Memverifikasi pengesahan

Panduan ini menunjukkan cara memverifikasi pengesahan untuk kunci Cloud HSM, yang selalu disimpan dalam modul keamanan hardware (HSM). Panduan ini berlaku untuk kunci Cloud HSM Multi-tenant dan Cloud HSM Single-tenant.

Ringkasan

Dalam kriptografi, pengesahan adalah pernyataan yang dapat dibaca mesin dan dapat dibuktikan secara terprogram yang dibuat oleh software tentang dirinya sendiri. Pengesahan adalah komponen penting dari komputasi tepercaya, dan mungkin diperlukan karena alasan kepatuhan.

Untuk melihat dan memverifikasi pengesahan, Anda meminta pernyataan pengesahan yang ditandatangani secara kriptografis dari HSM, beserta rantai sertifikat yang digunakan untuk menandatanganinya. Pernyataan pengesahan dibuat oleh hardware HSM, dan ditandatangani oleh sertifikat yang dimiliki oleh Google dan oleh produsen HSM.

Setelah mendownload pernyataan pengesahan dan rantai sertifikat, Anda dapat memeriksa atributnya atau memverifikasi validitas pengesahan menggunakan rantai sertifikat.

Skrip pengesahan adalah skrip Python open source yang dikembangkan oleh Google. Anda dapat melihat kode sumber untuk skrip guna mempelajari lebih lanjut format pengesahan dan cara kerja verifikasi, atau sebagai model untuk solusi yang disesuaikan.

Contoh dalam topik ini dirancang untuk lingkungan Linux, termasuk the Cloud Shell. Untuk mengikuti contoh di klien macOS atau Windows, Anda mungkin perlu melakukan modifikasi.

Sebelum memulai

• Jika perlu, buat kunci Cloud HSM di keyring di region yang didukung oleh Cloud HSM.

• Download dan instal skrip untuk mengurai nilai pengesahan dari produsen HSM. Download setiap skrip berikut:

  • verify_pubkey.py
  • parse_v1.py
  • parse_v2.py

  Lihat dokumentasi untuk menggunakan skrip, yang disediakan di lokasi yang sama.

• Download dan instal skrip untuk memverifikasi pengesahan dan prasyaratnya, serta lihat dokumentasi untuk skrip tersebut.

Memverifikasi pengesahan

Proses verifikasi pengesahan dapat dilakukan secara otomatis melalui Google Cloud konsol, atau secara manual dengan mendownload paket pengesahan dan skrip verifikasi pengesahan dan menjalankannya secara lokal atau di Cloud Shell.

Memverifikasi pengesahan melalui Google Cloud konsol

Anda dapat memverifikasi pengesahan melalui Google Cloud konsol, yang akan membuka Cloud Shell dan mengisinya secara otomatis dengan cuplikan kode yang diperlukan untuk melakukan seluruh proses verifikasi pengesahan.

1. Buka halaman Key Management di Google Cloud konsol.

   Buka halaman Key Management
   

2. Pilih keyring yang berisi kunci yang ingin Anda sahkan, lalu pilih kunci.

3. Klik More more_vert untuk versi kunci yang ingin Anda sahkan, lalu pilih Verify attestation.

4. Di dialog Verify attestation, klik Open Cloud Shell. Tindakan ini akan membuka Cloud Shell dan mengisinya secara otomatis dengan cuplikan kode yang diperlukan untuk menjalani seluruh proses verifikasi.

5. Periksa cuplikan kode yang telah diisi otomatis di Cloud Shell. Cuplikan tersebut mendownload skrip verifikasi pengesahan dan dependensinya, menjalankan perintah gcloud untuk mendownload rantai pengesahan dan sertifikat, lalu menjalankan skrip untuk memverifikasi pengesahan.

6. Jalankan cuplikan kode untuk memverifikasi pengesahan.

Memverifikasi pengesahan secara manual

Pengesahan, rantai sertifikat, dan skrip verifikasi pengesahan harus didownload sebelum memverifikasi pengesahan secara manual.

1. Download rantai pengesahan dan sertifikat.

   Konsol

   1. Buka halaman Key Management di Google Cloud konsol.

      Buka halaman Key Management
      

   2. Pilih keyring yang berisi kunci yang ingin Anda sahkan, lalu pilih kunci.

   3. Klik More more_vert untuk versi kunci yang ingin Anda sahkan, lalu pilih Verify attestation.

   4. Di dialog Verify attestation, klik Download Attestation Bundle. Tindakan ini akan mendownload file zip yang berisi rantai pengesahan dan sertifikat.

   5. Ekstrak rantai pengesahan dan sertifikat dari paket pengesahan.

   gcloud

   1. Klik Activate Cloud Shell di bagian atas jendela konsol.

      Sesi Cloud Shell terbuka di dalam frame baru di bagian bawah konsol dan menampilkan perintah command line. Mungkin perlu waktu beberapa detik agar sesi shell diinisialisasi.

      

   2. Di perintah command line Cloud Shell, gunakan perintah gcloud kms keys versions describe untuk mengambil pengesahan untuk kunci yang ingin Anda sahkan. Flag --attestation-file menentukan jalur dan tujuan nama file untuk pengesahan yang diambil.

      gcloud kms keys versions describe key-version \
       --key key-name \
       --location location \
       --keyring keyring-name \
       --attestation-file [attestation-file] \
      

   3. Di perintah command line Cloud Shell, gunakan perintah gcloud kms keys versions get-certificate-chain untuk mengambil rantai sertifikat untuk kunci yang ingin Anda sahkan. Flag --output-file menentukan jalur dan tujuan nama file untuk sertifikat yang diambil.

      gcloud kms keys versions get-certificate-chain key-version \
       --key key-name \
       --location location \
       --keyring keyring-name \
       --output-file [certificates-file] \
      

2. Download skrip untuk memverifikasi pengesahan dan prasyaratnya, serta lihat dokumentasi untuk skrip tersebut guna memverifikasi pengesahan dalam file pengesahan menggunakan sertifikat dalam file sertifikat.

