Verifica una versión de clave importada

En este tema, se muestra cómo verificar una versión de clave asimétrica que import a Cloud KMS o Cloud HSM

Para obtener más detalles sobre cómo funciona la importación, incluidas las limitaciones y restricciones, consulta Importación de claves.

Limitaciones para verificar claves importadas

Datos encriptados fuera de Cloud KMS

La mejor manera de probar una clave importada es desencriptar los datos que se encriptaron antes de importar la clave, o bien encriptar los datos con la clave importada y desencriptarlos con la clave antes de la importación.

En Cloud KMS o Cloud HSM, esto solo es posible cuando importar una clave asimétrica. Esto se debe a que, cuando los datos se encriptan con una clave simétrica de Cloud KMS o Cloud HSM, se guardan y encriptan metadatos adicionales sobre la versión de la clave de encriptación junto con los datos encriptados. Estos metadatos no están presentes en los datos encriptados fuera de Cloud KMS.

Verifica certificaciones

Puedes verificar certificaciones sobre Cloud HSM claves. Estas certificaciones afirman que la clave es una clave de HSM, que el módulo de HSM es propiedad de Google y otros detalles sobre la clave. Estas certificaciones no están disponibles para las claves de software.

Antes de comenzar

  • Importa una clave asimétrica a Cloud KMS o Cloud HSM. Debes usar Cloud HSM si quieres verificar las certificaciones de la clave.
  • Si es posible, completa las tareas de este tema con el mismo sistema local en el que importaste la clave, de modo que el sistema local ya tenga instalado y configurado Google Cloud CLI.
  • Encripta un archivo con la clave local o copia un archivo encriptado con esa clave al sistema local.

Verifica que el material de clave sea idéntico

Después de importar una clave asimétrica a Cloud KMS o Cloud HSM, el material de la clave es idéntico a la clave local. Para verificar que esto sea cierto, puedes usar la clave importada para desencriptar los datos que se encriptaron con la clave antes de importarla.

Sigue estos pasos para desencriptar un archivo con una clave de Cloud KMS o Cloud HSM:

gcloud kms decrypt \
  --location=location  \
  --keyring=key-ring-name \
  --key=key-name \
  --ciphertext-file=filepath-and-file-to-decrypt \
  --plaintext-file=decrypted-filepath-and-file.dec

Si el archivo al que apunta la marca --plaintext-file contiene los datos desencriptados correctos, el material de clave de la clave externa e importada es idéntico.

Para obtener más información, consulta Cómo encriptar y desencriptar datos.

Verifica las certificaciones de una clave de Cloud HSM

Después de importar una clave a un HSM, puedes ver certificaciones para verificar que el HSM es propiedad de Google. El procedimiento es diferente para verificar claves simétricas de Cloud HSM y claves asimétricas.

Las certificaciones no están disponibles para las claves de software en Cloud KMS.

Claves simétricas de Cloud HSM

Puedes usar el atributo de clave de valor de suma de verificación de clave extendida (EKCV) para verificar el material de clave de una clave de Cloud HSM importada. Este valor se calcula de la siguiente manera: según la RFC 5869. Sección 2. El valor se obtiene mediante la función de derivación de clave de extracción y expansión basada en HAAC (HKDF) basada en SHA-256 con 32 cero bytes como sal y se expande con la cadena fija Valor de verificación de clave como información. Para recuperar este valor, puedes certificar la clave.

Claves asimétricas de Cloud HSM

Cuando solicitas la importación de una clave asimétrica, incluyes tu clave privada unida. La clave privada contiene suficiente información para que Cloud KMS derive la clave pública. Después de la importación de tu clave, puedes recuperar la clave pública y verificar que coincida con la clave pública que almacenaste de manera local. Para obtener más información sobre cómo verificar el atributo de clave pública, consulta Para verificar la clave pública.

Puedes verificar la verificación de EKCV para claves asimétricas. En este caso, el valor es el resumen SHA-256 de la clave pública codificada en DER. Puedes recuperar esta observando la certificación de la clave. Para obtener más información sobre cómo verificar el atributo de clave EKCV, consulta Verifica las propiedades de la clave.

Para obtener información adicional sobre la certificación de las claves que importas, consulta Certificar una clave

¿Qué sigue?