Kaynak anahtarı karması, Google'ın anahtarlara erişmek zorunda kalmadan sarmalanmış şifreleme anahtarlarının bütünlüğünü doğrulamasını sağlayan bir mekanizmadır.
Kaynak anahtarı karmasının oluşturulması için anahtar sarmalama işlemi sırasında belirtilen DEK, resource_name ve perimeter_id dahil sarmalanmamış anahtara erişim gerekir.
Anahtar olarak unwrapped_dek ile HMAC-SHA256 şifreleme işlevini, meta verileri ise ("ResourceKeyDigest:", resource_name, ":", perimeter_id) olarak birleştiriyoruz.
resource_name ve perimeter_id, UTF-8 olarak kodlanmış dizeler olmalıdır.
Örneğin, resource_name = "my_resource", perimeter_id = "my_perimeter" ve unwrapped_dek = 0xf00d olduğunda kaynak anahtar karması şöyle olur:
echo -n "ResourceKeyDigest:my_resource:my_perimeter" | openssl sha256 -mac HMAC -macopt hexkey:f00d -binary