Le hachage de clé de ressource est un mécanisme permettant à Google de vérifier l'intégrité des clés de chiffrement encapsulées sans avoir accès aux clés.
La génération du hachage de la clé de ressource nécessite l'accès à la clé désencapsulée, y compris la DEK, le resource_name
et le perimeter_id
spécifiés lors de l'opération d'encapsulation de la clé.
Nous utilisons la fonction cryptographique HMAC-SHA256 avec unwrapped_dek
comme clé et la concaténation des métadonnées en tant que données ("ResourceKeyDigest:", resource_name, ":", perimeter_id)
.
resource_name
et perimeter_id
doivent être des chaînes encodées au format UTF-8.
Par exemple, lorsque resource_name = "my_resource"
, perimeter_id = "my_perimeter"
et unwrapped_dek = 0xf00d
, le hachage de la clé de la ressource est le suivant:
echo -n "ResourceKeyDigest:my_resource:my_perimeter" | openssl sha256 -mac HMAC -macopt hexkey:f00d -binary