リソース鍵ハッシュは、Google が鍵にアクセスすることなくラップされた暗号鍵の整合性を検証できるようにするメカニズムです。
リソース鍵のハッシュを生成するには、鍵のラップ オペレーション中に指定された DEK、resource_name
、perimeter_id
など、ラップ解除された鍵にアクセスする必要があります。
unwrapped_dek
をキーとして使用し、メタデータをデータ ("ResourceKeyDigest:", resource_name, ":", perimeter_id)
として連結した暗号関数 HMAC-SHA256 を使用します。resource_name
と perimeter_id
は UTF-8 でエンコードされた文字列にする必要があります。
たとえば、resource_name = "my_resource"
、perimeter_id = "my_perimeter"
、unwrapped_dek = 0xf00d
の場合、リソースキーのハッシュは次のようになります。
echo -n "ResourceKeyDigest:my_resource:my_perimeter" | openssl sha256 -mac HMAC -macopt hexkey:f00d -binary