리소스 키 해시는 Google이 키에 액세스하지 않고도 래핑된 암호화 키의 무결성을 확인할 수 있는 메커니즘입니다.
리소스 키 해시를 생성하려면 키 래핑 작업 중에 지정된 DEK, resource_name
, perimeter_id
를 포함하여 래핑되지 않은 키에 대한 액세스 권한이 필요합니다.
여기서는 암호화 함수 HMAC-SHA256을 unwrapped_dek
키로 사용하고 메타데이터 연결을 데이터 ("ResourceKeyDigest:", resource_name, ":", perimeter_id)
으로 사용합니다.
resource_name
및 perimeter_id
는 UTF-8로 인코딩된 문자열이어야 합니다.
예를 들어 resource_name = "my_resource"
, perimeter_id = "my_perimeter"
, unwrapped_dek = 0xf00d
일 때 리소스 키 해시는 다음과 같습니다.
echo -n "ResourceKeyDigest:my_resource:my_perimeter" | openssl sha256 -mac HMAC -macopt hexkey:f00d -binary