Hash de la clave del recurso

El hash de la clave del recurso es un mecanismo que le permite a Google verificar la integridad del las claves de encriptación unidas sin tener acceso a ellas.

Generar el hash de la clave del recurso requiere acceso a la clave separada, lo que incluye la DEK, el resource_name y el perimeter_id especificados durante la clave de unión de imágenes.

Usamos la función criptográfica HMAC-SHA256 con unwrapped_dek como clave y la concatenación de metadatos como datos ("ResourceKeyDigest:", resource_name, ":", perimeter_id) resource_name y perimeter_id deben ser cadenas codificadas en UTF-8.

Por ejemplo, cuando resource_name = "my_resource", perimeter_id = "my_perimeter" y unwrapped_dek = 0xf00d, la clave del recurso hash es:

echo -n "ResourceKeyDigest:my_resource:my_perimeter" | openssl sha256 -mac HMAC -macopt hexkey:f00d -binary