Verifica di una chiave importata

Questo argomento mostra come verificare una chiave asimmetrica che importi in Cloud KMS o Cloud HSM.

Per ulteriori informazioni sul funzionamento dell'importazione, incluse limitazioni e restrizioni, consulta Importazione chiave.

Limitazioni sulla verifica delle chiavi importate

Dati criptati al di fuori di Cloud KMS

Il modo migliore per testare una chiave importata è decriptare i dati criptati prima dell'importazione, o criptare i dati utilizzando la chiave importata e decriptarla con la chiave prima dell'importazione.

In Cloud KMS o Cloud HSM, questo è possibile solo quando importi una chiave asimmetrica. Questo perché, quando i dati vengono criptati utilizzando una chiave Cloud KMS o Cloud HSM, i metadati aggiuntivi sulla versione della chiave di crittografia vengono salvati, criptati insieme ai dati criptati. Questi metadati non sono presenti nei dati criptati al di fuori di Cloud KMS.

Verifica delle attestazioni

Puoi verificare le attestazioni sulle chiavi Cloud HSM. Queste attestazioni affermano che la chiave è una chiave HSM, che il modulo HSM è di proprietà di Google e altri dettagli sulla chiave. Queste attestazioni non sono disponibili per le chiavi software.

Prima di iniziare

  • Importa una chiave asimmetrica in Cloud KMS o Cloud HSM. Devi utilizzare Cloud HSM se vuoi verificare le attestazioni delle chiavi.
  • Se possibile, completa le attività in questo argomento utilizzando lo stesso sistema locale in cui hai importato la chiave, in modo che nel sistema locale sia già installato e configurato l'interfaccia a riga di comando di Google Cloud.
  • Cripta un file utilizzando la chiave locale o copia un file criptato con la chiave in questione nel sistema locale.

Verifica che il materiale della chiave sia identico

Dopo aver importato una chiave asimmetrica in Cloud KMS o Cloud HSM, il materiale della chiave è identico alla chiave locale. Per verificare che questo corrisponda al vero, puoi utilizzare la chiave importata per decriptare i dati criptati mediante la chiave prima dell'importazione.

Per decriptare un file utilizzando una chiave Cloud KMS o Cloud HSM:

gcloud kms decrypt \
  --location=location  \
  --keyring=key-ring-name \
  --key=key-name \
  --ciphertext-file=filepath-and-file-to-decrypt \
  --plaintext-file=decrypted-filepath-and-file.dec

Se il file a cui rimanda il flag --plaintext-file contiene i dati decriptati corretti, il materiale della chiave della chiave esterna e di quella importata è identico.

Per ulteriori informazioni, consulta la sezione Criptare e decriptare i dati.

Verifica delle attestazioni di una chiave Cloud HSM

Dopo aver importato una chiave in un HSM, puoi visualizzare le attestazioni per verificare che HSM è di proprietà di Google. La procedura è diversa per verificare le chiavi simmetriche Cloud HSM e le chiavi asimmetriche.

Le attestazioni non sono disponibili per le chiavi software in Cloud KMS.

Chiavi simmetriche Cloud HSM

Puoi utilizzare l'attributo della chiave EKCV (Extended Key Checksum Value) per verificare il materiale di una chiave Cloud HSM importata. Questo valore viene calcolato seguendo la formula RFC 5869, sezione 2. Il valore viene derivato utilizzando la chiave di estrazione e espansione basata su HMAC basata su SHA-256 (HKDF) con 32 zero byte come sale e espandendola con la stringa fissa Valore del controllo chiave come informazioni. Per recuperare questo valore, puoi attestare la chiave.

Chiavi asimmetriche di Cloud HSM

Quando crei una richiesta di importazione per una chiave asimmetrica, devi includere la chiave privata aggregata. La chiave privata contiene informazioni sufficienti affinché Cloud KMS possa ricavare la chiave pubblica. Dopo aver importato la chiave, puoi recuperarla e verificare che corrisponda alla chiave pubblica archiviata localmente. Per scoprire di più sul controllo dell'attributo di chiave pubblica, consulta Per verificare la chiave pubblica.

Puoi verificare la verifica EKCV per le chiavi asimmetriche. In questo caso, il valore è il digest SHA-256 della chiave pubblica con codifica DER. Puoi recuperare questo valore esaminando l'attestato della chiave. Per ulteriori informazioni sul controllo dell'attributo della chiave EKCV, consulta Per verificare le proprietà delle chiavi.

Per ulteriori informazioni sull'attestazione delle chiavi importate, consulta Attestare una chiave

Passaggi successivi