Verificare la versione di una chiave importata

Questo argomento illustra come verificare una versione di una chiave asimmetrica import in Cloud KMS o Cloud HSM.

Per ulteriori dettagli su come funziona l'importazione, incluse limitazioni e restrizioni, consulta Importazione delle chiavi.

Limitazioni alla verifica delle chiavi importate

Dati criptati al di fuori di Cloud KMS

Il modo migliore per testare una chiave importata è decriptare i dati criptati prima dell'importazione della chiave oppure criptare i dati utilizzando la chiave importata e decriptarli utilizzando la chiave prima dell'importazione.

In Cloud KMS o Cloud HSM, questo è possibile solo quando importi una chiave asimmetrica. Questo perché, quando i dati vengono criptati utilizzando una chiave simmetrica Cloud KMS o Cloud HSM, i metadati aggiuntivi relativi alla versione della chiave di crittografia vengono salvati e criptati insieme ai dati criptati. Questi metadati non sono presenti nei dati criptati al di fuori di Cloud KMS.

Verifica attestazioni

Puoi verificare le attestazioni sulle chiavi Cloud HSM. Queste attestazioni affermano che la chiave è una chiave HSM, che il modulo HSM è di proprietà di Google e altri dettagli sulla chiave. Queste attestazioni non sono disponibili per le chiavi software.

Prima di iniziare

  • Importa una chiave asimmetrica in Cloud KMS o Cloud HSM. Devi utilizzare Cloud HSM se vuoi verificare le attestazioni della chiave.
  • Se possibile, completa le attività in questo argomento utilizzando lo stesso sistema locale in cui hai importato la chiave, in modo che Google Cloud CLI sia già installato e configurato nel sistema locale.
  • Cripta un file utilizzando la chiave locale o copia nel sistema locale un file criptato con quella chiave.

Verifica che il materiale della chiave sia identico

Dopo aver importato una chiave asimmetrica in Cloud KMS o Cloud HSM, il materiale della chiave è identico a quello della chiave locale. Per verificare che sia vero, puoi utilizzare la chiave importata per decriptare i dati criptati con la chiave prima dell'importazione.

Per decriptare un file utilizzando una chiave Cloud KMS o Cloud HSM:

gcloud kms decrypt \
  --location=location  \
  --keyring=key-ring-name \
  --key=key-name \
  --ciphertext-file=filepath-and-file-to-decrypt \
  --plaintext-file=decrypted-filepath-and-file.dec

Se il file a cui punta il flag --plaintext-file contiene i dati decriptati corretti, il materiale della chiave della chiave esterna e importata è identico.

Per scoprire di più, vedi Crittografia e decriptazione dei dati.

Verificare le attestazioni per una chiave Cloud HSM

Dopo l'importazione di una chiave in un HSM, puoi visualizzare le attestazioni per verificare che l'HSM sia di proprietà di Google. La procedura è diversa per verificare le chiavi Cloud HSM simmetriche e le chiavi asimmetriche.

Le attestazioni non sono disponibili per le chiavi software in Cloud KMS.

Chiavi simmetriche Cloud HSM

Puoi utilizzare l'attributo chiave EKCV (Extended Key Checksum Value) per verificare il materiale della chiave di una chiave Cloud HSM importata. Questo valore viene calcolato seguendo RFC 5869, sezione 2. Il valore viene derivato utilizzando la funzione di estrazione e espansione della derivazione delle chiavi (HKDF) basata su SHA-256 con 32 zero byte come sale e l'espansione con la stringa fissa Key Check Value come informazioni. Per recuperare questo valore, puoi attestare la chiave.

Chiavi Cloud HSM asimmetriche

Quando effettui la richiesta di importazione per una chiave asimmetrica, includi la chiave privata con wrapping. La chiave privata contiene informazioni sufficienti per consentire a Cloud KMS di ricavare la chiave pubblica. Dopo aver importato la chiave, puoi recuperare la chiave pubblica e verificare che corrisponda alla chiave pubblica archiviata localmente. Per ulteriori informazioni sul controllo dell'attributo della chiave pubblica, consulta Per verificare la chiave pubblica.

Puoi verificare la verifica EKCV per le chiavi asimmetriche. In questo caso, il valore è il digest SHA-256 della chiave pubblica con codifica DER. Puoi recuperare questo valore esaminando l'attestazione della chiave. Per ulteriori informazioni su come controllare l'attributo chiave EKCV, consulta Per verificare le proprietà della chiave.

Per ulteriori informazioni sull'attestazione delle chiavi importate, consulta Attestazione di una chiave

Passaggi successivi