このトピックでは、Cloud KMS または Cloud HSM にインポートする非対称鍵バージョンを確認する方法について説明します。
制限や制約を含むインポートの仕組みの詳細については、鍵のインポートをご覧ください。
インポートされた鍵の検証に関する制限
Cloud KMS の外部で暗号化されたデータ
インポートされた鍵をテストする最適な方法は、鍵がインポートされる前に暗号化されたデータを復号する、もしくはインポートした鍵を使用してデータを暗号化してからインポートする前の鍵を使用して復号することです。
Cloud KMS または Cloud HSM では、非対称鍵をインポートするときにのみ行うことができます。これは、データが Cloud KMS の対称鍵または Cloud HSM の対称鍵を使用して暗号化されている場合、暗号鍵バージョンの追加のメタデータが暗号化されたデータとともに保存、暗号化されるためです。このメタデータは、Cloud KMS の外部で暗号化されたデータには存在しません。
証明書の確認
Cloud HSM 鍵の証明書の確認を行うことができます。これらの証明書は、鍵が HSM 鍵であること、HSM モジュールが Google によって所有されていること、鍵に関するその他の詳細を表明します。これらの証明書は、ソフトウェア鍵にはありません。
始める前に
- Cloud KMS または Cloud HSM に非対称鍵をインポートします。鍵の証明書を検証する場合は、Cloud HSM を使用する必要があります。
- 可能であれば、鍵のインポートと同じローカル システムを使用してこのトピックのタスクを完了し、ローカル システムに Google Cloud CLI がインストール、構成されているようにします。
- ローカル鍵を使用してファイルを暗号化するか、その鍵で暗号化されたファイルをローカル システムにコピーします。
鍵マテリアルが同一であることの確認
非対称鍵を Cloud KMS または Cloud HSM にインポートすると、鍵マテリアルはローカル鍵と同じになります。これに該当することを確認するには、インポートした鍵を使用して、インポートする前の鍵を使用して暗号化されたデータを復号します。
Cloud KMS または Cloud HSM 鍵を使用してファイルを復号するには:
gcloud kms decrypt \ --location=location \ --keyring=key-ring-name \ --key=key-name \ --ciphertext-file=filepath-and-file-to-decrypt \ --plaintext-file=decrypted-filepath-and-file.dec
--plaintext-file フラグが指すファイルに正しい復号化データが含まれている場合、外部の鍵とインポートされた鍵の鍵マテリアルは同一です。
詳細については、データの暗号化と復号をご覧ください。
クラウド HSM 鍵の証明書の確認
鍵が HSM にインポートされると、証明書を表示して HSM が Google に所有されていることを確認できます。Cloud HSM の対称鍵と非対称鍵を検証する手順は異なります。
Cloud KMS のソフトウェア キーには証明書はありません。
対称 Cloud HSM 鍵
Extended Key Checksum Value(EKCV)鍵属性を使用して、インポートされた Cloud HSM 鍵の鍵マテリアルを確認できます。この値は、RFC 5869 の第 2 条に従って計算されます。この値は SHA-256 と HMAC ベースの Extract-and-Expand Key Derivation Function(HKDF)を使用して得たもので、ソルトとして 32 個のゼロバイトが使用されています。また、情報部分に固定文字列の鍵のチェック値を採用することで拡張されています。この値を取得するには、鍵の証明を行います。
非対称 Cloud HSM 鍵
非対称鍵のインポート リクエストを作成する場合は、ラップされた秘密鍵を含めます。秘密鍵には、Cloud KMS が公開鍵を取得する際に必要な情報が含まれています。鍵をインポートした後、公開鍵を取得し、ローカルに保存した公開鍵と一致していることを確認します。公開鍵属性の確認について詳しくは、公開鍵を検証するにはをご覧ください。
非対称鍵の EKCV 検証を確認できます。この場合の値は、DER でエンコードされた公開鍵の SHA-256 ダイジェストです。この値は、鍵の証明書で確認できます。EKCV 鍵属性の確認については、鍵のプロパティを検証するをご覧ください。
インポートした鍵の証明の詳細については、鍵の証明をご覧ください。