Esta página foi traduzida pela API Cloud Translation.

Valide uma versão da chave importada

Este tópico mostra como validar uma versão de chave assimétrica que importa para o Cloud KMS ou o Cloud HSM.

Para mais detalhes sobre o funcionamento da importação, incluindo limitações e restrições, consulte o artigo Importação de chaves.

Limitações na validação de chaves importadas

Dados encriptados fora do Cloud KMS

A melhor forma de testar uma chave importada é desencriptar dados que foram encriptados antes da importação da chave ou encriptar dados com a chave importada e desencriptá-los com a chave antes da importação.

No Cloud KMS ou no Cloud HSM, isto só é possível quando importa uma chave assimétrica. Isto acontece porque, quando os dados são encriptados com uma chave simétrica do Cloud KMS ou do Cloud HSM, são guardados metadados adicionais sobre a versão da chave de encriptação, encriptados, juntamente com os dados encriptados. Estes metadados não estão presentes em dados encriptados fora do Cloud KMS.

Valide as atestações

Pode validar atestações sobre chaves do Cloud HSM. Estas atestações afirmam que a chave é uma chave do HSM, que o módulo do HSM é propriedade da Google e outros detalhes sobre a chave. Estas atestações não estão disponíveis para chaves de software.

Antes de começar

Importe uma chave assimétrica para o Cloud KMS ou o Cloud HSM. Tem de usar o HSM na nuvem se quiser validar as atestações da chave.
Se possível, conclua as tarefas neste tópico com o mesmo sistema local onde importou a chave, para que o sistema local já tenha o Google Cloud CLI instalado e configurado.
Encriptar um ficheiro com a chave local ou copiar um ficheiro encriptado com essa chave para o sistema local.

Verifique se o material principal é idêntico

Depois de importar uma chave assimétrica para o Cloud KMS ou o Cloud HSM, o material da chave é idêntico ao da chave local. Para verificar se isto é verdade, pode usar a chave importada para desencriptar dados que foram encriptados com a chave antes de ser importada.

Para desencriptar um ficheiro com uma chave do Cloud KMS ou do Cloud HSM:

gcloud kms decrypt \
  --location=location  \
  --keyring=key-ring-name \
  --key=key-name \
  --ciphertext-file=filepath-and-file-to-decrypt \
  --plaintext-file=decrypted-filepath-and-file.dec

Se o ficheiro indicado pela flag --plaintext-file contiver os dados desencriptados corretos, o material da chave externa e da chave importada é idêntico.

Para saber mais, consulte o artigo sobre encriptação e desencriptação de dados.

Valide atestações para uma chave do HSM na nuvem

Depois de importar uma chave para um HSM, pode ver atestações para verificar se o HSM é propriedade da Google. O procedimento é diferente para validar as chaves HSM da nuvem simétricas e as chaves assimétricas.

As atestações não estão disponíveis para chaves de software no Cloud KMS.

Chaves simétricas do Cloud HSM

Pode usar o atributo de chave Extended Key Checksum Value (EKCV) para validar o material da chave de uma chave do Cloud HSM importada. Este valor é calculado de acordo com a RFC 5869, secção 2. O valor é derivado através da função de derivação de chaves de extração e expansão baseada em HMAC baseada em SHA-256 (HKDF) com 32 bytes zero como salt e expandindo-o com a string fixa Key Check Value como info. Para obter este valor, pode atestar a chave.

Chaves assimétricas do Cloud HSM

Quando faz o pedido de importação de uma chave assimétrica, inclui a chave privada com encapsulamento. A chave privada contém informações suficientes para o Cloud KMS derivar a chave pública. Depois de importar a chave, pode aceder à chave pública e verificar se corresponde à chave pública que tem armazenada localmente. Para mais informações sobre a verificação do atributo de chave pública, consulte a secção Para validar a chave pública.

Pode validar a validação EKCV para chaves assimétricas. Neste caso, o valor é o resumo SHA-256 da chave pública codificada por DER. Pode obter este valor consultando a atestação da chave. Para mais informações sobre como verificar o atributo da chave EKCV, consulte a secção Para verificar as propriedades da chave.

Para mais informações sobre a atestação de chaves que importa, consulte o artigo Atestar uma chave

O que se segue?

Saiba como criar chaves
Saiba mais sobre a encriptação e a desencriptação
Saiba mais sobre a assinatura e a validação de dados

Importar uma versão de chave

Valide uma versão da chave importada Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.