Questa pagina è stata tradotta dall'API Cloud Translation.

Verificare una versione della chiave importata

Questo argomento mostra come verificare una versione di chiave asimmetrica che import in Cloud KMS o Cloud HSM.

Per ulteriori dettagli sul funzionamento dell'importazione, incluse limitazioni e vincoli, consulta Importazione delle chiavi.

Limitazioni alla verifica delle chiavi importate

Dati criptati al di fuori di Cloud KMS

Il modo migliore per testare una chiave importata è decriptare i dati criptati prima dell'importazione della chiave oppure criptare i dati utilizzando la chiave importata e decriptarli utilizzando la chiave prima dell'importazione.

In Cloud KMS o Cloud HSM, questo è possibile solo quando importi una chiave asimmetrica. Questo perché, quando i dati vengono criptati utilizzando una chiave simmetrica Cloud KMS o Cloud HSM, i metadati aggiuntivi relativi alla versione della chiave di crittografia vengono salvati e criptati insieme ai dati criptati. Questi metadati non sono presenti nei dati criptati al di fuori di Cloud KMS.

Verificare le attestazioni

Puoi verificare le attestazioni relative alle chiavi Cloud HSM. Queste attestazioni affermano che la chiave è una chiave HSM, che il modulo HSM è di proprietà di Google e altri dettagli sulla chiave. Queste attestazioni non sono disponibili per le chiavi software.

Prima di iniziare

Importa una chiave asimmetrica in Cloud KMS o Cloud HSM. Devi utilizzare Cloud HSM se vuoi verificare le attestazioni della chiave.
Se possibile, completa le attività in questo argomento utilizzando lo stesso sistema locale in cui hai importato la chiave, in modo che il sistema locale abbia già installato e configurato Google Cloud CLI.
Cripta un file utilizzando la chiave locale o copia un file criptato con questa chiave sul sistema locale.

Verifica che il materiale della chiave sia identico

Dopo aver importato una chiave asimmetrica in Cloud KMS o Cloud HSM, il materiale della chiave è identico alla chiave locale. Per verificare che sia così, puoi utilizzare la chiave importata per decriptare i dati che sono stati criptati utilizzando la chiave prima dell'importazione.

Per decriptare un file utilizzando una chiave Cloud KMS o Cloud HSM:

gcloud kms decrypt \
  --location=location  \
  --keyring=key-ring-name \
  --key=key-name \
  --ciphertext-file=filepath-and-file-to-decrypt \
  --plaintext-file=decrypted-filepath-and-file.dec

Se il file a cui fa riferimento il flag --plaintext-file contiene i dati decriptati corretti, il materiale della chiave della chiave esterna e importata è identico.

Per scoprire di più, consulta la sezione Crittografia e decrittografia dei dati.

Verificare le attestazioni per una chiave Cloud HSM

Dopo aver importato una chiave in un HSM, puoi visualizzare le attestazioni per verificare che l'HSM sia di proprietà di Google. La procedura è diversa per verificare le chiavi simmetriche Cloud HSM e le chiavi asimmetriche.

Le attestazioni non sono disponibili per le chiavi software in Cloud KMS.

Chiavi Cloud HSM simmetriche

Puoi utilizzare l'attributo della chiave Valore del checksum della chiave estesa (EKCV) per verificare il materiale della chiave di una chiave Cloud HSM importata. Questo valore viene calcolato seguendo la sezione 2 del RFC 5869. Il valore viene dedotto utilizzando la funzione di derivazione della chiave di estrazione ed espansione (HKDF) basata su HMAC e SHA-256 con 32 byte zero come sale e stendendola con la stringa fissa Key Check Value (Valore di controllo della chiave) come informazioni. Per recuperare questo valore, puoi attestare la chiave.

Chiavi Cloud HSM asimmetriche

Quando effettui la richiesta di importazione di una chiave asimmetrica, includi la chiave privata con wrapping. La chiave privata contiene informazioni sufficienti per consentire a Cloud KMS di dedurre la chiave pubblica. Una volta importata la chiave, puoi recuperare la chiave pubblica e verificare che corrisponda a quella memorizzata localmente. Per ulteriori informazioni sul controllo dell'attributo della chiave pubblica, consulta Verificare la chiave pubblica.

Puoi verificare la verifica EKCV per le chiavi asimmetriche. In questo caso, il valore è il digest SHA-256 della chiave pubblica con codifica DER. Puoi recuperare questo valore esaminando l'attestazione della chiave. Per ulteriori informazioni sul controllo dell'attributo chiave EKCV, consulta Verificare le proprietà chiave.

Per ulteriori informazioni sull'attestazione delle chiavi importate, consulta Attestare una chiave

Passaggi successivi

Scopri come creare chiavi
Scopri di più su crittografia e decrittografia
Scopri di più sulla firma e sulla convalida dei dati

Indietro

Importa una versione della chiave