El hash de la clave del recurso es un mecanismo que le permite a Google verificar la integridad del las claves de encriptación unidas sin tener acceso a ellas.
Generar el hash de la clave del recurso requiere acceso a la clave separada, lo que incluye
la DEK, el resource_name y el perimeter_id especificados durante la clave
de unión de imágenes.
Usamos la función criptográfica HMAC-SHA256 con unwrapped_dek como clave y
la concatenación de metadatos como datos
("ResourceKeyDigest:", resource_name, ":", perimeter_id)
resource_name y perimeter_id deben ser cadenas codificadas en UTF-8.
Por ejemplo, cuando resource_name = "my_resource",
perimeter_id = "my_perimeter" y unwrapped_dek = 0xf00d, la clave del recurso
hash es:
echo -n "ResourceKeyDigest:my_resource:my_perimeter" | openssl sha256 -mac HMAC -macopt hexkey:f00d -binary