リソース鍵ハッシュは、Google が鍵にアクセスすることなくラップされた暗号鍵の整合性を検証できるようにするメカニズムです。
リソース鍵のハッシュを生成するには、鍵のラップ オペレーション中に指定された DEK、resource_name、perimeter_id など、ラップ解除された鍵にアクセスする必要があります。
unwrapped_dek をキーとして使用し、メタデータをデータ ("ResourceKeyDigest:", resource_name, ":", perimeter_id) として連結した暗号関数 HMAC-SHA256 を使用します。resource_name と perimeter_id は UTF-8 でエンコードされた文字列にする必要があります。
たとえば、resource_name = "my_resource"、perimeter_id = "my_perimeter"、unwrapped_dek = 0xf00d の場合、リソースキーのハッシュは次のようになります。
echo -n "ResourceKeyDigest:my_resource:my_perimeter" | openssl sha256 -mac HMAC -macopt hexkey:f00d -binary