가져온 키 버전 확인

이 주제에서는 Cloud KMS 또는 Cloud HSM으로 가져오는 비대칭 키 버전을 확인하는 방법을 보여줍니다.

제한사항을 포함하여 가져오기의 작동 방식에 대한 자세한 내용은 키 가져오기를 참조하세요.

가져온 키 확인 제한사항

Cloud KMS 외부에서 암호화된 데이터

가져온 키를 테스트하는 가장 좋은 방법은 키를 가져오기 전에 암호화된 데이터를 복호화하거나 가져온 키를 사용하여 데이터를 암호화하고 가져오기 전에 키를 사용하여 복호화하는 것입니다.

Cloud KMS 또는 Cloud HSM에서는 비대칭 키를 가져오는 경우에만 가능합니다. 이는 대칭 Cloud KMS 또는 Cloud HSM 키를 사용하여 데이터를 암호화하면 암호화 된 데이터와 함께 암호화 키 버전에 대한 추가 메타데이터가 저장되고 암호화되기 때문입니다. 이 메타데이터는 Cloud KMS 외부에서 암호화된 데이터에 없습니다.

증명 확인

Cloud HSM 키에 대한 증명을 확인할 수 있습니다. 이러한 증명은 키가 HSM 키이고, Google에서 HSM 모듈을 소유한다는 점과 키에 관한 기타 세부정보를 확인합니다. 이러한 증명은 소프트웨어 키에 사용할 수 없습니다.

시작하기 전에

  • Cloud KMS 또는 Cloud HSM으로 비대칭 키 가져오기 키 증명을 확인하려면 Cloud HSM을 사용해야 합니다.
  • 가능하다면 키를 가져온 로컬 시스템을 사용하여 이 주제의 작업을 완료하여 로컬 시스템에 이미 Google Cloud CLI가 설치 및 구성되어 있습니다.
  • 로컬 키를 사용하여 파일을 암호화하거나 해당 키로 암호화된 파일을 로컬 시스템에 복사합니다.

키 자료가 동일한지 확인

비대칭 키를 Cloud KMS 또는 Cloud HSM으로 가져오면 키 자료는 로컬 키와 동일합니다. 이를 확인하려면 가져온 키를 사용하여 가져오기 전에 키를 사용하여 암호화된 데이터를 복호화합니다.

Cloud KMS 또는 Cloud HSM 키를 사용하여 파일을 복호화하려면 다음 안내를 따르세요.

gcloud kms decrypt \
  --location=location  \
  --keyring=key-ring-name \
  --key=key-name \
  --ciphertext-file=filepath-and-file-to-decrypt \
  --plaintext-file=decrypted-filepath-and-file.dec

--plaintext-file 플래그가 가리키는 파일에 올바른 복호화 데이터가 포함되어 있으면 외부 키와 가져온 키의 키 자료가 동일합니다.

자세한 내용은 데이터 암호화 및 복호화를 참조하세요.

Cloud HSM 키에 대한 증명 확인

HSM으로 키를 가져온 후 증명을 보고 HSM이 Google 소유인지 여부를 확인할 수 있습니다. 이 절차는 대칭 Cloud HSM 키비대칭 키를 확인하는 방법과 다릅니다.

Cloud KMS에서는 소프트웨어 키에 증명을 사용할 수 없습니다.

대칭 Cloud HSM 키

확장 키 체크섬 값(EKCV) 키 속성을 사용하여 가져온 Cloud HSM 키의 키 자료를 확인할 수 있습니다. 이 값은 RFC 5869, 섹션 2에 따라 계산됩니다. 이 값은 0바이트가 32개 있는 SHA-256 기반의 HMAC-based Extract-and-Expand Key Derivation Function(HKDF)을 솔트로 사용하고 고정 문자열 키 확인 값을 정보로 확장하여 도출됩니다. 이 값을 검색하려면 키를 증명합니다.

비대칭 Cloud HSM 키

비대칭 키에 대한 가져오기 요청을 보낼 때 래핑된 비공개 키를 포함합니다. 비공개 키에는 공개 키를 파생하기 위한 Cloud KMS에 대한 충분한 정보가 있습니다. 키를 가져온 후에 공개 키를 검색하여 로컬에 저장한 공개 키와 일치하는지 확인할 수 있습니다. 공개 키 속성 확인에 대한 자세한 내용은 공개 키 확인을 참조하세요.

비대칭 키의 EKCV 인증을 확인할 수 있습니다. 이 경우 값은 DER로 인코딩된 공개 키의 SHA-256 다이제스트입니다. 키 증명을 확인하여 이 값을 검색할 수 있습니다. EKCV 키 속성 확인에 대한 자세한 내용은 키 속성 확인을 참조하세요.

가져오는 키 증명에 대한 자세한 내용은 키 증명을 참조하세요.

다음 단계

이전
키 버전 가져오기