En este tema, se muestra cómo verificar una versión de clave asimétrica que import a Cloud KMS o Cloud HSM.
Para obtener más información sobre cómo funciona la importación, incluidas las limitaciones y restricciones, consulta Importación de claves.
Limitaciones en la verificación de claves importadas
Datos encriptados fuera de Cloud KMS
La mejor manera de probar una clave importada es desencriptar los datos que se encriptaron antes de importarla o encriptar datos con la clave importada y desencriptarlos con la clave antes de la importación.
En Cloud KMS o Cloud HSM, esto solo es posible cuando importas una clave asimétrica. Esto se debe a que, cuando los datos se encriptan con una clave simétrica de Cloud KMS o Cloud HSM, se guardan metadatos adicionales sobre la versión de la clave de encriptación, además de los datos encriptados. Estos metadatos no están presentes en los datos encriptados fuera de Cloud KMS.
Verificar certificaciones
Puedes verificar las certificaciones sobre las claves de Cloud HSM. Estas certificaciones confirman que la clave es una clave de HSM, que el módulo de HSM es propiedad de Google y otros detalles sobre la clave. Estas certificaciones no están disponibles para claves de software.
Antes de comenzar
- Importa una clave asimétrica a Cloud KMS o Cloud HSM. Debes usar Cloud HSM si quieres verificar las certificaciones de la clave.
- Si es posible, completa las tareas de este tema con el mismo sistema local en el que importaste la clave, de modo que el sistema local ya tenga Google Cloud CLI instalado y configurado.
- Encripta un archivo con la clave local o copia un archivo encriptado con esa clave en el sistema local.
Verifica que el material de la clave sea idéntico
Después de importar una clave asimétrica en Cloud KMS o Cloud HSM, el material de la clave es idéntico al de la clave local. A fin de verificar que esto sea así, puedes usar la clave importada para desencriptar los datos que se encriptaron con la clave antes de importarlos.
Sigue estos pasos para desencriptar un archivo con una clave de Cloud KMS o Cloud HSM:
gcloud kms decrypt \ --location=location \ --keyring=key-ring-name \ --key=key-name \ --ciphertext-file=filepath-and-file-to-decrypt \ --plaintext-file=decrypted-filepath-and-file.dec
Si el archivo al que apunta la marca --plaintext-file contiene los datos desencriptados correctos, el material de clave de la clave externa e importada es idéntico.
Para obtener más información, consulta cómo encriptar y desencriptar datos.
Verifica las certificaciones de una clave de Cloud HSM
Después de importar una clave a un HSM, puedes ver las certificaciones para verificar que el HSM sea propiedad de Google. El procedimiento es diferente para verificar las claves simétricas de Cloud HSM y las claves asimétricas.
Las certificaciones no están disponibles para las claves de software en Cloud KMS.
Claves simétricas de Cloud HSM
Puedes usar el atributo de clave de valor de suma de verificación de clave extendida (EKCV) para verificar el material de clave de una clave de Cloud HSM importada. Este valor se calcula en función de lo que se indica en la sección 2 de RFC 5869. El valor deriva del uso de la función de derivación de claves de extracción y expansión (HKDF) de HMAC basada en SHA-256 con 32 bytes cero como sal y de la expansión con la string fija del valor de verificación de clave como información. Para recuperar este valor, puedes certificar la clave.
Claves asimétricas de Cloud HSM
Cuando solicitas la importación de una clave asimétrica, incluyes tu clave privada unida. La clave privada contiene suficiente información para que Cloud KMS derive la clave pública. Después de la importación de tu clave, puedes recuperar la clave pública y verificar que coincida con la clave pública que almacenaste de manera local. Para obtener más información sobre cómo verificar el atributo de clave pública, consulta Para verificar la clave pública.
Puedes verificar la verificación EKCV de claves asimétricas. En este caso, el valor es el resumen SHA-256 de la clave pública codificada en DER. Puedes recuperar este valor si consultas la certificación de la clave. Para obtener más información sobre cómo verificar el atributo de clave EKCV, consulta Verifica las propiedades de la clave.
Para obtener información adicional sobre la certificación de las claves que importas, consulta Certificar una clave
¿Qué sigue?
- Más información para crear claves
- Obtén más información sobre la encriptación y desencriptación
- Obtén información sobre cómo firmar y validar datos