Hash kunci resource adalah mekanisme yang memungkinkan Google memverifikasi integritas kunci enkripsi yang digabungkan tanpa memiliki akses ke kunci tersebut.
Membuat hash kunci resource memerlukan akses ke kunci yang tidak digabungkan termasuk
DEK, resource_name, dan perimeter_id yang ditentukan selama kunci
penggabungan.
Kita menggunakan fungsi kriptografi HMAC-SHA256 dengan unwrapped_dek sebagai kunci dan
penyambungan {i>metadata<i} sebagai data
("ResourceKeyDigest:", resource_name, ":", perimeter_id).
resource_name dan perimeter_id harus berupa string berenkode UTF-8.
Misalnya, saat resource_name = "my_resource",
perimeter_id = "my_perimeter" dan unwrapped_dek = 0xf00d, kunci resource
hash-nya adalah:
echo -n "ResourceKeyDigest:my_resource:my_perimeter" | openssl sha256 -mac HMAC -macopt hexkey:f00d -binary