Hash kunci resource adalah mekanisme yang memungkinkan Google memverifikasi integritas kunci enkripsi yang digabungkan tanpa memiliki akses ke kunci tersebut.
Menghasilkan hash kunci resource memerlukan akses ke kunci yang tidak digabungkan, termasuk
DEK, resource_name
, dan perimeter_id
yang ditentukan selama operasi
penggabungan kunci.
Kami menggunakan fungsi kriptografi HMAC-SHA256 dengan unwrapped_dek
sebagai kunci dan
penggabungan metadata sebagai data
("ResourceKeyDigest:", resource_name, ":", perimeter_id)
.
resource_name
dan perimeter_id
harus berupa string yang dienkode UTF-8.
Misalnya, saat resource_name = "my_resource"
, perimeter_id = "my_perimeter"
, dan unwrapped_dek = 0xf00d
, hash kunci resource-nya adalah:
echo -n "ResourceKeyDigest:my_resource:my_perimeter" | openssl sha256 -mac HMAC -macopt hexkey:f00d -binary