Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

ייבוא מפתחות

בנושא הזה מוסבר על ייבוא מפתחות ל-Cloud Key Management Service כגרסאות מפתח חדשות. להוראות מפורטות, ראו ייבוא גרסת מפתח.

מבוא

יכול להיות שאתם משתמשים במפתחות קריפטוגרפיים קיימים שנוצרו בארגון שלכם או במערכת חיצונית לניהול מפתחות. אם מעבירים אפליקציה אלGoogle Cloud או אם מוסיפים תמיכה בהצפנה לאפליקצייתGoogle Cloud קיימת, אפשר לייבא את המפתחות הרלוונטיים אל Cloud KMS.

אפשר לייבא מפתחות ל-Cloud HSM עם ריבוי דיירים, מפתחות ל-Cloud HSM עם דייר יחיד או מפתחות תוכנה ב-Cloud KMS.
חומר המפתח עטוף להגנה בזמן ההעברה. אפשר להשתמש ב-Google Cloud CLI כדי לבצע עטיפה אוטומטית של המפתח, או לעטוף את המפתח באופן ידני.
Google Cloud יש גישה למפתח העטיפה רק במסגרת משימת הייבוא. במפתחות Cloud HSM, מפתח האריזה אף פעם לא נמצא מחוץ ל-Cloud HSM.

בנושא הזה מפורטות המגבלות והדרישות לייבוא מפתחות, ומוצגת סקירה כללית של אופן הייבוא של מפתחות.

מגבלות ודרישות

כדאי לעיין בקטעים האלה כדי לוודא שאפשר לייבא את המפתחות ל-Cloud KMS.

פורמטים נתמכים של מפתחות

מפתחות סימטריים להצפנה: מפתחות סימטריים מיובאים צריכים להיות בגודל 16 בייט (במקרה של הצפנה סימטרית גולמית בלבד) או בגודל 32 בייט של נתונים בינאריים, ואסור שהם יהיו מקודדים. אם המפתח שלכם מקודד בפורמט הקסדצימלי או בפורמט base64, אתם צריכים לפענח אותו לפני שתנסו לייבא אותו.
מפתחות סימטריים לחתימה (מפתחות MAC): מפתחות חתימה של HMAC שיובאו צריכים להיות באורך ששווה לאורך הפלט של פונקציית הגיבוב הקריפטוגרפית שבה נעשה שימוש (לדוגמה, מפתחות HMAC-SHA256 צריכים להיות באורך של 32 בייט), ואסור שהם יהיו מקודדים. אם המפתח שלכם מקודד בפורמט הקסדצימלי או בפורמט base64, אתם צריכים לפענח אותו לפני שתנסו לייבא אותו.
מפתחות אסימטריים להצפנה או לחתימה: מפתחות אסימטריים מיובאים חייבים להיות בפורמט PKCS #8 ומקודדים ב-DER. הפורמט PCKS #8 מוגדר ב-RFC 5208. קידוד DER מוגדר באיגוד הטלקומוניקציה הבינלאומי X.680. מפתחות אסימטריים חייבים להשתמש באחת מהקומבינציות של אורך ואלגוריתם שנתמכות על ידי Cloud KMS.

אחרי שיוצרים מפתח, אי אפשר לשנות חלק מהמאפיינים שלו, כמו האורך. במקרים כאלה, אי אפשר לייבא את המפתח ל-Cloud KMS.

הוראות לאימות ולשינוי הפורמט של המפתח לייבוא מפורטות במאמר שינוי הפורמט של מפתחות לייבוא.

רמות ההגנה הנתמכות

אפשר לייבא מפתח למפתח Cloud KMS, למפתח Cloud HSM עם דיירים מרובים או למפתח Cloud HSM עם דייר יחיד, על ידי הגדרת רמת ההגנה של המפתח ל-SOFTWARE, HSM או HSM_SINGLE_TENANT. אי אפשר לייבא למפתח Cloud External Key Manager.

גדלים נתמכים של מפתח עוטף

כשיוצרים משימת ייבוא, אפשר לשלוט בגודל של מפתח האריזה שמשמש להגנה על המפתח במעבר אל Google Cloud על ידי הגדרת שיטת הייבוא של משימת הייבוא. גודל ברירת המחדל של מפתח העטיפה הוא 3072. אם יש לכם דרישות ספציפיות, אתם יכולים להגדיר את עבודת הייבוא כך שתשתמש במפתח של 4,096 ביט במקום זאת.

