แฮชคีย์ทรัพยากรเป็นกลไกที่ช่วยให้ Google ยืนยันความสมบูรณ์ของคีย์การเข้ารหัสที่รวมไว้โดยไม่ต้องเข้าถึงคีย์ดังกล่าว
การสร้างแฮชคีย์ทรัพยากรต้องมีสิทธิ์เข้าถึงคีย์ที่ไม่ได้ปกปิด ซึ่งรวมถึง DEK, resource_name
และ perimeter_id
ที่ระบุในระหว่างการดำเนินการตัดคีย์
เราใช้ฟังก์ชันการเข้ารหัส HMAC-SHA256 พร้อมด้วย unwrapped_dek
เป็นคีย์และการเชื่อมโยงข้อมูลเมตาเป็นข้อมูล("ResourceKeyDigest:", resource_name, ":", perimeter_id)
resource_name
และ perimeter_id
ควรเป็นสตริงที่เข้ารหัส UTF-8
ตัวอย่างเช่น เมื่อ resource_name = "my_resource"
, perimeter_id = "my_perimeter"
และ unwrapped_dek = 0xf00d
แฮชคีย์ทรัพยากรคือ
echo -n "ResourceKeyDigest:my_resource:my_perimeter" | openssl sha256 -mac HMAC -macopt hexkey:f00d -binary