Hàm băm khoá tài nguyên là một cơ chế cho phép Google xác minh tính toàn vẹn của các khoá mã hoá đã bao bọc mà không cần có quyền truy cập vào khoá.
Để tạo hàm băm khoá tài nguyên, bạn cần có quyền truy cập vào khoá khám phá, bao gồm DEK, resource_name và perimeter_id được chỉ định trong thao tác gói khoá.
Chúng tôi sử dụng hàm mã hoá HMAC-SHA256 với unwrapped_dek là khoá và việc nối siêu dữ liệu là dữ liệu ("ResourceKeyDigest:", resource_name, ":", perimeter_id).
resource_name và perimeter_id phải là các chuỗi được mã hoá UTF-8.
Ví dụ: khi resource_name = "my_resource", perimeter_id = "my_perimeter" và unwrapped_dek = 0xf00d, hàm băm khoá tài nguyên sẽ là:
echo -n "ResourceKeyDigest:my_resource:my_perimeter" | openssl sha256 -mac HMAC -macopt hexkey:f00d -binary