資源金鑰雜湊是一種機制,可讓 Google 在無法存取金鑰的情況下,驗證已包裝加密金鑰的完整性。
產生資源金鑰雜湊時,必須存取未包裝的金鑰,包括金鑰包裝作業期間指定的 DEK、resource_name 和 perimeter_id。
我們使用加密編譯函式 HMAC-SHA256 搭配 unwrapped_dek 做為金鑰,並將中繼資料串連起來做為資料 ("ResourceKeyDigest:", resource_name, ":", perimeter_id)。resource_name 和 perimeter_id 應為 UTF-8 編碼的字串。
例如,當 resource_name = "my_resource"、perimeter_id = "my_perimeter" 和 unwrapped_dek = 0xf00d 時,資源索引鍵雜湊為:
echo -n "ResourceKeyDigest:my_resource:my_perimeter" | openssl sha256 -mac HMAC -macopt hexkey:f00d -binary