Cette rubrique explique comment valider une version de clé asymétrique que vous import dans Cloud KMS ou Cloud HSM.
Pour plus d'informations sur le fonctionnement de l'importation, y compris les limitations et les restrictions, reportez-vous à la section Importation des clés.
Limites applicables à la validation des clés importées
Données chiffrées en dehors de Cloud KMS
Le meilleur moyen de tester une clé importée consiste à déchiffrer les données chiffrées avant leur importation, ou à chiffrer les données à l'aide de la clé importée.
Dans Cloud KMS ou Cloud HSM, cela n'est possible que lorsque vous importez une clé asymétrique. En effet, lorsque les données sont chiffrées à l'aide d'une clé Cloud KMS ou Cloud HSM symétrique, des métadonnées supplémentaires sur la version de la clé de chiffrement sont enregistrées et chiffrées, ainsi que les données chiffrées. Ces métadonnées ne sont pas présentes dans les données chiffrées en dehors de Cloud KMS.
Valider les attestations
Vous pouvez valider les attestations relatives aux clés Cloud HSM. Ces attestations indiquent que la clé est une clé HSM, que le module HSM appartient à Google et d'autres détails sur la clé. Ces attestations ne sont pas disponibles pour les clés logicielles.
Avant de commencer
- Importez une clé asymétrique dans Cloud KMS ou Cloud HSM. Vous devez utiliser Cloud HSM si vous souhaitez valider les attestations de la clé.
- Si possible, réalisez les tâches de cette rubrique en utilisant le même système local que celui où vous avez importé la clé, de sorte que la Google Cloud CLI soit déjà installée et configurée.
- Chiffrez un fichier à l'aide de la clé locale ou copiez un fichier chiffré avec cette clé sur le système local.
Vérifier que le matériel de la clé est identique
Après avoir importé une clé asymétrique dans Cloud KMS ou Cloud HSM, le matériel de la clé est identique à la clé locale. Pour vérifier que c'est le cas, vous pouvez utiliser la clé importée pour déchiffrer les données qui ont été chiffrées à l'aide de la clé avant l'importation.
Pour déchiffrer un fichier à l'aide d'une clé Cloud KMS ou Cloud HSM, procédez comme suit :
gcloud kms decrypt \ --location=location \ --keyring=key-ring-name \ --key=key-name \ --ciphertext-file=filepath-and-file-to-decrypt \ --plaintext-file=decrypted-filepath-and-file.dec
Si le fichier pointé par l'indicateur --plaintext-file
contient les données décryptées correctes, le matériel de la clé externe et celui de la clé importée est identique.
Pour en savoir plus, consultez la section Chiffrer et déchiffrer des données.
Valider les attestations pour une clé Cloud HSM
Après avoir importé une clé dans un HSM, vous pouvez afficher les attestations pour vérifier que le HSM appartient à Google. La procédure est différente pour valider les clés Cloud HSM symétriques et les clés asymétriques.
Les attestations ne sont pas disponibles pour les clés logicielles dans Cloud KMS.
Clés Cloud HSM symétriques
Vous pouvez utiliser l'attribut de clé de valeur de somme de contrôle étendue (EKCV, Extended Key Checksum Value) pour valider le matériel de clé d'une clé Cloud HSM importée. Cette valeur est calculée en suivant la section 2 de la RFC 5869. La valeur est dérivée à l'aide de la fonction de dérivation de clé d'extraction et de développement (HKDF) basée sur le protocole HMAC et sur le condensé SHA-256 avec 32 octets zéros de salage, et développée avec la chaîne fixe Key Check Value (Valeur de contrôle de clé) comme information. Pour récupérer cette valeur, vous pouvez attester la clé.
Clés Cloud HSM asymétriques
Lorsque vous envoyez la requête d'importation pour une clé asymétrique, vous incluez la clé privée encapsulée. La clé privée contient suffisamment d'informations pour que Cloud KMS puisse retirer la clé publique. Une fois la clé importée, vous pouvez récupérer la clé publique et vérifier qu'elle correspond à la clé publique que vous avez stockée localement. Pour plus d'informations sur la vérification de l'attribut de clé publique, consultez la section Valider la clé publique.
Vous pouvez vérifier la vérification EKCV pour les clés asymétriques. Dans ce cas, la valeur est le condensé SHA-256 de la clé publique codée DER. Vous pouvez récupérer cette valeur en consultant l'attestation de la clé. Pour plus d'informations sur la vérification de l'attribut de clé EKCV, consultez la section Valider les propriétés de la clé.
Pour plus d'informations sur l'attestation des clés que vous importez, consultez la section Attester d'une clé.
Étape suivante
- Découvrez comment créer des clés.
- En savoir plus sur le chiffrement et le déchiffrement
- Découvrez comment signer et valider des données.