מידע נוסף על האלגוריתמים שמשמשים להצפנת מפתח או על הגדרת משימת ייבוא

איך פועל ייבוא מפתחות

בקטע הזה מוסבר מה קורה כשמייבאים מפתח. חלק מהשלבים בתהליך שונים אם משתמשים בהצפנה אוטומטית או בהצפנה ידנית של המפתח. מומלץ להשתמש בהעברה אוטומטית לשורה חדשה. הוראות ספציפיות זמינות במאמר בנושא ייבוא גרסת מפתח. הוראות ספציפיות לאריזת המפתח באופן ידני לפני הייבוא מפורטות במאמר אריזת מפתח באמצעות OpenSSL ב-Linux.

בתרשים הבא מוצג תהליך ייבוא המפתחות באמצעות עטיפת מפתחות אוטומטית. בקטע הזה מתוארים השלבים שמוצגים בתרשים.

תהליך הייבוא, שמתואר בקטע הזה

מתכוננים לייבא מפתחות.
1. קודם יוצרים אוסף מפתחות ומפתח יעד שיכילו בסופו של דבר את עבודת הייבוא ואת חומר המפתח המיובא. בשלב הזה, מפתח היעד לא מכיל גרסאות של מפתחות.
2. בשלב הבא יוצרים משימת ייבוא. עבודת הייבוא מגדירה את אוסף המפתחות ואת המפתח שאליהם יובא חומר המפתח. עבודת הייבוא מגדירה גם את שיטת הייבוא, שהיא האלגוריתם שמשמש ליצירת מפתח האריזה שמגן על חומר המפתח במהלך בקשות הייבוא.
  - המפתח הציבורי משמש לאריזת המפתח שרוצים לייבא אצל הלקוח.
  - המפתח הפרטי נשמר ב- Google Cloud ומשמש לפתיחת האריזה של המפתח אחרי שהוא מגיע לפרויקט Google Cloud .
  ההפרדה הזו מונעת מ-Google לפתוח את האריזה של חומר המפתח מחוץ להיקף של פעולת הייבוא.
3. צריך לעטוף את המפתח בצורה קריפטוגרפית לפני שמעבירים אותו ל-Google. רוב המשתמשים יכולים להשתמש ב-CLI של gcloud כדי לבצע באופן אוטומטי את העטיפה, ההעברה והייבוא של המפתח, כפי שמתואר בשלב הבא. אם יש לכם דרישות תאימות או דרישות רגולטוריות להצפנה ידנית של המפתח, תוכלו לעשות זאת בשלב הזה. כדי להצפין את המפתח באופן ידני במערכת המקומית:
  1. מגדירים את OpenSSL.
  2. פעם אחת לכל משימת ייבוא, מורידים את מפתח העטיפה שמשויך למשימת הייבוא.
  3. מגדירים כמה משתני סביבה ועוטפים את המפתח, פעם אחת לכל מפתח.
במשך שלושה ימים, עד שתוקף משימת הייבוא יפוג, תוכלו להשתמש בה כדי לשלוח בקשות ייבוא של מפתח אחד או יותר. במהלך בקשת ייבוא:
1. אם המפתח לא עבר עטיפה ידנית, Google Cloud CLI מוריד את המפתח הציבורי של עבודת הייבוא מ- Google Cloud למערכת המקומית, ואז משתמש במפתח הציבורי, יחד עם מפתח פרטי שמשויך ללקוח, כדי לעטוף את חומר המפתח המקומי.
2. חומר המפתח העטוף מועבר לפרויקט Google Cloud.
3. חומר המפתח נפרק באמצעות המפתח הפרטי של עבודת הייבוא, ומוכנס כגרסה חדשה של מפתח היעד בצרור מפתחות היעד. זוהי פעולה אטומית.
4. למפתחות סימטריים, מגדירים את גרסת המפתח המיובאת כגרסת המפתח הראשית.
הערה: גרסת המפתח המיובאת לא מוגדרת אוטומטית כגרסת המפתח הראשית.

אחרי שהבקשה לייבוא תושלם בהצלחה, תוכלו להשתמש בגרסת המפתח המיובאת כדי להגן על נתונים ב- Google Cloud.