資源金鑰雜湊是一種機制,可讓 Google 驗證 取得金鑰存取權,即使無法存取金鑰。
產生資源金鑰雜湊需要存取未包裝的金鑰,包括
DEK、金鑰期間指定的 resource_name 和 perimeter_id
包裝作業
我們使用加密編譯函式 HMAC-SHA256,搭配 unwrapped_dek 做為金鑰,
將中繼資料串連為資料
("ResourceKeyDigest:", resource_name, ":", perimeter_id)。
resource_name 和 perimeter_id 應為 UTF-8 編碼字串。
例如,在 resource_name = "my_resource" 時
perimeter_id = "my_perimeter" 和 unwrapped_dek = 0xf00d,資源金鑰
雜湊是:
echo -n "ResourceKeyDigest:my_resource:my_perimeter" | openssl sha256 -mac HMAC -macopt hexkey:f00d -binary