Le hachage de clé de ressource est un mécanisme permettant à Google de vérifier l'intégrité des clés de chiffrement encapsulées sans avoir accès aux clés.
La génération du hachage de la clé de ressource nécessite l'accès à la clé désencapsulée, y compris la DEK, le resource_name et le perimeter_id spécifiés lors de l'opération d'encapsulation de la clé.
Nous utilisons la fonction cryptographique HMAC-SHA256 avec unwrapped_dek comme clé et la concaténation des métadonnées en tant que données ("ResourceKeyDigest:", resource_name, ":", perimeter_id).
resource_name et perimeter_id doivent être des chaînes encodées au format UTF-8.
Par exemple, lorsque resource_name = "my_resource", perimeter_id = "my_perimeter" et unwrapped_dek = 0xf00d, le hachage de la clé de la ressource est le suivant:
echo -n "ResourceKeyDigest:my_resource:my_perimeter" | openssl sha256 -mac HMAC -macopt hexkey:f00d -binary