte Schlüsselmaterial enthalten. An dieser Stelle enthält der Zielschlüssel keine Schlüsselversionen.

    2. Als Nächstes erstellen Sie einen Importjob. Der Importjob definiert den Zielschlüsselbund und den Schlüssel für das importierte Schlüsselmaterial. Der Importjob definiert auch die Importmethode. Dabei handelt es sich um den Algorithmus, mit dem der zu verpackende Schlüssel erstellt wird, der das Schlüsselmaterial bei Importanfragen schützt.

      • Der öffentliche Schlüssel wird verwendet, um den Schlüssel zu verpacken, der in den Client importiert werden soll.
      • Der private Schlüssel wird in Google Cloud gespeichert und zum Entpacken des Schlüssels verwendet, sobald er das Google Cloud-Projekt erreicht.

      Diese Trennung verhindert, dass Google Ihr Schlüsselmaterial außerhalb des Bereichs des Importjobs entpacken kann.

    3. Der Schlüssel muss kryptografisch verpackt werden, bevor er an Google gesendet wird. Die meisten Nutzer können die gcloud CLI verwenden, um den Schlüssel automatisch zu verpacken, zu übertragen und zu importieren, wie im nächsten Schritt beschrieben. Wenn Sie Compliance- oder regulatorische Anforderungen für die manuelle Verpackung des Schlüssels haben, können Sie dies jetzt tun. So verpacken Sie den Schlüssel manuell auf dem lokalen System:

      1. OpenSSL konfigurieren
      2. Laden Sie einmal pro Importjob den damit verknüpften Verpackungsschlüssel herunter.
      3. Legen Sie einmal pro Schlüssel einige Umgebungsvariablen fest und verpacken Sie den Schlüssel.
  2. Bis zu drei Tage lang können Sie mit ihm Importanfragen stellen, um einen oder mehrere Schlüssel zu importieren. Während einer Importanfrage:

    1. Wenn der Schlüssel nicht manuell verpackt wurde, lädt die Google Cloud CLI den öffentlichen Schlüssel des Importjobs aus Google Cloud auf das lokale System herunter und verwendet ihn dann zusammen mit einem privaten Schlüssel, der dem Client zugeordnet ist, um das lokale Schlüsselmaterial zu verpacken.
    2. Das verpackte Schlüsselmaterial wird an das Google Cloud-Projekt übertragen.
    3. Das Schlüsselmaterial wird mit dem privaten Schlüssel des Importjobs entpackt und als neue Version des Zielschlüssels in den Zielschlüsselring eingefügt. Dies ist ein atomarer Vorgang.
    4. Bei symmetrischen Schlüsseln legen Sie die importierte Schlüsselversion als Primärschlüsselversion fest.

Nachdem die Importanfrage erfolgreich abgeschlossen wurde, können Sie die importierte Schlüsselversion verwenden, um Daten in Google Cloud zu schützen.

Nächste Schritte