גיבוב (hash) של מפתח משאב

הגיבוב של מפתח המשאב הוא מנגנון שמאפשר ל-Google לאמת את התקינות של את מפתחות ההצפנה העטופים בלי לקבל גישה למפתחות.

כדי ליצור גיבוב של מפתח המשאב, נדרשת גישה למפתח שלא ארוז, כולל ה-DEK, resource_name וה-perimeter_id שצוינו במהלך המפתח פעולת אריזה.

אנחנו משתמשים בפונקציה הקריפטוגרפית HMAC-SHA256 עם unwrapped_dek בתור מפתח שרשור מטא-נתונים כנתונים ("ResourceKeyDigest:", resource_name, ":", perimeter_id). המחרוזת resource_name ו-perimeter_id צריכות להיות בקידוד UTF-8.

לדוגמה, כאשר resource_name = "my_resource", perimeter_id = "my_perimeter" ו-unwrapped_dek = 0xf00d, מפתח המשאב הגיבוב הוא:

echo -n "ResourceKeyDigest:my_resource:my_perimeter" | openssl sha256 -mac HMAC -macopt hexkey:f00d -binary