Topik ini membahas informasi konseptual tentang cara mengimpor kunci ke dalam Cloud Key Management Service sebagai versi kunci baru. Untuk petunjuk langkah demi langkah, lihat mengimpor versi kunci.
Pengantar
Anda mungkin menggunakan kunci kriptografis yang ada yang dibuat di lokasi Anda atau di sistem pengelolaan kunci eksternal. Jika Anda memigrasikan aplikasi ke Google Cloud atau jika Anda menambahkan dukungan kriptografi ke aplikasi Google Cloud yang sudah ada, Anda dapat mengimpor kunci yang relevan ke Cloud KMS.
- Anda dapat mengimpor ke kunci Cloud HSM atau kunci software di Cloud KMS.
- Materi kunci dibungkus untuk perlindungan selama pengiriman. Anda dapat menggunakan Google Cloud CLI untuk otomatis menggabungkan kunci, atau menggabungkan kunci secara manual.
- Google Cloud memiliki akses ke kunci penggabungan hanya dalam cakupan tugas impor. Untuk kunci Cloud HSM, kunci penggabungan tidak pernah berada di luar Cloud HSM.
Topik ini memberikan detail tentang batasan dan persyaratan untuk mengimpor kunci, serta memberikan ringkasan cara kerja impor kunci.
Batasan dan persyaratan
Tinjau bagian ini untuk memastikan bahwa kunci Anda dapat diimpor ke kunci Cloud KMS atau Cloud HSM.
Format kunci yang didukung
Kunci simetris untuk enkripsi harus berukuran 16 byte (hanya untuk enkripsi simetris mentah) atau 32 byte data biner, dan tidak boleh dienkode. Jika kunci dienkode dengan heksadesimal atau berenkode base64, Anda harus mendekodenya sebelum mencoba mengimpornya.
Kunci simetris untuk penandatanganan (kunci MAC) harus memiliki panjang yang sama dengan panjang output fungsi hash kriptografi yang digunakan (misalnya, kunci HMAC-SHA256 harus memiliki panjang 32 byte), dan tidak boleh dienkode. Jika kunci Anda dienkode dengan heksadesimal atau berenkode base64, Anda harus mendekodenya sebelum mencoba mengimpornya.
Kunci asimetris untuk enkripsi atau penandatanganan harus dalam format PKCS #8 dan harus dienkode DER. Format PCKS #8 ditentukan dalam RFC 5208. Encoding DER ditentukan dalam International Telecommunications Union X.680. Kunci asimetris harus menggunakan salah satu kombinasi panjang dan algoritma yang didukung oleh Cloud KMS.
Beberapa aspek kunci, seperti panjang kunci, tidak dapat diubah setelah kunci dibuat. Dalam kasus ini, kunci tidak dapat diimpor ke Cloud KMS.
Untuk memverifikasi dan memformat ulang kunci Anda untuk impor, lihat Memformat tombol untuk impor.
Tingkat perlindungan yang didukung
Anda dapat mengimpor kunci ke kunci Cloud KMS atau kunci Cloud HSM, dengan menetapkan tingkat perlindungan kunci ke SOFTWARE
atau HSM
. Kunci Cloud HSM menimbulkan biaya tambahan. Anda
tidak dapat mengimpor ke kunci Cloud External Key Manager (kunci dengan level perlindungan EXTERNAL
).
Ukuran kunci penggabungan yang didukung
Saat membuat tugas impor, Anda dapat mengontrol ukuran kunci penggabungan yang digunakan untuk melindungi kunci saat transit ke Google dengan mengonfigurasi metode impor tugas impor. Ukuran default untuk kunci penggabungan adalah 3072. Jika memiliki persyaratan khusus, Anda dapat mengonfigurasi tugas impor agar menggunakan kunci 4096-bit.
Anda dapat mempelajari lebih lanjut algoritma yang digunakan untuk penggabungan kunci atau cara mengonfigurasi tugas impor.
Cara kerja impor kunci
Bagian ini mengilustrasikan hal yang terjadi saat Anda mengimpor kunci. Beberapa bagian alurnya berbeda jika Anda menggunakan penggabungan otomatis atau menggabungkan kunci secara manual. Sebaiknya gunakan penggabungan otomatis. Untuk mengetahui petunjuk tertentu, lihat Mengimpor versi kunci. Untuk mengetahui petunjuk khusus tentang cara menggabungkan kunci secara manual sebelum mengimpor, lihat Menggabungkan kunci menggunakan OpenSSL di Linux.
Diagram berikut mengilustrasikan proses impor kunci menggunakan penggabungan kunci otomatis. Fase yang ditampilkan dalam diagram dijelaskan di bagian ini.
Bersiaplah untuk mengimpor kunci.
Pertama, buat kunci dan key ring target yang nantinya akan berisi tugas impor dan materi kunci yang diimpor. Pada tahap ini, kunci target tidak berisi versi kunci.
Selanjutnya, Anda membuat tugas impor. Tugas impor menentukan key ring dan kunci target untuk materi kunci yang diimpor. Tugas impor juga menentukan metode impor, yang merupakan algoritma yang digunakan untuk membuat kunci penggabungan yang melindungi materi kunci selama permintaan impor.
- Kunci publik digunakan untuk menggabungkan kunci yang akan diimpor pada klien.
- Kunci pribadi disimpan dalam Google Cloud dan digunakan untuk membuka kunci setelah mencapai project Google Cloud.
Pemisahan ini mencegah Google membuka materi kunci Anda di luar cakupan tugas impor.
Kunci tersebut harus digabungkan secara kriptografis sebelum mengirimkannya ke Google. Sebagian besar pengguna dapat menggunakan gcloud CLI untuk menggabungkan, mengirim, dan mengimpor kunci secara otomatis, seperti yang dijelaskan pada langkah berikutnya. Jika memiliki persyaratan kepatuhan atau peraturan untuk menggabungkan kunci secara manual, Anda dapat melakukannya saat ini. Untuk menggabungkan kunci secara manual di sistem lokal:
- Konfigurasikan OpenSSL.
- Setelah per tugas impor, download kunci penggabungan yang terkait dengan tugas impor.
- Sekali per kunci, tetapkan beberapa variabel lingkungan dan gabungkan kunci.
Selama maksimal tiga hari, sebelum tugas impor berakhir, Anda dapat menggunakannya untuk membuat permintaan impor untuk mengimpor satu atau beberapa kunci. Selama permintaan impor:
- Jika kunci tidak digabungkan secara manual, Google Cloud CLI akan mendownload kunci publik tugas impor dari Google Cloud ke sistem lokal, lalu menggunakan kunci publik tersebut, bersama dengan kunci pribadi yang terkait dengan klien, untuk menggabungkan materi kunci lokal.
- Materi kunci yang digabungkan akan dikirimkan ke project Google Cloud.
- Materi kunci akan dibuka menggunakan kunci pribadi tugas impor dan disisipkan sebagai versi baru kunci target pada key ring target. Operasi ini adalah operasi atomik.
- Untuk kunci simetris, Anda menetapkan versi kunci yang diimpor menjadi versi kunci utama.
Setelah permintaan impor berhasil diselesaikan, Anda dapat menggunakan versi kunci yang diimpor untuk melindungi data di Google Cloud.
Langkah selanjutnya
- Mengimpor versi kunci
- Mengenkripsi dan mendekripsi data menggunakan kunci simetris
- Mengenkripsi dan mendekripsi data menggunakan kunci asimetris
- Pelajari cara Membuat dan memvalidasi tanda tangan digital