Ressourcenschlüssel-Hash

Der Ressourcenschlüssel-Hash ist ein Mechanismus, mit dem Google die Integrität ohne Zugriff auf die verpackten Verschlüsselungsschlüssel.

Zum Generieren des Ressourcenschlüssel-Hashs benötigen Sie Zugriff auf den entpackten Schlüssel, einschließlich den DEK, den resource_name und den perimeter_id, die während des Schlüssels angegeben wurden Wrapping-Vorgang.

Wir verwenden die kryptografische Funktion HMAC-SHA256 mit unwrapped_dek als Schlüssel und die Verkettung von Metadaten als Daten ("ResourceKeyDigest:", resource_name, ":", perimeter_id). resource_name und perimeter_id sollten UTF-8-codierte Strings sein.

Wenn beispielsweise resource_name = "my_resource", perimeter_id = "my_perimeter" und unwrapped_dek = 0xf00d, der Ressourcenschlüssel Hash lautet:

echo -n "ResourceKeyDigest:my_resource:my_perimeter" | openssl sha256 -mac HMAC -macopt hexkey:f00d -binary