Halaman ini diterjemahkan oleh Cloud Translation API.

Impor kunci

Topik ini membahas informasi konseptual tentang cara mengimpor kunci ke Cloud Key Management Service sebagai versi kunci baru. Untuk mengetahui petunjuk langkah demi langkah, lihat mengimpor versi kunci.

Pengantar

Anda mungkin menggunakan kunci kriptografis yang ada yang dibuat di lokasi Anda atau di sistem pengelolaan kunci eksternal. Jika Anda memigrasikan aplikasi ke Google Cloud atau jika Anda menambahkan dukungan kriptografis ke aplikasi Google Cloud yang ada, Anda dapat mengimpor kunci yang relevan ke Cloud KMS.

Anda dapat mengimpor ke kunci Cloud HSM atau kunci software di Cloud KMS.
Materi kunci digabungkan untuk perlindungan saat dalam pengiriman. Anda dapat menggunakan Google Cloud CLI untuk menggabungkan kunci secara otomatis, atau Anda dapat menggabungkan kunci secara manual.
Google Cloud hanya memiliki akses ke kunci penggabungan dalam cakupan tugas impor. Untuk kunci Cloud HSM, kunci wrapper tidak pernah berada di luar Cloud HSM.

Topik ini memberikan detail tentang batasan dan persyaratan untuk mengimpor kunci, serta memberikan ringkasan tentang cara kerja impor kunci.

Batasan dan persyaratan

Tinjau bagian ini untuk memverifikasi bahwa kunci Anda dapat diimpor ke Cloud KMS.

Format kunci yang didukung

Kunci simetris untuk enkripsi: Kunci simetris yang diimpor harus berukuran 16 byte (hanya untuk enkripsi simetris mentah) atau 32 byte data biner, dan tidak boleh dienkode. Jika kunci Anda berenkode hex atau base64, Anda harus mendekodenya sebelum mencoba mengimpornya.
Kunci simetris untuk penandatanganan (kunci MAC): Kunci penandatanganan HMAC yang diimpor harus memiliki panjang yang sama dengan panjang output fungsi hash kriptografis yang digunakan (misalnya, kunci HMAC-SHA256 harus memiliki panjang 32 byte), dan harus tidak dienkode. Jika kunci Anda berenkode hex atau berenkode base64, Anda harus mendekodenya sebelum mencoba mengimpornya.
Kunci asimetris untuk enkripsi atau penandatanganan: Kunci asimetris yang diimpor harus dalam format PKCS #8 dan harus dienkode DER. Format PCKS #8 ditentukan dalam RFC 5208. Encoding DER ditentukan dalam International Telecommunications Union X.680. Kunci asimetris harus menggunakan salah satu kombinasi panjang dan algoritma yang didukung oleh Cloud KMS.

Beberapa aspek kunci, seperti panjang kunci, tidak dapat diubah setelah kunci dibuat. Dalam kasus ini, kunci tidak dapat diimpor ke Cloud KMS.

Untuk memverifikasi dan memformat ulang kunci Anda untuk impor, lihat Memformat kunci untuk impor.

Tingkat perlindungan yang didukung

Anda dapat mengimpor kunci ke kunci Cloud KMS atau kunci Cloud HSM, dengan menetapkan tingkat perlindungan kunci ke SOFTWARE atau HSM. Kunci Cloud HSM dikenai biaya tambahan. Anda tidak dapat mengimpor ke kunci Cloud External Key Manager.

Ukuran kunci penggabungan yang didukung

Saat membuat tugas impor, Anda dapat mengontrol ukuran kunci gabungan yang digunakan untuk melindungi kunci Anda dalam pengiriman ke Google Cloud dengan menetapkan metode impor tugas impor. Ukuran default untuk kunci penggabungan adalah 3072. Jika memiliki persyaratan tertentu, Anda dapat mengonfigurasi tugas impor untuk menggunakan kunci 4096-bit.

Anda dapat mempelajari lebih lanjut algoritma yang digunakan untuk penggabungan kunci atau tentang mengonfigurasi tugas impor.

Cara kerja impor kunci

Bagian ini mengilustrasikan hal yang terjadi saat Anda mengimpor kunci. Beberapa bagian alur berbeda jika Anda menggunakan penggabungan otomatis atau menggabungkan kunci secara manual. Sebaiknya gunakan penggabungan otomatis. Untuk petunjuk spesifik, lihat Mengimpor versi kunci. Untuk petunjuk khusus tentang menggabungkan kunci secara manual sebelum impor, lihat Menggabungkan kunci menggunakan OpenSSL di Linux.

Diagram berikut menggambarkan proses impor kunci menggunakan penggabungan kunci otomatis. Fase yang ditampilkan dalam diagram dijelaskan di bagian ini.

Alur impor, yang dijelaskan di bagian ini

Bersiaplah untuk mengimpor kunci.
1. Pertama, Anda membuat key ring dan kunci target yang pada akhirnya akan berisi tugas impor dan materi kunci yang diimpor. Pada tahap ini, kunci target tidak berisi versi kunci.
2. Selanjutnya, Anda membuat tugas impor. Tugas impor menentukan key ring dan kunci target untuk bahan kunci yang diimpor. Tugas impor juga menentukan metode impor, yaitu algoritma yang digunakan untuk membuat kunci pelapis yang melindungi materi kunci selama permintaan impor.
  - Kunci publik digunakan untuk menggabungkan kunci yang akan diimpor di klien.
  - Kunci pribadi disimpan dalam Google Cloud dan digunakan untuk membuka kunci setelah mencapai project Google Cloud .
  Pemisahan ini mencegah Google membuka lapisan materi kunci Anda di luar cakupan tugas impor.
3. Kunci harus digabungkan secara kriptografis sebelum dikirim ke Google. Sebagian besar pengguna dapat menggunakan gcloud CLI untuk secara otomatis menggabungkan, mengirim, dan mengimpor kunci, seperti yang dijelaskan pada langkah berikutnya. Jika Anda memiliki persyaratan kepatuhan atau peraturan untuk menggabungkan kunci secara manual, Anda dapat melakukannya saat ini. Untuk menggabungkan kunci secara manual di sistem lokal:
  1. Konfigurasi OpenSSL.
  2. Satu kali per tugas impor, download kunci penggabungan yang terkait dengan tugas impor.
  3. Satu kali per kunci, tetapkan beberapa variabel lingkungan dan gabungkan kunci.
Hingga tiga hari, hingga tugas impor berakhir, Anda dapat menggunakannya untuk membuat permintaan impor guna mengimpor satu atau beberapa kunci. Selama permintaan impor:
1. Jika kunci tidak digabungkan secara manual, Google Cloud CLI akan mendownload kunci publik tugas impor dari Google Cloud ke sistem lokal, lalu menggunakan kunci publik, bersama dengan kunci pribadi yang terkait dengan klien, untuk menggabungkan materi kunci lokal.
2. Materi kunci yang digabungkan dikirim ke project Google Cloud.
3. Materi kunci di-unwrapping menggunakan kunci pribadi tugas impor dan disisipkan sebagai versi baru kunci target di ring kunci target. Ini adalah operasi atomik.
4. Untuk kunci simetris, Anda menetapkan versi kunci yang diimpor sebagai versi kunci utama.
Catatan: Versi kunci yang diimpor tidak otomatis ditetapkan sebagai versi kunci utama.

Setelah permintaan impor berhasil diselesaikan, Anda dapat menggunakan versi kunci yang diimpor untuk melindungi data di Google Cloud.