Halaman ini diterjemahkan oleh Cloud Translation API.

Memverifikasi pengesahan

Panduan ini menunjukkan cara memverifikasi pengesahan untuk kunci Cloud HSM, yang selalu disimpan dalam modul keamanan hardware (HSM). Panduan ini berlaku untuk kunci Multi-tenant Cloud HSM dan Single-tenant Cloud HSM.

Ringkasan

Dalam kriptografi, pengesahan adalah pernyataan yang dapat dibuktikan secara terprogram dan dapat dibaca mesin yang dibuat oleh software tentang dirinya sendiri. Pengesahan adalah komponen penting dari komputasi tepercaya, dan mungkin diperlukan untuk alasan kepatuhan.

Untuk melihat dan memverifikasi pengesahan, Anda meminta pernyataan pengesahan yang ditandatangani secara kriptografis dari HSM, beserta rantai sertifikat yang digunakan untuk menandatanganinya. Pernyataan pengesahan dibuat oleh hardware HSM, dan ditandatangani oleh sertifikat yang dimiliki oleh Google dan produsen HSM.

Setelah mendownload pernyataan pengesahan dan rantai sertifikat, Anda dapat memeriksa atributnya atau memverifikasi validitas pengesahan menggunakan rantai sertifikat.

Skrip pengesahan adalah skrip Python open source yang dikembangkan oleh Google. Anda dapat melihat kode sumber untuk skrip guna mempelajari lebih lanjut format pengesahan dan cara kerja verifikasi, atau sebagai model untuk solusi yang disesuaikan.

Contoh dalam topik ini dirancang untuk lingkungan Linux, termasuk Cloud Shell. Untuk mengikuti di klien macOS atau Windows, Anda mungkin perlu melakukan modifikasi.

Sebelum memulai

Jika perlu, buat kunci Cloud HSM pada key ring di region yang didukung oleh Cloud HSM.
Download dan instal skrip untuk mengurai nilai pengesahan. dari produsen HSM. Download setiap skrip ini:
- verify_pubkey.py
- parse_v1.py
- parse_v2.py
Catatan: Jangan download verify_attest.py. Sebagai gantinya, gunakan skrip verifikasi yang disediakan oleh Google.

Baca dokumentasi tentang penggunaan skrip, yang disediakan di lokasi yang sama.
Download dan instal skrip untuk memverifikasi pengesahan dan prasyaratnya, lalu tinjau dokumentasi untuk skrip tersebut.

Memverifikasi pengesahan

Proses verifikasi pengesahan dapat dilakukan secara otomatis melalui konsol Google Cloud , atau secara manual dengan mendownload paket pengesahan dan skrip verifikasi pengesahan, lalu menjalankannya secara lokal atau di Cloud Shell.

Memverifikasi pengesahan melalui konsol Google Cloud

Anda dapat memverifikasi pengesahan melalui konsol Google Cloud , yang akan membuka Cloud Shell dan mengisinya terlebih dahulu dengan cuplikan kode yang diperlukan untuk melakukan seluruh proses verifikasi pengesahan.

Buka halaman Key Management di konsol Google Cloud .

Buka halaman Key Management
Pilih key ring yang berisi kunci yang ingin Anda buktikan, lalu pilih kunci tersebut.
Klik Lainnya untuk versi kunci yang ingin Anda buktikan, lalu pilih Verifikasi pengesahan.
Dalam dialog Verifikasi pengesahan, klik Open Cloud Shell. Tindakan ini akan membuka Cloud Shell dan mengisinya terlebih dahulu dengan cuplikan kode yang diperlukan untuk menyelesaikan seluruh proses verifikasi.
Periksa cuplikan kode yang telah diisi sebelumnya di Cloud Shell. Cuplikan mendownload skrip verifikasi pengesahan dan dependensinya, menjalankan perintah gcloud untuk mendownload pengesahan dan rantai sertifikat, lalu menjalankan skrip untuk memverifikasi pengesahan.
Jalankan cuplikan kode untuk memverifikasi pengesahan.

Memverifikasi pengesahan secara manual

Pengesahan, rantai sertifikat, dan skrip verifikasi pengesahan perlu didownload sebelum memverifikasi pengesahan secara manual.

Download rantai pengesahan dan sertifikat.
Konsol
1. Buka halaman Key Management di konsol Google Cloud .
  
  Buka halaman Key Management
2. Pilih key ring yang berisi kunci yang ingin Anda buktikan, lalu pilih kunci tersebut.
3. Klik Lainnya untuk versi kunci yang ingin Anda buktikan, lalu pilih Verifikasi pengesahan.
4. Dalam dialog Verifikasi pengesahan, klik Download Paket Pengesahan. Tindakan ini akan mendownload file zip yang berisi rantai pengesahan dan sertifikat.
5. Ekstrak pengesahan dan rantai sertifikat dari paket pengesahan.
gcloud
1. Klik Activate Cloud Shell di bagian atas jendela konsol.
  
  Sesi Cloud Shell akan terbuka di dalam frame baru di bagian bawah konsol dan menampilkan perintah command line. Perlu waktu beberapa detik hingga sesi shell diinisialisasi.
2. Pada prompt command line Cloud Shell, gunakan perintah gcloud kms keys versions describe untuk mengambil pengesahan untuk kunci yang ingin Anda sahkan. Flag --attestation-file menentukan tujuan jalur dan nama file untuk pengesahan yang diambil.
  gcloud kms keys versions describe key-version \ --key key-name \ --location location \ --keyring keyring-name \ --attestation-file [attestation-file] \
3. Pada prompt command line Cloud Shell, gunakan perintah gcloud kms keys versions get-certificate-chain untuk mengambil rantai sertifikat untuk kunci yang ingin Anda buktikan. Flag --output-file menentukan jalur dan tujuan nama file untuk sertifikat yang diambil.
  gcloud kms keys versions get-certificate-chain key-version \ --key key-name \ --location location \ --keyring keyring-name \ --output-file [certificates-file] \
Download skrip untuk memverifikasi pengesahan dan prasyaratnya, lalu baca dokumentasi untuk skrip guna memverifikasi pengesahan dalam file pengesahan menggunakan sertifikat dalam file sertifikat.

