Verificar uma versão de chave importada

Este tópico mostra como verificar uma versão de chave assimétrica que pode import para o Cloud KMS ou o Cloud HSM.

Para mais detalhes sobre como a importação funciona, incluindo limitações e restrições, consulte Importação de chaves.

Limitações na verificação de chaves importadas

Dados criptografados fora do Cloud KMS

A melhor maneira de testar uma chave importada é descriptografar dados que foram criptografados antes da importação ou criptografar dados usando a chave importada e descriptografá-la usando a chave antes da importação.

No Cloud KMS ou no Cloud HSM, isso só é possível quando você importa uma chave assimétrica. Isso ocorre porque, quando os dados são criptografados usando uma chave simétrica do Cloud KMS ou do Cloud HSM, metadados extras sobre a versão da chave de criptografia são salvos, criptografados e com os dados criptografados. Esses metadados não estão presentes em dados criptografados fora do Cloud KMS.

Verificar atestados

É possível verificar atestados sobre as chaves do Cloud HSM. Esses atestados afirmam que a chave é uma chave HSM, que o módulo HSM pertence ao Google e outros detalhes sobre a chave. Esses atestados não estão disponíveis para chaves de software.

Antes de começar

  • Importe uma chave assimétrica para o Cloud KMS ou o Cloud HSM. Use o Cloud HSM se quiser verificar os atestados da chave.
  • Se possível, conclua as tarefas deste tópico usando o mesmo sistema local para onde você importou a chave, portanto, o sistema local já tem a Google Cloud CLI instalada e configurada.
  • Criptografar um arquivo usando a chave local ou copiar um arquivo criptografado com essa chave ao sistema local.

Verifique se o material da chave é idêntico

Depois de importar uma chave assimétrica para o Cloud KMS ou o Cloud HSM, o material da chave é idêntico à chave local. Para verificar se isso é verdade, você pode usar a chave importada para descriptografar dados que foram criptografados usando a chave antes da importação.

Para descriptografar um arquivo usando uma chave do Cloud KMS ou do Cloud HSM:

gcloud kms decrypt \
  --location=location  \
  --keyring=key-ring-name \
  --key=key-name \
  --ciphertext-file=filepath-and-file-to-decrypt \
  --plaintext-file=decrypted-filepath-and-file.dec

Se o arquivo apontado pela sinalização --plaintext-file contiver os dados descriptografados corretos, o material da chave externa e importada será idêntico.

Para saber mais, consulte Como criptografar e descriptografar dados.

Verificar atestados para uma chave do Cloud HSM

Depois que uma chave é importada para um HSM, é possível visualizar atestados para verificar se ele pertence ao Google. O procedimento é diferente para verificar chaves simétricas do Cloud HSM e chaves assimétricas.

Os atestados não estão disponíveis para chaves de software no Cloud KMS.

Chaves simétricas do Cloud HSM

Você pode usar o atributo de chave Extended Key Checksum Value (EKCV) para verificar o material de chave importado de uma chave do Cloud HSM. Esse valor é calculado pela seguindo RFC 5869 (link em inglês), seção 2. O valor é derivado usando SHA-256 baseado em HMAC Extraia e expanda a função de derivação de chaves (HKDF, na sigla em inglês) com 32 bytes a zero como sal e expanda-o com a string fixa Key Check Value como informação. Para recuperar isso é possível atestar a chave.

Chaves assimétricas do Cloud HSM

Quando você faz a solicitação de importação para uma chave assimétrica, inclui a chave privada encapsulada. A chave privada contém informações suficientes para o Cloud KMS derivar a chave pública. Depois que a chave for importada, recupere a chave pública e verifique se ela corresponde à chave pública armazenada localmente. Para mais informações sobre como verificar o atributo de chave pública, consulte Para verificar a chave pública.

Você pode verificar a verificação EKCV para chaves assimétricas. Nesse caso, o valor é o resumo de SHA-256 da chave pública codificada em DER. Você pode recuperá-lo valor observando o atestado da chave. Para mais informações sobre como verificar o atributo de chave EKCV, consulte Para verificar as propriedades das chaves.

Para mais informações sobre como atestar chaves importadas, consulte Como atestar uma chave

A seguir