Questa guida mostra come verificare le attestazioni per le chiavi Cloud HSM, che vengono sempre archiviate in un modulo di sicurezza hardware (HSM). Questa guida si applica sia alle chiavi Cloud HSM multi-tenant che a quelle Cloud HSM single-tenant.
Panoramica
In crittografia, un'attestazione è un'affermazione leggibile da computer e dimostrabile a livello di programmazione che un software fa su se stesso. Le attestazioni sono un componente importante del trusted computing e potrebbero essere richieste per motivi di conformità.
Per visualizzare e verificare le attestazioni, richiedi una dichiarazione di attestazione firmata crittograficamente dall'HSM, insieme alle catene di certificati utilizzate per firmarla. La dichiarazione di attestazione è prodotta dall'hardware HSM e firmata da certificati di proprietà di Google e del produttore dell'HSM.
Dopo aver scaricato la dichiarazione di attestazione e le catene di certificati, puoi controllarne gli attributi o verificare la validità dell'attestazione utilizzando le catene di certificati.
Lo script di attestazione è uno script Python open source sviluppato da Google. Puoi visualizzare il codice sorgente dello script per scoprire di più sul formato dell'attestazione e su come funziona la verifica oppure come modello per una soluzione personalizzata.
Gli esempi in questo argomento sono progettati per gli ambienti Linux, inclusa Cloud Shell. Per seguire la procedura sui client macOS o Windows, potresti dover apportare modifiche.
Prima di iniziare
- Se necessario, crea una chiave Cloud HSM su un keyring in una regione supportata da Cloud HSM.
Scarica e installa gli script per l'analisi dei valori dell'attestazione dal produttore dell'HSM. Scarica ciascuno di questi script:
verify_pubkey.pyparse_v1.pyparse_v2.py
Consulta la documentazione sull'utilizzo degli script, fornita nella stessa posizione.
Scarica e installa lo script per la verifica delle attestazioni e i relativi prerequisiti e consulta la documentazione dello script.
Verifica dell'attestazione
La procedura di verifica dell'attestazione può essere eseguita automaticamente tramite la console Google Cloud oppure manualmente scaricando il bundle di attestazione e lo script di verifica dell'attestazione ed eseguendolo localmente o in Cloud Shell.
Verifica delle attestazioni tramite la console Google Cloud
Puoi verificare l'attestazione tramite la console Google Cloud , che aprirà Cloud Shell e la precompila con gli snippet di codice necessari per eseguire l'intera procedura di verifica dell'attestazione.
Vai alla pagina Key Management nella console Google Cloud .
Seleziona le chiavi automatizzate contenenti la chiave che vuoi attestare, quindi seleziona la chiave.
Fai clic su Altro more_vert per la versione della chiave che vuoi attestare e seleziona Verifica attestazione.
Nella finestra di dialogo Verifica attestazione, fai clic su Apri Cloud Shell. Si aprirà Cloud Shell e verrà precompilato con lo snippet di codice necessario per completare l'intera procedura di verifica.
Controlla lo snippet di codice precompilato in Cloud Shell. Lo snippet scarica lo script di verifica dell'attestazione e le relative dipendenze, esegue i comandi gcloud per scaricare l'attestazione e le catene di certificati, quindi esegue lo script per verificare l'attestazione.
Esegui lo snippet di codice per verificare l'attestazione.
Verifica manuale dell'attestazione
L'attestazione, le catene di certificati e lo script di verifica dell'attestazione devono essere scaricati prima di verificare manualmente l'attestazione.
Scarica le catene di attestazione e di certificati.
Console
Vai alla pagina Key Management nella console Google Cloud .
Seleziona le chiavi automatizzate contenenti la chiave che vuoi attestare, quindi seleziona la chiave.
Fai clic su Altro more_vert per la versione della chiave che vuoi attestare e seleziona Verifica attestazione.
Nella finestra di dialogo Verifica attestazione, fai clic su Scarica pacchetto di attestazione. Verrà scaricato un file ZIP contenente le catene di attestazioni e certificati.
Estrai le catene di attestazioni e certificati dal bundle di attestazioni.
gcloud
Fai clic su Attiva Cloud Shell nella parte superiore della finestra della console.
All'interno di un nuovo frame nella parte inferiore della console si apre una sessione di Cloud Shell e viene visualizzato un prompt della riga di comando. Potrebbe essere necessario attendere qualche secondo per l'inizializzazione della sessione della shell.
Nel prompt della riga di comando di Cloud Shell, utilizza il comando
gcloud kms keys versions describeper recuperare l'attestazione per la chiave che vuoi attestare. Il flag--attestation-filespecifica il percorso e il nome file di destinazione per l'attestazione recuperata.gcloud kms keys versions describe key-version \ --key key-name \ --location location \ --keyring keyring-name \ --attestation-file [attestation-file] \
Nel prompt della riga di comando di Cloud Shell, utilizza il comando
gcloud kms keys versions get-certificate-chainper recuperare le catene di certificati per la chiave che vuoi attestare. Il flag--output-filespecifica il percorso e il nome file di destinazione per i certificati recuperati.gcloud kms keys versions get-certificate-chain key-version \ --key key-name \ --location location \ --keyring keyring-name \ --output-file [certificates-file] \
Scarica lo script per la verifica delle attestazioni e i relativi prerequisiti e consulta la documentazione dello script per verificare l'attestazione nel file di attestazione utilizzando i certificati nel file dei certificati.
