Hàm băm khoá tài nguyên

Hàm băm khoá tài nguyên là một cơ chế cho phép Google xác minh tính toàn vẹn của khoá mã hoá được bao bọc mà không có quyền truy cập vào khoá.

Để tạo hàm băm khoá tài nguyên, bạn cần có quyền truy cập vào khoá đã khám phá, bao gồm DEK, resource_name và perimeter_id được chỉ định trong khoá thao tác xuống dòng.

Chúng ta sử dụng hàm mã hoá HMAC-SHA256 với unwrapped_dek làm khoá và việc nối siêu dữ liệu thành dữ liệu ("ResourceKeyDigest:", resource_name, ":", perimeter_id) resource_name và perimeter_id phải là chuỗi được mã hoá UTF-8.

Ví dụ: khi resource_name = "my_resource", perimeter_id = "my_perimeter" và unwrapped_dek = 0xf00d, khoá tài nguyên hàm băm là:

echo -n "ResourceKeyDigest:my_resource:my_perimeter" | openssl sha256 -mac HMAC -macopt hexkey:f00d -binary