Importierte Schlüsselversion prüfen

In diesem Thema erfahren Sie, wie Sie eine asymmetrische Schlüsselversion prüfen, die Sie in Cloud KMS oder Cloud HSM import.

Weitere Informationen zum Importieren, einschließlich Einschränkungen, finden Sie unter Schlüsselimport.

Einschränkungen bei der Verifizierung importierter Schlüssel

Daten, die außerhalb von Cloud KMS verschlüsselt wurden

Am besten testen Sie einen importierten Schlüssel, indem Sie die vor dem Import des Schlüssels verschlüsselten Daten entschlüsseln oder die Daten mit dem importierten Schlüssel verschlüsseln und vor dem Import mit dem Schlüssel wieder entschlüsseln.

In Cloud KMS oder Cloud HSM ist dies nur möglich, wenn Sie einen asymmetrischen Schlüssel importieren. Dies liegt daran, dass bei der Verschlüsselung von Daten mit einem synchronen Cloud KMS- oder Cloud HSM-Schlüssel zusätzliche Metadaten zur Verschlüsselungsschlüsselversion zusammen mit den verschlüsselten Daten gespeichert und verschlüsselt werden. Diese Metadaten sind nicht in Daten enthalten, die außerhalb von Cloud KMS verschlüsselt sind.

Attestierungen verifizieren

Sie können Attestierungen zu Cloud HSM-Schlüsseln. Diese Attestierungen bestätigen, dass es sich bei dem Schlüssel um einen HSM-Schlüssel handelt, dass das HSM-Modul Eigentum von Google ist sowie über weitere Details zum Schlüssel. Diese Attestierungen sind für Softwareschlüssel nicht verfügbar.

Hinweise

• Importieren eines asymmetrischen Schlüssels in Cloud KMS oder Cloud HSM. Verwenden Sie Cloud HSM zum Überprüfen der Attestierungen des Schlüssels.
• Führen Sie die Aufgaben in diesem Thema nach Möglichkeit mit demselben lokalen System aus, in das Sie den Schlüssel importiert haben, sodass die Google Cloud CLI bereits auf dem lokalen System installiert und konfiguriert ist.
• Verschlüsseln Sie eine Datei mit dem lokalen Schlüssel oder kopieren Sie eine Datei, die mit diesem Schlüssel verschlüsselt wurde, auf das lokale System.

Prüfen, ob das Schlüsselmaterial identisch ist

Nachdem Sie einen asymmetrischen Schlüssel in Cloud KMS oder Cloud HSM importiert haben, ist das Schlüsselmaterial mit dem lokalen Schlüssel identisch. Um dies zu überprüfen, können Sie den importierten Schlüssel verwenden, um Daten zu entschlüsseln, die vor dem Import mit dem Schlüssel verschlüsselt wurden.

So entschlüsseln Sie eine Datei mit einem Cloud KMS- oder Cloud HSM-Schlüssel:

gcloud kms decrypt \
  --location=location  \
  --keyring=key-ring-name \
  --key=key-name \
  --ciphertext-file=filepath-and-file-to-decrypt \
  --plaintext-file=decrypted-filepath-and-file.dec

Wenn die Datei, auf die das Flag --plaintext-file verweist, die richtigen entschlüsselten Daten enthält, ist das Schlüsselmaterial des externen und importierten Schlüssels identisch.

Weitere Informationen finden Sie unter Daten verschlüsseln und entschlüsseln.

Attestierungen für einen Cloud HSM-Schlüssel prüfen

Nachdem ein Schlüssel in ein HSM importiert wurde, können Sie anhand der Attestierungen prüfen, ob das HSM Google gehört. Die Verfahren zur Überprüfung synchroner Cloud HSM-Schlüssel und asymmetrischer Schlüssel unterscheiden sich.

Für Software-Schlüssel in Cloud KMS sind keine Attestierungen verfügbar.

Symmetrische Cloud HSM-Schlüssel

Mit dem Schlüsselattribut "Erweiterter Schlüsselprüfungswert" (EKCV) können Sie das Schlüsselmaterial eines importierten Cloud HSM-Schlüssels überprüfen. Dieser Wert wird gemäß RFC 5869, Abschnitt 2, berechnet. Der Wert wird mithilfe der SHA-256-basierten HMAC-basierten Funktion zum Extrahieren und Maximieren von Schlüssel derivation (HKDF) mit 32 Null-Byte als Salt abgeleitet und mit dem festen String Key Check Value als Information erweitert. Zum Abrufen dieses Werts können Sie den Schlüssel bestätigen.

Asymetrische Cloud HSM-Schlüssel

Wenn Sie die Importanforderung für einen asymmetrischen Schlüssel durchführen, geben Sie Ihren verpackten privaten Schlüssel an. Der private Schlüssel enthält für Cloud KMS ausreichende Informationen, um den öffentlichen Schlüssel abzuleiten. Nachdem Ihr Schlüssel importiert wurde, können Sie den öffentlichen Schlüssel abrufen und überprüfen, ob er mit dem lokal gespeicherten öffentlichen Schlüssel übereinstimmt. Weitere Informationen zum Überprüfen des Attributs des öffentlichen Schlüssels finden Sie unter Öffentlichen Schlüssel überprüfen.

Sie können die ECCV-Überprüfung für asymmetrische Schlüssel überprüfen. In diesem Fall ist der Wert das SHA-256-Digest des DER-codierten öffentlichen Schlüssels. Sie können diesen Wert abrufen, indem Sie sich die Attestierung des Schlüssels ansehen. Weitere Informationen zum Prüfen des EKCV-Schlüsselattributs finden Sie unter Schlüsselattribute überprüfen.

Weitere Informationen zum Attestieren von importierten Schlüsseln finden Sie unter Schlüssel attestieren.

Nächste Schritte

• Schlüssel erstellen
• Weitere Informationen zum Verschlüsseln und Entschlüsseln
• Daten signieren und validieren