Mengurai nilai pengesahan

Dokumentasi produsen HSM mencakup petunjuk lengkap untuk menggunakan skrip mereka guna mengurai nilai pengesahan dan memverifikasi kunci publik untuk pasangan kunci asimetris. Pengesahan harus didekompresi dengan perintah berikut sebelum dapat diurai.

• Buka kompresi pengesahan yang dikompresi.

  gzip -d < compressed_attestation.dat > attestation.dat
  

Link ini mengarah langsung ke petunjuk khusus dari produsen HSM:

• Memverifikasi kunci publik pasangan kunci asimetris
• Mengurai nilai pengesahan

Petunjuk untuk mengurai nilai pengesahan mencakup referensi kolom umum dalam pengesahan, bukan khusus untuk kunci HSM di Cloud HSM.

Bagian berikut mengilustrasikan cara memverifikasi informasi tentang kunci Anda yang khusus untuk Cloud HSM.

Memverifikasi ID versi kunci

Anda dapat memverifikasi apakah hash SHA-256 dari ID resource versi kunci ada dalam pengesahan. Nama resource kunci adalah bagian dari kolom 0x0102 atau kolom ID kunci dalam file pengesahan. ID kunci terdiri dari dua ringkasan hash SHA-256 yang digabungkan dalam format hex. Yang kedua harus cocok dengan nama resource kunci.

1. Dapatkan ID resource versi kunci untuk versi kunci. Anda dapat menggunakan Google Cloud konsol untuk mendapatkan ID resource versi kunci atau menjalankan perintah berikut:

   gcloud kms keys versions list \
      --location location \
      --keyring key-ring-name \
      --key key-name
   

2. Di command line, tetapkan resource_name ke ID resource versi kunci yang baru saja Anda ambil.

   RESOURCE_NAME="projects/project-id/locations/location/keyRings/key-ring-name/cryptoKeys/key-name/cryptoKeyVersions/key-version"
   

3. Karena skrip penguraian membuang semua kolom pengesahan dalam format hex, ID kunci akan diformat ke dalam format hex dua kali. (Sekali saat membuat keyID, yang lain saat mengurai pengesahan). Untuk memverifikasi bahwa nama resource cocok dengan ID kunci, konversi nama resource ke ringkasan hex SHA-256, batalkan satu konversi hex ID kunci dalam file pengesahan, dan bandingkan keduanya.

   RESOURCE_NAME_HEX="$(echo -n ${RESOURCE_NAME} | openssl dgst -sha256 -hex | awk '{print $2}')"
   

4. Skrip penguraian membuang semua kolom pengesahan dalam format hex, dan ID kunci dienkode hex secara internal untuk kedua kalinya. Tetapkan variabel lingkungan KEYID_HEX ke nilai ID kunci dengan satu lapisan hex-encoding yang didekode:

   KEYID_HEX=$(grep -m 1 0x0102 /path/to/parsed/attestation.dat | awk '{print $2}' | xxd -p -r)
   

5. Bandingkan nilai RESOURCE_NAME_HEX dan KEYID_HEX sebagai string:

   test  ${RESOURCE_NAME_HEX} == ${KEYID_HEX:(-64)} || echo "Values don't match"
   

   Jika nilainya cocok, tidak ada output yang ditampilkan dan perintah akan keluar dengan kode 0.

Memverifikasi properti kunci lainnya

Anda dapat melihat berbagai properti kunci, yang sesuai dengan kolom dalam standar PKCS #11. Gunakan contoh berikut sebagai panduan untuk memverifikasi properti kunci lainnya.

• Apakah kunci dapat diekstrak disimpan di kolom 0x0102 dari output yang diurai. Untuk menentukan apakah kunci dapat diekstrak, periksa kolom 0x0162. Nilai \x01 adalah true dan nilai \x00 adalah false.

  Kunci Cloud HSM tidak dapat diekstrak.

  grep '0x0162:' /path/to/parsed/attestation.dat
  

• Cara kunci masuk ke HSM (apakah dibuat secara langsung atau diimpor) disimpan di kolom 0x0163. Jika kunci dibuat secara lokal di HSM, kolom akan ditetapkan ke \x01. Kolom kunci yang diimpor ditetapkan ke \x00.

  Anda dapat menyimpulkan beberapa informasi dari cara kunci berada di HSM. Jika kunci dibuat di Cloud HSM, berarti kunci tersebut tidak pernah disimpan tanpa dienkripsi di luar HSM. Jika kunci diimpor, mekanisme impor menjamin bahwa kunci dilindungi saat transit selama proses impor, dan di dalam Cloud HSM setelahnya.

  grep '0x0163:' /path/to/parsed/attestation.dat
  

• Jenis kunci disimpan di kolom 0x0100. Jenis kunci didokumentasikan dalam standar PCKS#11 dengan awalan CKK_*. Misalnya, kunci AES memiliki jenis \x1f.

  grep '0x0100:' /path/to/parsed/attestation.dat
  

Informasi tambahan

Anda memverifikasi pengesahan untuk menentukan apakah versi kunci dibuat di dalam HSM.