הגיבוב של מפתח המשאב הוא מנגנון שמאפשר ל-Google לאמת את התקינות של את מפתחות ההצפנה העטופים בלי לקבל גישה למפתחות.
כדי ליצור גיבוב של מפתח המשאב, נדרשת גישה למפתח שלא ארוז, כולל
ה-DEK, resource_name וה-perimeter_id שצוינו במהלך המפתח
פעולת אריזה.
אנחנו משתמשים בפונקציה הקריפטוגרפית HMAC-SHA256 עם unwrapped_dek בתור מפתח
שרשור מטא-נתונים כנתונים
("ResourceKeyDigest:", resource_name, ":", perimeter_id).
המחרוזת resource_name ו-perimeter_id צריכות להיות בקידוד UTF-8.
לדוגמה, כאשר resource_name = "my_resource",
perimeter_id = "my_perimeter" ו-unwrapped_dek = 0xf00d, מפתח המשאב
הגיבוב הוא:
echo -n "ResourceKeyDigest:my_resource:my_perimeter" | openssl sha256 -mac HMAC -macopt hexkey:f00d -binary