In diesem Thema erfahren Sie, wie Sie eine asymmetrische Schlüsselversion prüfen, die Sie import in Cloud KMS oder Cloud HSM
Weitere Informationen zum Importieren, einschließlich Einschränkungen, finden Sie unter Schlüsselimport.
Einschränkungen bei der Verifizierung importierter Schlüssel
Daten, die außerhalb von Cloud KMS verschlüsselt wurden
Am besten testen Sie einen importierten Schlüssel, indem Sie die vor dem Import des Schlüssels verschlüsselten Daten entschlüsseln oder die Daten mit dem importierten Schlüssel verschlüsseln und vor dem Import mit dem Schlüssel wieder entschlüsseln.
In Cloud KMS oder Cloud HSM ist dies nur möglich, wenn Sie einen asymmetrischen Schlüssel importieren. Dies liegt daran, dass bei der Verschlüsselung von Daten mit einem synchronen Cloud KMS- oder Cloud HSM-Schlüssel zusätzliche Metadaten zur Verschlüsselungsschlüsselversion zusammen mit den verschlüsselten Daten gespeichert und verschlüsselt werden. Diese Metadaten sind nicht in Daten enthalten, die außerhalb von Cloud KMS verschlüsselt sind.
Attestierungen prüfen
Sie können Attestierungen zu Cloud HSM-Schlüsseln. Diese Attestierungen bestätigen, dass es sich bei dem Schlüssel um einen HSM-Schlüssel handelt, dass das HSM-Modul Eigentum von Google ist sowie über weitere Details zum Schlüssel. Diese Attestierungen sind für Softwareschlüssel nicht verfügbar.
Hinweis
- Importieren eines asymmetrischen Schlüssels in Cloud KMS oder Cloud HSM. Verwenden Sie Cloud HSM zum Überprüfen der Attestierungen des Schlüssels.
- Führen Sie die Aufgaben in diesem Thema nach Möglichkeit mit demselben lokalen System aus wo Sie den Schlüssel importiert haben, sodass das lokale System bereits Die Google Cloud CLI ist installiert und konfiguriert.
- Verschlüsseln Sie eine Datei mit dem lokalen Schlüssel oder kopieren Sie eine mit diesem Schlüssel verschlüsselte Datei in das lokale System.
Prüfen, ob das Schlüsselmaterial identisch ist
Nachdem Sie einen asymmetrischen Schlüssel in Cloud KMS oder Cloud HSM importiert haben, ist das Schlüsselmaterial mit dem lokalen Schlüssel identisch. Um dies zu überprüfen, können Sie den importierten Schlüssel verwenden, um Daten zu entschlüsseln, die vor dem Import mit dem Schlüssel verschlüsselt wurden.
So entschlüsseln Sie eine Datei mit einem Cloud KMS- oder Cloud HSM-Schlüssel:
gcloud kms decrypt \ --location=location \ --keyring=key-ring-name \ --key=key-name \ --ciphertext-file=filepath-and-file-to-decrypt \ --plaintext-file=decrypted-filepath-and-file.dec
Wenn die Datei, auf die das Flag --plaintext-file
verweist, die richtigen entschlüsselten Daten enthält, ist das Schlüsselmaterial des externen und importierten Schlüssels identisch.
Weitere Informationen finden Sie unter Daten verschlüsseln und entschlüsseln.
Attestierungen für einen Cloud HSM-Schlüssel überprüfen
Nachdem ein Schlüssel in ein HSM importiert wurde, können Sie anhand der Attestierungen prüfen, ob das HSM Google gehört. Die Verfahren zur Überprüfung synchroner Cloud HSM-Schlüssel und asymmetrischer Schlüssel unterscheiden sich.
Für Software-Schlüssel in Cloud KMS sind keine Attestierungen verfügbar.
Symmetrische Cloud HSM-Schlüssel
Mit dem Schlüsselattribut "Erweiterter Schlüsselprüfungswert" (EKCV) können Sie das Schlüsselmaterial eines importierten Cloud HSM-Schlüssels überprüfen. Dieser Wert wird wie folgt berechnet: gemäß RFC 5869, Abschnitt 2. Der Wert wird mithilfe der SHA-256-basierten, HMAC-basierten Extract-and-Expand Key Derivation Function (HKDF) mit 32 Null-Bytes als Salt abgeleitet und mit der festen Zeichenfolge Key Check Value als Information erweitert. Um diesen Wert abzurufen, können Sie den Schlüssel attestieren.
Asymmetrische Cloud HSM-Schlüssel
Wenn Sie die Importanforderung für einen asymmetrischen Schlüssel durchführen, geben Sie Ihren verpackten privaten Schlüssel an. Der private Schlüssel enthält für Cloud KMS ausreichende Informationen, um den öffentlichen Schlüssel abzuleiten. Nachdem Ihr Schlüssel importiert wurde, können Sie den öffentlichen Schlüssel abrufen und überprüfen, ob er mit dem lokal gespeicherten öffentlichen Schlüssel übereinstimmt. Weitere Informationen zum Überprüfen des Attributs des öffentlichen Schlüssels finden Sie unter Öffentlichen Schlüssel überprüfen.
Sie können die ECCV-Überprüfung für asymmetrische Schlüssel überprüfen. In diesem Fall ist der Wert das SHA-256-Digest des DER-codierten öffentlichen Schlüssels. Sie können diese in der Attestierung des Schlüssels. Weitere Informationen zu das EKCV-Schlüsselattribut prüfen, siehe So überprüfen Sie Schlüsselattribute.
Weitere Informationen zum Attestieren von importierten Schlüsseln finden Sie unter Schlüssel attestieren.
Nächste Schritte
- Schlüssel erstellen
- Weitere Informationen zum Verschlüsseln und Entschlüsseln
- Weitere Informationen zum Signieren und Validieren von Daten