Verificare una versione della chiave importata

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questo argomento mostra come verificare una versione della chiave asimmetrica da importare in Cloud KMS o Cloud HSM.

Per maggiori dettagli sul funzionamento dell'importazione, comprese limitazioni e restrizioni, consulta Importazione delle chiavi.

Limitazioni sulla verifica delle chiavi importate

Dati criptati al di fuori di Cloud KMS

Il modo migliore per testare una chiave importata è decriptare i dati criptati prima dell'importazione della chiave oppure criptare i dati tramite la chiave importata e decriptarli con la chiave prima dell'importazione.

In Cloud KMS o Cloud HSM, questo è possibile solo quando importi una chiave asimmetrica. Il motivo è che, quando i dati vengono criptati utilizzando una chiave Cloud KMS o Cloud HSM, i metadati aggiuntivi sulla versione della chiave di crittografia vengono salvati, criptati e i dati criptati. Questi metadati non sono presenti nei dati criptati al di fuori di Cloud KMS.

Verifica le attestazioni

Puoi verificare le attestazioni sulle chiavi Cloud HSM. Le attestazioni affermano che la chiave è una chiave HSM, che il modulo HSM è di proprietà di Google e altri dettagli relativi alla chiave. Queste attestazioni non sono disponibili per le chiavi software.

Prima di iniziare

  • Importa una chiave asimmetrica in Cloud KMS o Cloud HSM. Devi utilizzare Cloud HSM per verificare le attestazioni della chiave.
  • Se possibile, completa le attività in questo argomento utilizzando lo stesso sistema locale in cui hai importato la chiave, in modo che il sistema locale abbia già installato e configurato Google Cloud CLI.
  • Cripta un file tramite la chiave locale oppure copia un file criptato con tale chiave nel sistema locale.

Verifica che il materiale della chiave sia identico

Dopo aver importato una chiave asimmetrica in Cloud KMS o Cloud HSM, il materiale della chiave è identico a quello della chiave locale. Per verificare che ciò sia vero, puoi utilizzare la chiave importata per decriptare i dati criptati con la chiave prima di essere importata.

Per decriptare un file utilizzando una chiave Cloud KMS o Cloud HSM:

gcloud kms decrypt \
  --location=location  \
  --keyring=key-ring-name \
  --key=key-name \
  --ciphertext-file=filepath-and-file-to-decrypt \
  --plaintext-file=decrypted-filepath-and-file.dec

Se il file a cui punta il flag --plaintext-file contiene i dati decriptati corretti, il materiale della chiave della chiave esterna e importata è identico.

Per scoprire di più, vedi Crittografia e decriptazione dei dati.

Verifica le attestazioni per una chiave Cloud HSM

Dopo aver importato una chiave in un HSM, puoi visualizzare le attestazioni per verificare che HSM sia di proprietà di Google. La procedura è diversa per verificare le chiavi Cloud HSM simmetriche e le chiavi asimmetriche.

Le attestazioni non sono disponibili per le chiavi software in Cloud KMS.

Chiavi Cloud HSM simmetriche

Puoi utilizzare l'attributo della chiave EKCV (Extended Key Checksum Value) per verificare il materiale della chiave di Cloud HSM importato. Questo valore viene calcolato seguendo la procedura RFC 5869, sezione 2. Il valore viene derivato utilizzando la funzione di estrazione/espansione delle chiavi (HKDF) basata su HMAC basata su SHA-256 con 32 zero byte come sale ed espandendola con la stringa fissa Valore di controllo chiave come informazioni. Per recuperare questo valore, puoi attestare la chiave.

Chiavi Cloud HSM asimmetriche

Quando esegui la richiesta di importazione per una chiave asimmetrica, includi la chiave privata aggregata. La chiave privata contiene informazioni sufficienti affinché Cloud KMS possa recuperare la chiave pubblica. Dopo aver importato la chiave, puoi recuperarla e verificare che corrisponda alla chiave pubblica che hai memorizzato localmente. Per ulteriori informazioni sul controllo dell'attributo della chiave pubblica, consulta Per verificare la chiave pubblica.

Puoi verificare la verifica EKCV per le chiavi asimmetriche. In questo caso, il valore è il digest SHA-256 della chiave pubblica con codifica DER. Puoi recuperare questo valore esaminando l'attestazione della chiave. Per ulteriori informazioni sul controllo dell'attributo della chiave EKCV, consulta Per verificare le proprietà della chiave.

Per ulteriori informazioni sull'attestazione delle chiavi importate, consulta la sezione Attestare una chiave.

Passaggi successivi