1. Visão geral
O Cloud KMS é um serviço de gerenciamento de chaves hospedado na nuvem que permite gerenciar a criptografia dos seus serviços na nuvem da mesma forma que você faria localmente. Ele inclui suporte para criptografia, descriptografia, assinatura e verificação usando vários tipos e fontes de chaves, incluindo o Cloud HSM para chaves protegidas por hardware. Neste tutorial, você vai aprender a assinar e verificar dados usando chaves assimétricas do Cloud KMS.
Você vai aprender
- Como ativar a API Cloud KMS
- Como criar um keyring
- Como criar uma chave de criptografia para assinatura/verificação assimétrica
2. Configuração e requisitos
Configuração de ambiente autoguiada
- Faça login no Console do Cloud e crie um novo projeto ou reutilize um existente. Crie uma se você ainda não tiver uma conta do Gmail ou do G Suite.
Lembre-se do código do projeto, um nome exclusivo em todos os projetos do Google Cloud. O nome acima já foi escolhido e não servirá para você. Faremos referência a ele mais adiante neste codelab como PROJECT_ID.
- Em seguida, será necessário ativar o faturamento no Console do Cloud para usar os recursos do Google Cloud.
A execução deste codelab não será muito cara, se for o caso. Siga todas as instruções na seção "Limpeza", que orienta você sobre como encerrar recursos para não incorrer em cobranças além deste tutorial. Novos usuários do Google Cloud estão qualificados para o programa de avaliação gratuita de US$ 300.
Inicie o Cloud Shell
Neste codelab, você vai usar o Cloud Shell, um ambiente virtualizado sem custo financeiro executado no Google Cloud. No Console do GCP, clique no ícone do Cloud Shell na barra de ferramentas localizada no canto superior direito:
O provisionamento e a conexão com o ambiente levarão apenas alguns instantes para serem concluídos: Quando o processamento for concluído, você verá algo como:
Essa máquina virtual contém todas as ferramentas de desenvolvimento necessárias. Ela oferece um diretório principal permanente de 5 GB, além de ser executada no Google Cloud, o que aprimora o desempenho e a autenticação da rede. A menos que seja instruído de outra forma, execute todos os comandos neste shell.
3. Ativar o serviço do Cloud KMS
Antes de usar o Cloud KMS, é necessário ativar o serviço no seu projeto. Isso só precisa ser feito uma vez por projeto. Para ativar o serviço do Cloud KMS, execute o seguinte comando:
$ gcloud services enable cloudkms.googleapis.com \
--project "${GOOGLE_CLOUD_PROJECT}"
A ativação pode levar até um minuto. O comando vai informar o sucesso quando for concluído.
4. Criar chave KMS
Crie um keyring do Cloud KMS. No Cloud KMS, um keyring é uma coleção lógica de chaves criptográficas. O Key Ring contém metadados sobre as chaves, como a localização delas. Crie um keyring com o nome my-keyring na região global:
$ gcloud kms keyrings create "my-keyring" \
--location "global"
Agora crie uma chave criptográfica com o nome my-asymmetric-signing-key e a finalidade asymmetric-signing no keyring que você acabou de criar.
$ gcloud kms keys create "my-asymmetric-signing-key" \
--location "global" \
--keyring "my-keyring" \
--purpose "asymmetric-signing" \
--default-algorithm "rsa-sign-pkcs1-4096-sha512"
5. Dados da assinatura
Ao contrário da criptografia, a descriptografia de dados criptografados com uma chave assimétrica do Cloud KMS exige acesso on-line ao serviço do Cloud KMS. Descriptografe o texto criptografado do arquivo usando a ferramenta de linha de comando gcloud:
Crie um arquivo com dados a serem assinados e use a ferramenta de linha de comando gcloud para assinar os dados com a chave do Cloud KMS:
$ echo "my-contents" > ./data.txt
$ gcloud kms asymmetric-sign \
--location "global" \
--keyring "my-keyring" \
--key "my-asymmetric-signing-key" \
--version "1" \
--digest-algorithm "sha512" \
--input-file ./data.txt \
--signature-file ./data.txt.sig
A assinatura é salva em data.txt.sig no disco. Se você abrir o arquivo data.txt.sig, vai notar que ele tem caracteres estranhos e não imprimíveis. Isso ocorre porque os dados resultantes estão no formato binário.
Ao armazenar a assinatura em um banco de dados ou transmiti-la como parte de uma solicitação HTTP, talvez seja necessário codificar os dados. Um mecanismo de codificação comum é o base64.
6. Verificar dados
Com chaves assimétricas, o Cloud KMS não realiza a verificação diretamente. Em vez disso, ele fornece acesso a uma chave pública, e você verifica os dados usando essa chave por meio da criptografia de chave pública. Com chaves assimétricas, a verificação pode ser feita totalmente off-line e não requer acesso ao Cloud KMS ou a outras APIs do Google Cloud. A verificação é realizada usando uma ferramenta criptográfica, como openssl, ou com uma linguagem de programação ou biblioteca que ofereça suporte à criptografia de chave pública.
Faça o download da chave pública do Cloud KMS:
$ gcloud kms keys versions get-public-key "1" \
--location "global" \
--keyring "my-keyring" \
--key "my-asymmetric-signing-key" \
--output-file ./key.pub
Verifique a assinatura em relação à chave pública usando a ferramenta de linha de comando openssl:
$ openssl dgst -sha256 \
-verify ./key.pub \
-signature ./data.txt.sig ./data.txt
O console vai mostrar uma mensagem de sucesso, indicando que a assinatura digital é válida.
Verified OK
7. Parabéns!
Você ativou a API Cloud KMS, criou uma chave de assinatura assimétrica e assinou e verificou os dados. O Cloud KMS é um produto poderoso, e a assinatura/verificação é apenas uma pequena parte dos recursos dele.
Limpeza
Se você já tiver terminado de explorar, considere excluir seu projeto.
- Acesse o Console do Cloud Platform.
- Selecione o projeto que você quer encerrar e clique em "Excluir" na parte de cima. Isso programa o projeto para exclusão.
Saiba mais
Licença
Este conteúdo está sob a licença Atribuição 2.0 Genérica da Creative Commons.