Analisi dei valori dell'attestazione
La documentazione del produttore dell'HSM include istruzioni complete per l'utilizzo dei suoi script per analizzare i valori di un'attestazione e verificare la chiave pubblica per una coppia di chiavi asimmetriche. L'attestazione dovrà essere decompressa con il seguente comando prima di poter essere analizzata.
Decomprimi l'attestazione compressa.
gzip -d < compressed_attestation.dat > attestation.dat
Questi link rimandano direttamente alle istruzioni specifiche del produttore dell'HSM:
- Verifica della chiave pubblica di una coppia di chiavi asimmetriche
- Analizzare i valori dell'attestazione
Le istruzioni per l'analisi del valore dell'attestazione includono un riferimento a campi generali nell'attestazione, non specifici delle chiavi HSM in Cloud HSM.
Le sezioni seguenti illustrano come verificare le informazioni sulle chiavi specifiche di Cloud HSM.
Verificare l'ID versione della chiave
Puoi verificare se l'hash SHA-256 dell'ID risorsa della versione della chiave è
presente nell'attestazione. Il nome della risorsa della chiave fa parte del campo 0x0102
o del campo ID chiave nel file di attestazione. L'ID chiave è composto da due
digest hash SHA-256 concatenati in formato esadecimale. Il secondo deve corrispondere
al nome risorsa della chiave.
Ottieni l'ID risorsa della versione della chiave. Puoi utilizzare la console Google Cloud per ottenere l'ID risorsa della versione della chiave oppure puoi eseguire il seguente comando:
gcloud kms keys versions list \ --location location \ --keyring key-ring-name \ --key key-name
Nella riga di comando, assegna
resource_nameall'ID risorsa della versione della chiave che hai appena recuperato.RESOURCE_NAME="projects/project-id/locations/location/keyRings/key-ring-name/cryptoKeys/key-name/cryptoKeyVersions/key-version"
Poiché lo script di analisi esegue il dump di tutti i campi di attestazione in formato esadecimale, l'ID chiave sarebbe stato formattato in formato esadecimale due volte. Una volta durante la creazione di keyID, l'altra durante l'analisi dell'attestazione. Per verificare che il nome della risorsa corrisponda all'ID chiave, converti il nome della risorsa in un digest esadecimale SHA-256, inverti una conversione esadecimale dell'ID chiave nel file di attestazione e confronta i due valori.
RESOURCE_NAME_HEX="$(echo -n ${RESOURCE_NAME} | openssl dgst -sha256 -hex | awk '{print $2}')"Lo script di analisi esegue il dump di tutti i campi di attestazione in formato esadecimale e l'ID chiave viene codificato internamente in formato esadecimale una seconda volta. Imposta la variabile di ambiente
KEYID_HEXsul valore dell'ID chiave con un livello di decodifica esadecimale:KEYID_HEX=$(grep -m 1 0x0102 /path/to/parsed/attestation.dat | awk '{print $2}' | xxd -p -r)Confronta i valori di
RESOURCE_NAME_HEXeKEYID_HEXcome stringhe:test ${RESOURCE_NAME_HEX} == ${KEYID_HEX:(-64)} || echo "Values don't match"Se i valori corrispondono, non viene restituito alcun output e il comando termina con il codice
0.
Verifica altre proprietà della chiave
Puoi visualizzare varie proprietà chiave, che corrispondono ai campi dello standard PKCS #11. Utilizza i seguenti esempi come guide per verificare altre proprietà della chiave.
Se una chiave è estraibile viene memorizzato nel campo
0x0102dell'output analizzato. Per determinare se una chiave è estraibile, esamina il campo0x0162. Un valore di\x01ètruee un valore di\x00èfalse.Le chiavi Cloud HSM non sono estraibili.
grep '0x0162:' /path/to/parsed/attestation.dat
Come è stata inserita la chiave nell'HSM (se è stata creata direttamente o importata) è memorizzato nel campo
0x0163. Se la chiave è stata creata localmente sull'HSM, il campo è impostato su\x01. Il campo di una chiave importata è impostato su\x00.Puoi dedurre alcune informazioni da come è stata creata la chiave sull'HSM. Se la chiave è stata creata in Cloud HSM, significa che non è mai stata archiviata non criptata al di fuori di un HSM. Se la chiave è stata importata, il meccanismo di importazione garantisce che la chiave sia protetta durante il transito durante il processo di importazione e in Cloud HSM in seguito.
grep '0x0163:' /path/to/parsed/attestation.dat
Il tipo di una chiave viene memorizzato nel campo
0x0100. I tipi di chiavi sono documentati nello standard PCKS#11 con il prefissoCKK_*. Ad esempio, una chiave AES ha un tipo di\x1f.grep '0x0100:' /path/to/parsed/attestation.dat
Informazioni aggiuntive
Verifichi un'attestazione per determinare se è stata creata una versione della chiave all'interno di un HSM.