Esta página se ha traducido con Cloud Translation API.

Verificar una versión de clave importada

En este artículo se explica cómo verificar una versión de clave asimétrica que importes en Cloud KMS o Cloud HSM.

Para obtener más información sobre cómo funciona la importación, incluidas las limitaciones y restricciones, consulta el artículo Importación de claves.

Limitaciones al verificar claves importadas

Datos cifrados fuera de Cloud KMS

La mejor forma de probar una clave importada es descifrar datos que se cifraron antes de importar la clave o cifrar datos con la clave importada y descifrarlos con la clave antes de la importación.

En Cloud KMS o Cloud HSM, esto solo es posible cuando se importa una clave asimétrica. Esto se debe a que, cuando los datos se cifran con una clave simétrica de Cloud KMS o Cloud HSM, se guardan metadatos adicionales sobre la versión de la clave de cifrado, que también se cifran, junto con los datos cifrados. Estos metadatos no están presentes en los datos cifrados fuera de Cloud KMS.

Verificar atestaciones

Puedes verificar las atestaciones de las claves de Cloud HSM. Estas atestaciones afirman que la clave es una clave de HSM, que el módulo de HSM es propiedad de Google y otros detalles sobre la clave. Estas certificaciones no están disponibles para las claves de software.

Antes de empezar

Importa una clave asimétrica en Cloud KMS o Cloud HSM. Debes usar Cloud HSM si quieres verificar las atestaciones de la clave.
Si es posible, completa las tareas de este tema en el mismo sistema local en el que importaste la clave, de modo que el sistema local ya tenga instalada y configurada la CLI de Google Cloud.
Encriptar un archivo con la clave local o copiar un archivo encriptado con esa clave en el sistema local.

Verificar que el material de la clave es idéntico

Después de importar una clave asimétrica en Cloud KMS o Cloud HSM, el material de la clave es idéntico al de la clave local. Para comprobar que esto es así, puedes usar la clave importada para descifrar datos que se cifraron con la clave antes de importarla.

Para desencriptar un archivo con una clave de Cloud KMS o Cloud HSM, sigue estos pasos:

gcloud kms decrypt \
  --location=location  \
  --keyring=key-ring-name \
  --key=key-name \
  --ciphertext-file=filepath-and-file-to-decrypt \
  --plaintext-file=decrypted-filepath-and-file.dec

Si el archivo al que apunta la marca --plaintext-file contiene los datos descifrados correctos, el material de la clave externa y de la clave importada es idéntico.

Para obtener más información, consulta el artículo sobre cifrado y descifrado de datos.

Verificar atestaciones de una clave de Cloud HSM

Una vez que se haya importado una clave en un HSM, podrás ver las atestaciones para verificar que el HSM es propiedad de Google. El procedimiento para verificar claves simétricas de Cloud HSM y claves asimétricas es diferente.

Las certificaciones no están disponibles para las claves de software en Cloud KMS.

Claves simétricas de Cloud HSM

Puedes usar el atributo de clave Extended Key Checksum Value (EKCV) para verificar el material de clave de una clave de Cloud HSM importada. Este valor se calcula siguiendo la RFC 5869, sección 2. El valor se deriva mediante la función de derivación de claves de extracción y expansión (HKDF) basada en HMAC y SHA-256, con 32 bytes cero como salt y expandiéndolo con la cadena fija Key Check Value como información. Para obtener este valor, puedes certificar la clave.

Claves asimétricas de Cloud HSM

Cuando hagas la solicitud de importación de una clave asimétrica, incluye tu clave privada encapsulada. La clave privada contiene información suficiente para que Cloud KMS derive la clave pública. Una vez que se haya importado la clave, puedes obtener la clave pública y verificar que coincide con la que tienes almacenada localmente. Para obtener más información sobre cómo comprobar el atributo de clave pública, consulta Verificar la clave pública.

Puedes verificar la verificación de EKCV para claves asimétricas. En este caso, el valor es el digest SHA-256 de la clave pública codificada en DER. Puedes obtener este valor consultando la certificación de la clave. Para obtener más información sobre cómo comprobar el atributo de clave EKCV, consulta Verificar las propiedades de una clave.

Para obtener más información sobre la certificación de las claves que importas, consulta Certificar una clave.

Siguientes pasos

Consulta cómo crear claves.
Consulta información sobre el cifrado y descifrado.
Consulta información sobre cómo firmar y validar datos.

Importa una versión de clave

Verificar una versión de clave importada Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.