Importierte Schlüsselversion prüfen

In diesem Thema wird beschrieben, wie Sie eine Version eines asymmetrischen Schlüssels verifizieren, den Sie in Cloud KMS oder Cloud HSM import.

Weitere Informationen zum Importieren, einschließlich Einschränkungen, finden Sie unter Schlüsselimport.

Einschränkungen bei der Verifizierung importierter Schlüssel

Daten, die außerhalb von Cloud KMS verschlüsselt wurden

Am besten testen Sie einen importierten Schlüssel, indem Sie die vor dem Import des Schlüssels verschlüsselten Daten entschlüsseln oder die Daten mit dem importierten Schlüssel verschlüsseln und vor dem Import mit dem Schlüssel wieder entschlüsseln.

In Cloud KMS oder Cloud HSM ist dies nur möglich, wenn Sie einen asymmetrischen Schlüssel importieren. Dies liegt daran, dass bei der Verschlüsselung von Daten mit einem synchronen Cloud KMS- oder Cloud HSM-Schlüssel zusätzliche Metadaten zur Verschlüsselungsschlüsselversion zusammen mit den verschlüsselten Daten gespeichert und verschlüsselt werden. Diese Metadaten sind nicht in Daten enthalten, die außerhalb von Cloud KMS verschlüsselt sind.

Attestierungen überprüfen

Sie können Attestierungen zu Cloud HSM-Schlüsseln. Diese Attestierungen bestätigen, dass es sich bei dem Schlüssel um einen HSM-Schlüssel handelt, dass das HSM-Modul Eigentum von Google ist sowie über weitere Details zum Schlüssel. Diese Attestierungen sind für Softwareschlüssel nicht verfügbar.

Hinweis

  • Importieren eines asymmetrischen Schlüssels in Cloud KMS oder Cloud HSM. Verwenden Sie Cloud HSM zum Überprüfen der Attestierungen des Schlüssels.
  • Wenn möglich, führen Sie die Aufgaben in diesem Thema mit demselben lokalen System aus, in das Sie den Schlüssel importiert haben, damit die Google Cloud CLI auf dem lokalen System bereits installiert und konfiguriert ist.
  • Verschlüsseln Sie eine Datei mit dem lokalen Schlüssel oder kopieren Sie eine mit diesem Schlüssel verschlüsselte Datei in das lokale System.

Überprüfen, ob das Schlüsselmaterial identisch ist

Nachdem Sie einen asymmetrischen Schlüssel in Cloud KMS oder Cloud HSM importiert haben, ist das Schlüsselmaterial mit dem lokalen Schlüssel identisch. Um dies zu überprüfen, können Sie den importierten Schlüssel verwenden, um Daten zu entschlüsseln, die vor dem Import mit dem Schlüssel verschlüsselt wurden.

So entschlüsseln Sie eine Datei mit einem Cloud KMS- oder Cloud HSM-Schlüssel:

gcloud kms decrypt \
  --location=location  \
  --keyring=key-ring-name \
  --key=key-name \
  --ciphertext-file=filepath-and-file-to-decrypt \
  --plaintext-file=decrypted-filepath-and-file.dec

Wenn die Datei, auf die das Flag --plaintext-file verweist, die richtigen entschlüsselten Daten enthält, ist das Schlüsselmaterial des externen und importierten Schlüssels identisch.

Weitere Informationen finden Sie unter Daten ver- und entschlüsseln.

Attestierungen für einen Cloud HSM-Schlüssel überprüfen

Nachdem ein Schlüssel in ein HSM importiert wurde, können Sie anhand der Attestierungen prüfen, ob das HSM Google gehört. Die Verfahren zur Überprüfung synchroner Cloud HSM-Schlüssel und asymmetrischer Schlüssel unterscheiden sich.

Für Software-Schlüssel in Cloud KMS sind keine Attestierungen verfügbar.

Symmetrische Cloud HSM-Schlüssel

Mit dem Schlüsselattribut "Erweiterter Schlüsselprüfungswert" (EKCV) können Sie das Schlüsselmaterial eines importierten Cloud HSM-Schlüssels überprüfen. Dieser Wert wird nach RFC 5869, Abschnitt 2, berechnet. Der Wert wird mithilfe der SHA-256-basierten, HMAC-basierten Extract-and-Expand Key Derivation Function (HKDF) mit 32 Null-Bytes als Salt abgeleitet und mit der festen Zeichenfolge Key Check Value als Information erweitert. Um diesen Wert abzurufen, können Sie den Schlüssel attestieren.

Asymmetrische Cloud HSM-Schlüssel

Wenn Sie die Importanforderung für einen asymmetrischen Schlüssel durchführen, geben Sie Ihren verpackten privaten Schlüssel an. Der private Schlüssel enthält für Cloud KMS ausreichende Informationen, um den öffentlichen Schlüssel abzuleiten. Nachdem Ihr Schlüssel importiert wurde, können Sie den öffentlichen Schlüssel abrufen und überprüfen, ob er mit dem lokal gespeicherten öffentlichen Schlüssel übereinstimmt. Weitere Informationen zum Überprüfen des Attributs des öffentlichen Schlüssels finden Sie unter Öffentlichen Schlüssel überprüfen.

Sie können die ECCV-Überprüfung für asymmetrische Schlüssel überprüfen. In diesem Fall ist der Wert das SHA-256-Digest des DER-codierten öffentlichen Schlüssels. Sie können diesen Wert abrufen, indem Sie sich die Bestätigung des Schlüssels ansehen. Weitere Informationen zum Überprüfen des EKCV-Schlüsselattributs finden Sie unter Schlüsselattribute überprüfen.

Weitere Informationen zum Attestieren von importierten Schlüsseln finden Sie unter Schlüssel attestieren.

Nächste Schritte