Esta página se ha traducido con Cloud Translation API.
Switch to English

Verificar una clave importada

En este tema, se muestra cómo verificar una clave asimétrica que importas a Cloud KMS o Cloud HSM.

Para obtener más detalles sobre cómo funciona la importación, incluidas las limitaciones y restricciones, consulta Importación de claves.

Limitaciones para verificar las claves importadas

Datos encriptados fuera de Cloud KMS

La mejor manera de probar una clave importada es desencriptar los datos que se encriptaron antes de importar la clave o encriptarlos mediante la clave importada y desencriptarlos mediante la clave antes de la importación.

En Cloud KMS o Cloud HSM, solo es posible cuando importas una clave asimétrica. Esto se debe a que, cuando los datos se encriptan mediante una clave asimétrica de Cloud KMS o Cloud HSM, se agregan metadatos adicionales sobre la versión de clave de encriptación, junto con los datos encriptados. Estos metadatos no están presentes en los datos encriptados fuera de Cloud KMS.

Verifica certificaciones

Puedes verificar las certificaciones sobre las claves de Cloud HSM. Estas certificaciones confirman que la clave es una clave de HSM, que el módulo de HSM es propiedad de Google y otros detalles sobre la clave. Estas certificaciones no están disponibles para claves de software.

Antes de comenzar

  • Importa una clave asimétrica a Cloud KMS o Cloud HSM. Debes usar Cloud HSM si deseas verificar las certificaciones de la clave.
  • Si es posible, completa las tareas de este tema con el mismo sistema local en el que importaste la clave, por lo que el sistema local ya tiene instalado y configurado el SDK de Cloud.
  • Encripta un archivo con la clave local o copia un archivo encriptado con esa clave en el sistema local.

Verifica que el material de clave sea idéntico

Después de importar una clave asimétrica en Cloud KMS o Cloud HSM, el material de clave es idéntico a la clave local. A fin de verificar que esto sea verdadero, puedes usar la clave importada para desencriptar datos que se encriptaron con la clave antes de importarla.

Para desencriptar un archivo con una clave de Cloud KMS o Cloud HSM:

gcloud kms decrypt \
  --location=location  \
  --keyring=key-ring-name \
  --key=key-name \
  --ciphertext-file=filepath-and-file-to-decrypt \
  --plaintext-file=decrypted-filepath-and-file.dec

Si el archivo al que apunta la marca --plaintext-file contiene los datos desencriptados correctos, el material de clave de la clave externa e importada es idéntico.

Para obtener más información, consulta encriptación y desencriptación de datos.

Verifica las certificaciones de una clave de Cloud HSM

Después de importar una clave a una clave de Cloud HSM, puedes ver las certificaciones para verificar que esta se encuentre en un HSM de Google. El procedimiento es diferente para verificar las claves asimétricas de Cloud HSM y las claves asimétricas.

Las certificaciones no están disponibles para las claves de software en Cloud KMS.

Claves simétricas de Cloud HSM

Puedes usar el atributo de clave de valor de suma de verificación de clave extendida (EKCV) para verificar el material de clave de una clave de Cloud HSM importada. Este valor se calcula en función del contenido de la sección 2 de RFC 5869. El valor se obtiene mediante la función de derivación de clave de extracción y expansión basada en HAAC (HKDF) basada en SHA-256 con 32 cero bytes como sal y se expande con la string fija Valor de verificación de clave como información. Para recuperar este valor, puedes certificar la clave.

Claves asimétricas de Cloud HSM

Cuando solicitas la importación de una clave asimétrica, incluyes tu clave privada unida. La clave privada contiene suficiente información para que Cloud KMS derive la clave pública. Después de la importación de tu clave, puedes recuperar la clave pública y verificar que coincida con la clave pública que almacenaste de manera local. Para obtener más información sobre cómo verificar el atributo de clave pública, consulta Para verificar la clave pública.

Puedes verificar la verificación EKCV para claves asimétricas. En este caso, el valor es el resumen SHA-256 de la clave pública codificada en DER. Para recuperar este valor, observa la certificación de la clave. Para obtener más información sobre cómo verificar el atributo de clave EKCV, consulta Verifica las propiedades de la clave.

Para obtener información adicional sobre la certificación de las claves que importas, consulta Verifica una clave.

¿Qué sigue?