Valider une version de clé importée

Cette rubrique explique comment valider une version de clé asymétrique que vous import dans Cloud KMS ou Cloud HSM.

Pour plus d'informations sur le fonctionnement de l'importation, y compris les limitations et les restrictions, reportez-vous à la section Importation des clés.

Limites applicables à la validation des clés importées

Données chiffrées en dehors de Cloud KMS

Le meilleur moyen de tester une clé importée consiste à déchiffrer les données chiffrées avant leur importation, ou à chiffrer les données à l'aide de la clé importée.

Dans Cloud KMS ou Cloud HSM, cela n'est possible que lorsque vous importez une clé asymétrique. En effet, lorsque les données sont chiffrées à l'aide d'une clé Cloud KMS ou Cloud HSM symétrique, des métadonnées supplémentaires sur la version de la clé de chiffrement sont enregistrées et chiffrées, ainsi que les données chiffrées. Ces métadonnées ne sont pas présentes dans les données chiffrées en dehors de Cloud KMS.

Valider les attestations

Vous pouvez valider les attestations relatives aux clés Cloud HSM. Ces attestations indiquent que la clé est une clé HSM, que le module HSM appartient à Google et d'autres détails sur la clé. Ces attestations ne sont pas disponibles pour les clés logicielles.

Avant de commencer

Importez une clé asymétrique dans Cloud KMS ou Cloud HSM. Vous devez utiliser Cloud HSM si vous souhaitez valider les attestations de la clé.
Si possible, effectuez les tâches décrites dans cette rubrique en utilisant le même système local que celui dans lequel vous avez importé la clé, de sorte que Google Cloud CLI soit déjà installé et configuré sur le système local.
Chiffrez un fichier à l'aide de la clé locale ou copiez un fichier chiffré à l'aide de cette clé sur le système local.

Vérifier que le matériel de la clé est identique

Après avoir importé une clé asymétrique dans Cloud KMS ou Cloud HSM, le matériel de la clé est identique à la clé locale. Pour vérifier que c'est le cas, vous pouvez utiliser la clé importée pour déchiffrer les données qui ont été chiffrées à l'aide de la clé avant l'importation.

Pour déchiffrer un fichier à l'aide d'une clé Cloud KMS ou Cloud HSM, procédez comme suit :

gcloud kms decrypt \
  --location=location  \
  --keyring=key-ring-name \
  --key=key-name \
  --ciphertext-file=filepath-and-file-to-decrypt \
  --plaintext-file=decrypted-filepath-and-file.dec

Si le fichier pointé par l'indicateur --plaintext-file contient les données décryptées correctes, le matériel de la clé externe et celui de la clé importée est identique.

Pour en savoir plus, consultez la section Chiffrer et déchiffrer des données.

Valider les attestations pour une clé Cloud HSM

Après avoir importé une clé dans un HSM, vous pouvez afficher les attestations pour vérifier que le HSM appartient à Google. La procédure est différente pour valider les clés Cloud HSM symétriques et les clés asymétriques.

Les attestations ne sont pas disponibles pour les clés logicielles dans Cloud KMS.

Clés Cloud HSM symétriques

Vous pouvez utiliser l'attribut de clé de valeur de somme de contrôle étendue (EKCV, Extended Key Checksum Value) pour valider le matériel de clé d'une clé Cloud HSM importée. Cette valeur est calculée en suivant la section 2 de la norme RFC 5869. La valeur est obtenue à l'aide de la fonction de dérivation de clé d'extraction et de développement (HKDF) basée sur le protocole HMAC et sur

Clés Cloud HSM asymétriques

Lorsque vous envoyez la requête d'importation pour une clé asymétrique, vous incluez la clé privée encapsulée. La clé privée contient suffisamment d'informations pour que Cloud KMS puisse retirer la clé publique. Une fois la clé importée, vous pouvez récupérer la clé publique et vérifier qu'elle correspond à la clé publique que vous avez stockée localement. Pour plus d'informations sur la vérification de l'attribut de clé publique, consultez la section Valider la clé publique.

Vous pouvez vérifier la vérification EKCV pour les clés asymétriques. Dans ce cas, la valeur est le condensé SHA-256 de la clé publique codée DER. Vous pouvez récupérer cette valeur en consultant l'attestation de la clé. Pour en savoir plus sur la vérification de l'attribut de clé EKCV, consultez Valider les propriétés de la clé.

Pour plus d'informations sur l'attestation des clés que vous importez, consultez la section Attester d'une clé.

Étapes suivantes

Découvrez comment créer des clés.
En savoir plus sur le chiffrement et le déchiffrement
Découvrez comment signer et valider des données.

Importer une version de clé