Hash chiave risorsa

L'hash della chiave della risorsa è un meccanismo che consente a Google di verificare l'integrità le chiavi di crittografia con wrapping senza avere accesso alle chiavi.

La generazione dell'hash della chiave della risorsa richiede l'accesso alla chiave senza wrapping, tra cui la chiave DEK, resource_name e perimeter_id specificati durante la chiave di wrapping.

Utilizziamo la funzione crittografica HMAC-SHA256 con unwrapped_dek come chiave e la concatenazione dei metadati come dati ("ResourceKeyDigest:", resource_name, ":", perimeter_id). I valori resource_name e perimeter_id devono essere stringhe con codifica UTF-8.

Ad esempio, quando resource_name = "my_resource", perimeter_id = "my_perimeter" e unwrapped_dek = 0xf00d, la chiave della risorsa è:

echo -n "ResourceKeyDigest:my_resource:my_perimeter" | openssl sha256 -mac HMAC -macopt hexkey:f00d -binary