Halaman ini diterjemahkan oleh Cloud Translation API.

Memverifikasi versi kunci yang diimpor

Topik ini menunjukkan cara memverifikasi versi kunci asimetris yang Anda import ke Cloud KMS atau Cloud HSM.

Untuk mengetahui detail selengkapnya tentang cara kerja impor, termasuk batasan dan pembatasan, lihat Impor kunci.

Batasan dalam memverifikasi kunci yang diimpor

Data yang dienkripsi di luar Cloud KMS

Cara terbaik untuk menguji kunci yang diimpor adalah mendekripsi data yang dienkripsi sebelum kunci diimpor, atau mengenkripsi data menggunakan kunci yang diimpor dan mendekripsinya menggunakan kunci sebelum impor.

Di Cloud KMS atau Cloud HSM, hal ini hanya dapat dilakukan jika Anda mengimpor kunci asimetris. Hal ini karena saat data dienkripsi menggunakan kunci Cloud KMS atau Cloud HSM simetris, metadata tambahan tentang versi kunci enkripsi disimpan, dienkripsi, bersama dengan data terenkripsi. Metadata ini tidak ada dalam data yang dienkripsi di luar Cloud KMS.

Memverifikasi pengesahan

Anda dapat memverifikasi pengesahan tentang kunci Cloud HSM. Pengesahan ini menyatakan bahwa kunci adalah kunci HSM, bahwa modul HSM dimiliki oleh Google, dan detail lainnya tentang kunci. Pengesahan ini tidak tersedia untuk kunci software.

Sebelum memulai

Impor kunci asimetris ke Cloud KMS atau Cloud HSM. Anda harus menggunakan Cloud HSM jika ingin memverifikasi pengesahan kunci.
Jika memungkinkan, selesaikan tugas dalam topik ini menggunakan sistem lokal yang sama tempat Anda mengimpor kunci, sehingga sistem lokal sudah menginstal dan mengonfigurasi Google Cloud CLI.
Enkripsi file menggunakan kunci lokal, atau salin file yang dienkripsi dengan kunci tersebut ke sistem lokal.

Memverifikasi bahwa materi kunci identik

Setelah Anda mengimpor kunci asimetris ke Cloud KMS atau Cloud HSM, materi kunci akan identik dengan kunci lokal. Untuk memverifikasi bahwa hal ini benar, Anda dapat menggunakan kunci yang diimpor untuk mendekripsi data yang dienkripsi menggunakan kunci sebelum diimpor.

Untuk mendekripsi file menggunakan kunci Cloud KMS atau Cloud HSM:

gcloud kms decrypt \
  --location=location  \
  --keyring=key-ring-name \
  --key=key-name \
  --ciphertext-file=filepath-and-file-to-decrypt \
  --plaintext-file=decrypted-filepath-and-file.dec

Jika file yang ditunjuk oleh tanda --plaintext-file berisi data yang didekripsi dengan benar, materi kunci dari kunci eksternal dan yang diimpor akan identik.

Untuk mempelajari lebih lanjut, lihat mengenkripsi dan mendekripsi data.

Memverifikasi pengesahan untuk kunci Cloud HSM

Setelah kunci diimpor ke HSM, Anda dapat melihat pengesahan untuk memverifikasi bahwa HSM dimiliki oleh Google. Prosedur ini berbeda untuk memverifikasi kunci Cloud HSM simetris dan kunci asimetris.

Pengesahan tidak tersedia untuk kunci software di Cloud KMS.

Kunci Cloud HSM simetris

Anda dapat menggunakan atribut kunci Extended Key Checksum Value (EKCV) untuk memverifikasi materi kunci kunci Cloud HSM yang diimpor. Nilai ini dihitung dengan mengikuti RFC 5869, bagian 2. Nilai ini berasal dari Extract-and-Expand Key Derivation Function (HKDF) berbasis SHA-256 berbasis HMAC dengan 32 byte nol sebagai salt dan memperluasnya dengan string tetap Key Check Value sebagai info. Untuk mengambil nilai ini, Anda dapat melakukan pengesahan kunci.

Kunci Cloud HSM asimetris

Saat membuat permintaan impor untuk kunci asimetris, Anda menyertakan kunci pribadi yang digabungkan. Kunci pribadi berisi informasi yang memadai bagi Cloud KMS untuk mendapatkan kunci publik. Setelah kunci diimpor, Anda dapat mengambil kunci publik dan memverifikasi bahwa kunci tersebut cocok dengan kunci publik yang telah disimpan secara lokal. Untuk informasi selengkapnya tentang cara memeriksa atribut kunci publik, lihat Untuk memverifikasi kunci publik.

Anda dapat memverifikasi verifikasi EKCV untuk kunci asimetris. Dalam hal ini, nilainya adalah ringkasan SHA-256 dari kunci publik yang dienkode DER. Anda dapat mengambil nilai ini dengan melihat pengesahan kunci. Untuk mengetahui informasi selengkapnya tentang memeriksa atribut kunci EKCV, lihat Untuk memverifikasi properti kunci.

Untuk informasi tambahan tentang cara membuktikan kunci yang Anda impor, lihat Membuktikan kunci

Langkah selanjutnya

Pelajari cara membuat kunci
Pelajari cara mengenkripsi dan mendekripsi
Pelajari cara menandatangani dan memvalidasi data

Sebelumnya

Mengimpor versi kunci