En este tema, se muestra cómo verificar una versión de clave asimétrica que import a Cloud KMS o a Cloud HSM.
Para obtener más detalles sobre cómo funciona la importación, incluidas las limitaciones y restricciones, consulta Importación de claves.
Limitaciones para verificar claves importadas
Datos encriptados fuera de Cloud KMS
La mejor manera de probar una clave importada es desencriptar los datos que se encriptaron antes de importar la clave, o bien encriptar los datos con la clave importada y desencriptarlos con la clave anterior a la importación.
En Cloud KMS o Cloud HSM, esto solo es posible cuando importas una clave asimétrica. Esto se debe a que, cuando los datos se encriptan con una clave simétrica de Cloud KMS o Cloud HSM, se guardan y encriptan metadatos adicionales sobre la versión de la clave de encriptación junto con los datos encriptados. Estos metadatos no están presentes en los datos encriptados fuera de Cloud KMS.
Verifica las certificaciones
Puedes verificar las certificaciones sobre las claves de Cloud HSM. Estas certificaciones afirman que la clave es una clave de HSM, que el módulo de HSM es propiedad de Google y otros detalles sobre la clave. Estas certificaciones no están disponibles para las claves de software.
Antes de comenzar
- Importa una clave asimétrica a Cloud KMS o Cloud HSM. Debes usar Cloud HSM si quieres verificar las certificaciones de la clave.
- Si es posible, completa las tareas de este tema con el mismo sistema local en el que importaste la clave, de modo que el sistema local ya tenga instalado y configurado Google Cloud CLI.
- Encripta un archivo con la clave local o copia un archivo encriptado con esa clave al sistema local.
Verifica que el material de clave sea idéntico
Después de importar una clave asimétrica a Cloud KMS o Cloud HSM, el material de la clave es idéntico a la clave local. Para verificar que esto sea cierto, puedes usar la clave importada para desencriptar los datos que se encriptaron con la clave antes de importarla.
Para desencriptar un archivo con una clave de Cloud KMS o Cloud HSM, sigue estos pasos:
gcloud kms decrypt \ --location=location \ --keyring=key-ring-name \ --key=key-name \ --ciphertext-file=filepath-and-file-to-decrypt \ --plaintext-file=decrypted-filepath-and-file.dec
Si el archivo al que apunta la marca --plaintext-file
contiene los datos desencriptados correctos, el material de clave de la clave externa e importada es idéntico.
Para obtener más información, consulta Cómo encriptar y desencriptar datos.
Verifica las certificaciones de una clave de Cloud HSM
Después de importar una clave en un HSM, puedes ver las certificaciones para verificar que el HSM sea propiedad de Google. El procedimiento es diferente para verificar las claves simétricas de Cloud HSM y las claves asimétricas.
Las certificaciones no están disponibles para las claves de software en Cloud KMS.
Claves simétricas de Cloud HSM
Puedes usar el atributo de clave de valor de suma de verificación de clave extendida (EKCV) para verificar el material de clave de una clave de Cloud HSM importada. Este valor se calcula en función del contenido de la sección 2 de RFC 5869. El valor se obtiene mediante la función de derivación de clave de extracción y expansión basada en HAAC (HKDF) basada en SHA-256 con 32 cero bytes como sal y se expande con la cadena fija Valor de verificación de clave como información. Para recuperar este valor, puedes certificar la clave.
Claves asimétricas de Cloud HSM
Cuando solicitas la importación de una clave asimétrica, incluyes tu clave privada unida. La clave privada contiene suficiente información para que Cloud KMS derive la clave pública. Después de la importación de tu clave, puedes recuperar la clave pública y verificar que coincida con la clave pública que almacenaste de manera local. Para obtener más información sobre cómo verificar el atributo de clave pública, consulta Para verificar la clave pública.
Puedes verificar la verificación de EKCV para claves asimétricas. En este caso, el valor es el resumen SHA-256 de la clave pública codificada en DER. Puedes recuperar este valor si consultas la certificación de la clave. Para obtener más información sobre cómo verificar el atributo de clave EKCV, consulta Verifica las propiedades de la clave.
Para obtener información adicional sobre la certificación de las claves que importas, consulta Cómo certificar una clave.
¿Qué sigue?
- Obtén más información para crear claves.
- Más información sobre la encriptación y desencriptación
- Más información para firmar y validar datos