Kaynak anahtarı karması, Google'ın anahtarlara erişmek zorunda kalmadan sarmalanmış şifreleme anahtarlarının bütünlüğünü doğrulamasını sağlayan bir mekanizmadır.
Kaynak anahtarı karmasının oluşturulması için anahtar sarmalama işlemi sırasında belirtilen DEK, resource_name
ve perimeter_id
dahil sarmalanmamış anahtara erişim gerekir.
Anahtar olarak unwrapped_dek
ile HMAC-SHA256 şifreleme işlevini, meta verileri ise ("ResourceKeyDigest:", resource_name, ":", perimeter_id)
olarak birleştiriyoruz.
resource_name
ve perimeter_id
, UTF-8 olarak kodlanmış dizeler olmalıdır.
Örneğin, resource_name = "my_resource"
, perimeter_id = "my_perimeter"
ve unwrapped_dek = 0xf00d
olduğunda kaynak anahtar karması şöyle olur:
echo -n "ResourceKeyDigest:my_resource:my_perimeter" | openssl sha256 -mac HMAC -macopt hexkey:f00d -binary