Memverifikasi versi kunci yang diimpor

Topik ini menunjukkan cara memverifikasi versi kunci asimetris yang Anda import ke Cloud KMS atau Cloud HSM.

Untuk detail selengkapnya tentang cara kerja impor, termasuk batasan dan pembatasan, lihat Impor kunci.

Batasan dalam memverifikasi kunci yang diimpor

Data dienkripsi di luar Cloud KMS

Cara terbaik untuk menguji kunci yang diimpor adalah dengan mendekripsi data yang dienkripsi sebelum kunci diimpor, atau dengan mengenkripsi data menggunakan kunci yang diimpor dan mendekripsinya menggunakan kunci tersebut sebelum diimpor.

Di Cloud KMS atau Cloud HSM, hal ini hanya dapat dilakukan jika Anda mengimpor kunci asimetris. Hal ini karena ketika data dienkripsi menggunakan kunci Cloud KMS atau Cloud HSM yang simetris, metadata tambahan tentang versi kunci enkripsi akan disimpan, dienkripsi, bersama dengan data yang dienkripsi. Metadata ini tidak ada dalam data yang dienkripsi di luar Cloud KMS.

Memverifikasi pengesahan

Anda dapat memverifikasi pengesahan tentang kunci Cloud HSM. Pengesahan ini menegaskan bahwa kunci adalah kunci HSM, bahwa modul HSM dimiliki oleh Google, dan detail lainnya tentang kunci tersebut. Pengesahan ini tidak tersedia untuk kunci software.

Sebelum memulai

  • Impor kunci asimetris ke Cloud KMS atau Cloud HSM. Anda harus menggunakan Cloud HSM jika ingin memverifikasi pengesahan kunci.
  • Jika memungkinkan, selesaikan tugas dalam topik ini menggunakan sistem lokal yang sama tempat Anda mengimpor kunci, sehingga sistem lokal sudah menginstal dan mengonfigurasi Google Cloud CLI.
  • Enkripsi file menggunakan kunci lokal, atau salin file yang dienkripsi dengan kunci tersebut ke sistem lokal.

Memverifikasi bahwa materi kunci identik

Setelah Anda mengimpor kunci asimetris ke Cloud KMS atau Cloud HSM, materi kunci tersebut akan identik dengan kunci lokal. Untuk memverifikasi bahwa hal ini benar, Anda dapat menggunakan kunci yang diimpor untuk mendekripsi data yang dienkripsi menggunakan kunci tersebut sebelum diimpor.

Untuk mendekripsi file menggunakan kunci Cloud KMS atau Cloud HSM:

gcloud kms decrypt \
  --location=location  \
  --keyring=key-ring-name \
  --key=key-name \
  --ciphertext-file=filepath-and-file-to-decrypt \
  --plaintext-file=decrypted-filepath-and-file.dec

Jika file yang ditunjuk oleh tanda --plaintext-file berisi data yang didekripsi yang benar, materi kunci dari kunci eksternal dan kunci yang diimpor akan sama.

Untuk mempelajari lebih lanjut, lihat mengenkripsi dan mendekripsi data.

Memverifikasi pengesahan kunci Cloud HSM

Setelah kunci diimpor ke HSM, Anda dapat melihat pengesahan untuk memverifikasi bahwa HSM dimiliki oleh Google. Prosedurnya berbeda untuk memverifikasi kunci Cloud HSM simetris dan kunci asimetris.

Pengesahan tidak tersedia untuk kunci software di Cloud KMS.

Kunci Cloud HSM yang simetris

Anda dapat menggunakan atribut kunci Extended Key Checksum Value (EKCV) untuk memverifikasi materi kunci kunci Cloud HSM yang diimpor. Nilai ini dihitung dengan mengikuti RFC 5869, bagian 2. Nilainya diperoleh menggunakan Extract-and-Expand Key Derivation Function (HKDF) berbasis HMAC berbasis SHA-256 dengan 32 nol byte sebagai salt dan memperluasnya dengan string tetap Key Check Value sebagai info. Untuk mengambil nilai ini, Anda dapat mengesahkan kunci.

Kunci Cloud HSM Asimetris

Saat membuat permintaan impor untuk kunci asimetris, Anda menyertakan kunci pribadi yang digabungkan. Kunci pribadi berisi informasi yang memadai agar Cloud KMS dapat memperoleh kunci publik. Setelah kunci diimpor, Anda dapat mengambil kunci publik tersebut dan memverifikasi bahwa kunci tersebut cocok dengan kunci publik yang telah Anda simpan secara lokal. Untuk mengetahui informasi selengkapnya tentang memeriksa atribut kunci publik, lihat Untuk memverifikasi kunci publik.

Anda dapat memverifikasi verifikasi EKCV untuk kunci asimetris. Dalam hal ini, nilainya adalah digest SHA-256 dari kunci publik yang dienkode dengan DER. Anda dapat mengambil nilai ini dengan melihat pengesahan kunci. Untuk informasi selengkapnya tentang memeriksa atribut kunci EKCV, lihat Untuk memverifikasi properti kunci.

Untuk informasi tambahan tentang cara mengesahkan kunci yang Anda impor, lihat Menetapkan pengesahan kunci

Langkah selanjutnya