Questa pagina è stata tradotta dall'API Cloud Translation.

Verificare la versione di una chiave importata

Questo argomento mostra come verificare una versione di chiave asimmetrica che importi in Cloud KMS o Cloud HSM.

Per ulteriori dettagli su come funziona l'importazione, inclusi limitazioni e limitazioni, consulta Importazione di chiavi.

Limitazioni sulla verifica delle chiavi importate

Dati criptati all'esterno di Cloud KMS

Il modo migliore per testare una chiave importata è decriptare i dati criptati prima dell'importazione della chiave oppure criptare i dati utilizzando la chiave importata e decriptarli utilizzando la chiave prima dell'importazione.

In Cloud KMS o Cloud HSM, questo è possibile solo quando importi una chiave asimmetrica. Il motivo è che quando i dati vengono criptati utilizzando chiave simmetrica Cloud KMS o Cloud HSM, metadati aggiuntivi su la versione della chiave di crittografia viene salvata e criptata, insieme ai dati criptati. Questi metadati non sono presenti nei dati criptati al di fuori di Cloud KMS.

Verifica le attestazioni

Puoi verificare le attestazioni su Cloud HSM chiave. Queste attestazioni affermano che la chiave è una chiave HSM, che il modulo HSM è di proprietà di Google e altri dettagli sulla chiave. Queste attestazioni non sono disponibili per le chiavi software.

Prima di iniziare

Importa una chiave asimmetrica in Cloud KMS o Cloud HSM. Devi utilizzare Cloud HSM se vuoi verificare le attestazioni della chiave.
Se possibile, completa le attività in questo argomento utilizzando lo stesso sistema locale dove hai importato la chiave, quindi il sistema locale ha già Google Cloud CLI installato e configurato.
Cripta un file utilizzando la chiave locale o copia un file criptato con quella chiave al sistema locale.

Verifica che il materiale della chiave sia identico

Dopo aver importato una chiave asimmetrica in Cloud KMS o Cloud HSM, il materiale della chiave è identico alla chiave locale. Per verificare che sia così, puoi utilizzare la chiave importata per decriptare i dati che sono stati criptati utilizzando la chiave prima dell'importazione.

Per decriptare un file utilizzando una chiave Cloud KMS o Cloud HSM:

gcloud kms decrypt \
  --location=location  \
  --keyring=key-ring-name \
  --key=key-name \
  --ciphertext-file=filepath-and-file-to-decrypt \
  --plaintext-file=decrypted-filepath-and-file.dec

Se il file a cui fa riferimento il flag --plaintext-file contiene i dati decriptati corretti, il materiale della chiave della chiave esterna e importata è identico.

Per scoprire di più, consulta Crittografia e decriptazione dei dati.

Verificare le attestazioni per una chiave Cloud HSM

Dopo aver importato una chiave in un HSM, puoi visualizzare le attestazioni per verificare che l'HSM è di proprietà di Google. La procedura è diversa per verificare chiavi Cloud HSM simmetriche e chiavi asimmetriche.

Le attestazioni non sono disponibili per le chiavi software in Cloud KMS.

Chiavi Cloud HSM simmetriche

Puoi utilizzare l'attributo chiave Extended Key Checksum Value (EKCV) per verificare un il materiale della chiave importato da Cloud HSM. Questo valore viene calcolato seguendo la sezione 2 del RFC 5869. Il valore viene derivato utilizzando le basi HMAC basate su SHA-256 funzione di derivazione dei tasti di estrazione e espansione (HKDF) con 32 zero byte come sale e espandendola con la stringa fissa Key Check Value sotto forma di informazioni. Per recuperarlo puoi attestare la chiave.

Chiavi Cloud HSM asimmetriche

Quando effettui la richiesta di importazione di una chiave asimmetrica, includi la chiave privata con wrapping. La chiave privata contiene informazioni sufficienti per consentire a Cloud KMS di dedurre la chiave pubblica. Una volta importata la chiave, puoi recuperare la chiave pubblica e verificare che corrisponda a quella memorizzata localmente. Per ulteriori informazioni sul controllo dell'attributo della chiave pubblica, consulta Verificare la chiave pubblica.

Puoi verificare la verifica EKCV per le chiavi asimmetriche. In questo caso, il valore è il digest SHA-256 della chiave pubblica con codifica DER. Puoi recuperare questo valore esaminando l'attestazione della chiave. Per ulteriori informazioni controllare l'attributo chiave EKCV, vedi Per verificare le proprietà chiave.

Per ulteriori informazioni sull'attestazione delle chiavi importate, consulta Attestazione di una chiave

Passaggi successivi

Scopri come creare chiavi
Scopri di più su come criptare e decriptare
Scopri di più sulla firma e sulla convalida dei dati

Indietro

Importa una versione della chiave