הגיבוב של מפתח המשאב הוא מנגנון שמאפשר ל-Google לאמת את התקינות של מפתחות ההצפנה הארוזים בלי לקבל גישה למפתחות.
כדי ליצור גיבוב של מפתח המשאב נדרשת גישה למפתח שהאריזה שלו נפתחה, כולל ה-DEK, ה-resource_name וה-perimeter_id שצוינו במהלך פעולת האריזה של המפתח.
אנחנו משתמשים בפונקציה הקריפטוגרפית HMAC-SHA256 עם unwrapped_dek כמפתח ואת שרשור המטא-נתונים כנתונים ("ResourceKeyDigest:", resource_name, ":", perimeter_id).
המחרוזות resource_name ו-perimeter_id צריכות להיות בקידוד UTF-8.
לדוגמה, כאשר resource_name = "my_resource", perimeter_id = "my_perimeter" ו-unwrapped_dek = 0xf00d, הגיבוב של מפתח המשאב הוא:
echo -n "ResourceKeyDigest:my_resource:my_perimeter" | openssl sha256 -mac HMAC -macopt hexkey:f00d -binary