Mengurai nilai pengesahan

Dokumentasi produsen HSM mencakup petunjuk lengkap untuk menggunakan skrip mereka guna mengurai nilai pengesahan dan memverifikasi kunci publik untuk pasangan kunci asimetris. Pengesahan harus didekompresi dengan perintah berikut sebelum dapat diuraikan.

Mengekstrak pengesahan yang dikompresi.

gzip -d < compressed_attestation.dat > attestation.dat

Link ini langsung menuju petunjuk khusus dari produsen HSM:

Petunjuk untuk mengurai nilai pengesahan mencakup referensi kolom umum dalam pengesahan, bukan khusus untuk kunci HSM di Cloud HSM.

Bagian berikut mengilustrasikan cara memverifikasi informasi tentang kunci Anda yang khusus untuk Cloud HSM.

Memverifikasi ID versi kunci

Anda dapat memverifikasi apakah hash SHA-256 ID resource versi kunci ada dalam pengesahan. Nama resource kunci adalah bagian dari kolom 0x0102 atau kolom ID kunci dalam file pengesahan. ID kunci terdiri dari dua digest hash SHA-256 yang digabungkan dalam format hex. Yang kedua harus cocok dengan nama resource kunci.

Dapatkan ID resource versi kunci untuk versi kunci. Anda dapat menggunakan konsolGoogle Cloud untuk mendapatkan ID resource versi kunci atau menjalankan perintah berikut:
```
gcloud kms keys versions list \
   --location location \
   --keyring key-ring-name \
   --key key-name
```

Di command line, tetapkan resource_name ke ID resource versi kunci yang baru saja Anda ambil.

RESOURCE_NAME="projects/project-id/locations/location/keyRings/key-ring-name/cryptoKeys/key-name/cryptoKeyVersions/key-version"

Karena skrip parsing membuang semua kolom pengesahan dalam format hex, ID kunci akan diformat ke dalam format hex dua kali. (Sekali saat membuat keyID, dan sekali lagi saat mengurai pengesahan). Untuk memverifikasi bahwa nama resource cocok dengan ID kunci, konversi nama resource menjadi digest hex SHA-256, batalkan satu konversi hex ID kunci dalam file pengesahan, dan bandingkan keduanya.
```
RESOURCE_NAME_HEX="$(echo -n ${RESOURCE_NAME} | openssl dgst -sha256 -hex | awk '{print $2}')"
```
Skrip parsing menampilkan semua kolom pengesahan dalam format hex, dan ID kunci dienkode hex secara internal untuk kedua kalinya. Tetapkan variabel lingkungan KEYID_HEX ke nilai ID kunci dengan satu lapisan dekode hex:
```
KEYID_HEX=$(grep -m 1 0x0102 /path/to/parsed/attestation.dat | awk '{print $2}' | xxd -p -r)
```
Bandingkan nilai RESOURCE_NAME_HEX dan KEYID_HEX sebagai string:
```
test  ${RESOURCE_NAME_HEX} == ${KEYID_HEX:(-64)} || echo "Values don't match"
```
Jika nilainya cocok, tidak ada output yang ditampilkan dan perintah akan keluar dengan kode 0.

Verifikasi properti kunci lainnya

Anda dapat melihat berbagai properti utama, yang sesuai dengan kolom dalam standar PKCS #11. Gunakan contoh berikut sebagai panduan untuk memverifikasi properti kunci lainnya.

Apakah kunci dapat diekstrak disimpan di kolom 0x0102 output yang diuraikan. Untuk menentukan apakah kunci dapat diekstrak, periksa kolom 0x0162. Nilai \x01 adalah true dan nilai \x00 adalah false.

Kunci Cloud HSM tidak dapat diekstrak.
```
grep '0x0162:' /path/to/parsed/attestation.dat
```
Cara kunci masuk ke HSM (apakah dibuat secara langsung atau diimpor) disimpan di kolom 0x0163. Jika kunci dibuat secara lokal di HSM, kolom ini ditetapkan ke \x01. Kolom kunci yang diimpor ditetapkan ke \x00.

Anda dapat menyimpulkan beberapa informasi dari cara kunci berada di HSM. Jika kunci dibuat di Cloud HSM, berarti kunci tersebut tidak pernah disimpan tanpa dienkripsi di luar HSM. Jika kunci diimpor, mekanisme impor menjamin bahwa kunci dilindungi dalam transit selama proses impor, dan dalam Cloud HSM setelahnya.
```
grep '0x0163:' /path/to/parsed/attestation.dat
```
Jenis kunci disimpan di kolom 0x0100. Jenis kunci didokumentasikan dalam standar PCKS#11 dengan awalan CKK_*. Misalnya, kunci AES memiliki jenis \x1f.
```
grep '0x0100:' /path/to/parsed/attestation.dat
```

Informasi tambahan

Anda memverifikasi pengesahan untuk menentukan apakah versi kunci dibuat di dalam HSM.

Memverifikasi pengesahan Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Ringkasan

Sebelum memulai

Memverifikasi pengesahan

Memverifikasi pengesahan melalui konsol Google Cloud

Memverifikasi pengesahan secara manual

Konsol

gcloud

Mengurai nilai pengesahan

Memverifikasi ID versi kunci

Verifikasi properti kunci lainnya

Informasi tambahan

Memverifikasi pengesahan