資源索引鍵雜湊

資源金鑰雜湊是一種機制,可讓 Google 驗證 取得金鑰存取權,即使無法存取金鑰。

產生資源金鑰雜湊需要存取未包裝的金鑰,包括 DEK、金鑰期間指定的 resource_nameperimeter_id 包裝作業

我們使用加密編譯函式 HMAC-SHA256,搭配 unwrapped_dek 做為金鑰, 將中繼資料串連為資料 ("ResourceKeyDigest:", resource_name, ":", perimeter_id)resource_nameperimeter_id 應為 UTF-8 編碼字串。

例如,在 resource_name = "my_resource"perimeter_id = "my_perimeter"unwrapped_dek = 0xf00d,資源金鑰 雜湊是:

echo -n "ResourceKeyDigest:my_resource:my_perimeter" | openssl sha256 -mac HMAC -macopt hexkey:f00d -binary