Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

אימות גרסה מיובאת של מפתח

במאמר הזה נסביר איך לאמת גרסה של מפתח אסימטרי שייבאתם ל-Cloud KMS או ל-Cloud HSM.

מידע נוסף על אופן הייבוא, כולל מגבלות והגבלות, מופיע במאמר בנושא ייבוא מפתחות.

מגבלות על אימות מפתחות מיובאים

נתונים שהוצפנו מחוץ ל-Cloud KMS

הדרך הכי טובה לבדוק מפתח מיובא היא לפענח נתונים שהוצפנו לפני ייבוא המפתח, או להצפין נתונים באמצעות המפתח המיובא ולפענח אותם באמצעות המפתח לפני הייבוא.

ב-Cloud KMS או ב-Cloud HSM, אפשר לעשות את זה רק כשמייבאים מפתח אסימטרי. הסיבה לכך היא שכאשר נתונים מוצפנים באמצעות מפתח סימטרי של Cloud KMS או Cloud HSM, נשמרים מטא-נתונים נוספים על גרסת מפתח ההצפנה, מוצפנים יחד עם הנתונים המוצפנים. המטא-נתונים האלה לא קיימים בנתונים שהוצפנו מחוץ ל-Cloud KMS.

אימות הצהרות

אפשר לאמת הצהרות לגבי מפתחות Cloud HSM. האישורים האלה מאשרים שהמפתח הוא מפתח HSM, שמודול ה-HSM נמצא בבעלות Google, וכוללים פרטים נוספים על המפתח. האישורים האלה לא זמינים למפתחות תוכנה.

לפני שמתחילים

ייבוא מפתח אסימטרי ל-Cloud KMS או ל-Cloud HSM. כדי לאמת את האישורים של המפתח, צריך להשתמש ב-Cloud HSM.
אם אפשר, כדאי לבצע את המשימות בנושא הזה באמצעות אותה מערכת מקומית שבה ייבאתם את המפתח, כדי שמערכת מקומית כבר תהיה מותקנת ומותאמת ל-Google Cloud CLI.
להצפין קובץ באמצעות המפתח המקומי, או להעתיק קובץ שהוצפן באמצעות המפתח הזה למערכת המקומית.

אימות הזהות של חומר המפתח

אחרי שמייבאים מפתח אסימטרי ל-Cloud KMS או ל-Cloud HSM, חומר המפתח זהה למפתח המקומי. כדי לוודא שזה נכון, אפשר להשתמש במפתח המיובא כדי לפענח נתונים שהוצפנו באמצעות המפתח לפני הייבוא.

כדי לפענח קובץ באמצעות מפתח Cloud KMS או Cloud HSM:

gcloud kms decrypt \
  --location=location  \
  --keyring=key-ring-name \
  --key=key-name \
  --ciphertext-file=filepath-and-file-to-decrypt \
  --plaintext-file=decrypted-filepath-and-file.dec

אם הקובץ שאליו מפנה הדגל --plaintext-file מכיל את הנתונים הנכונים שפוענחו, חומר המפתח של המפתח החיצוני והמפתח המיובא זהה.

מידע נוסף על הצפנה ופענוח של נתונים

אימות אישורים למפתח Cloud HSM

אחרי שמייבאים מפתח ל-HSM, אפשר לראות אישורים כדי לוודא ש-Google היא הבעלים של ה-HSM. התהליך שונה לאימות של מפתחות סימטריים של Cloud HSM ושל מפתחות אסימטריים.

אי אפשר להשתמש באימותים עבור מפתחות תוכנה ב-Cloud KMS.

מפתחות סימטריים של Cloud HSM

אפשר להשתמש במאפיין המפתח Extended Key Checksum Value (EKCV) כדי לאמת את חומר המפתח של מפתח Cloud HSM שיובא. הערך הזה מחושב לפי RFC 5869, קטע 2. הערך נגזר באמצעות פונקציית נגזרת מפתח (KDF) של חילוץ והרחבה (HKDF) מבוססת-HMAC מבוססת-SHA-256 עם 32 בייטים של אפסים כ-salt והרחבה שלו עם המחרוזת הקבועה Key Check Value כמידע. כדי לאחזר את הערך הזה, אפשר לאמת את המפתח.

מפתחות אסימטריים של Cloud HSM

כששולחים בקשת ייבוא של מפתח אסימטרי, צריך לכלול את המפתח הפרטי העטוף. המפתח הפרטי מכיל מספיק מידע כדי ש-Cloud KMS יוכל לגזור את המפתח הציבורי. אחרי שמייבאים את המפתח, אפשר לאחזר את המפתח הציבורי ולוודא שהוא זהה למפתח הציבורי ששמור באופן מקומי. מידע נוסף על בדיקת מאפיין המפתח הציבורי זמין במאמר אימות המפתח הציבורי.

אפשר לאמת את האימות של EKCV למפתחות אסימטריים. במקרה הזה, הערך הוא תקציר SHA-256 של המפתח הציבורי בקידוד DER. אפשר לאחזר את הערך הזה על ידי בדיקת האישור של המפתח. מידע נוסף על בדיקת מאפיין המפתח EKCV זמין במאמר אימות מאפייני מפתח.

מידע נוסף על אימות מפתחות שאתם מייבאים זמין במאמר אימות מפתח.

המאמרים הבאים

Import a key version

אימות גרסה מיובאת של מפתח קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.