הגיבוב של מפתח המשאב הוא מנגנון שמאפשר ל-Google לאמת את התקינות של מפתחות ההצפנה הארוזים בלי לקבל גישה למפתחות.
כדי ליצור גיבוב של מפתח המשאב נדרשת גישה למפתח שהאריזה שלו נפתחה, כולל ה-DEK, ה-resource_name
וה-perimeter_id
שצוינו במהלך פעולת האריזה של המפתח.
אנחנו משתמשים בפונקציה הקריפטוגרפית HMAC-SHA256 עם unwrapped_dek
כמפתח ואת שרשור המטא-נתונים כנתונים ("ResourceKeyDigest:", resource_name, ":", perimeter_id)
.
המחרוזות resource_name
ו-perimeter_id
צריכות להיות בקידוד UTF-8.
לדוגמה, כאשר resource_name = "my_resource"
, perimeter_id = "my_perimeter"
ו-unwrapped_dek = 0xf00d
, הגיבוב של מפתח המשאב הוא:
echo -n "ResourceKeyDigest:my_resource:my_perimeter" | openssl sha256 -mac HMAC -macopt hexkey:f00d -binary