L'hash della chiave della risorsa è un meccanismo che consente a Google di verificare l'integrità delle chiavi di crittografia con wrapping senza avere accesso alle chiavi.
La generazione dell'hash della chiave della risorsa richiede l'accesso alla chiave senza wrapping che include DEK, resource_name e perimeter_id specificati durante l'operazione di wrapping della chiave.
Utilizziamo la funzione crittografica HMAC-SHA256 con unwrapped_dek come chiave e
la concatenazione dei metadati come dati
("ResourceKeyDigest:", resource_name, ":", perimeter_id).
resource_name e perimeter_id devono essere stringhe con codifica UTF-8.
Ad esempio, quando resource_name = "my_resource", perimeter_id = "my_perimeter" e unwrapped_dek = 0xf00d, l'hash della chiave della risorsa è:
echo -n "ResourceKeyDigest:my_resource:my_perimeter" | openssl sha256 -mac HMAC -macopt hexkey:f00d -binary