1. Обзор
Cloud KMS — это облачная служба управления ключами, которая позволяет вам управлять криптографическими ключами для ваших облачных служб так же, как вы это делаете локально. Он включает поддержку шифрования, дешифрования, подписи и проверки с использованием различных типов ключей и источников, включая Cloud HSM для аппаратных ключей. Из этого руководства вы узнаете, как подписывать и проверять данные с помощью асимметричных ключей Cloud KMS.
Ты научишься
- Как включить Cloud KMS API
- Как создать брелок для ключей
- Как создать криптоключ для асимметричной подписи/проверки
2. Настройка и требования
Самостоятельная настройка среды
- Войдите в Cloud Console и создайте новый проект или повторно используйте существующий. (Если у вас еще нет учетной записи Gmail или G Suite, вам необходимо ее создать .)
Запомните идентификатор проекта — уникальное имя для всех проектов Google Cloud (имя, указанное выше, уже занято и не подойдет вам, извините!). Позже в этой лаборатории он будет называться PROJECT_ID .
- Далее вам необходимо включить биллинг в Cloud Console, чтобы использовать ресурсы Google Cloud.
Прохождение этой лаборатории кода не должно стоить много, если вообще стоит. Обязательно следуйте всем инструкциям в разделе «Очистка», в которых рассказывается, как отключить ресурсы, чтобы вам не приходилось нести расходы, выходящие за рамки этого руководства. Новые пользователи Google Cloud имеют право на участие в программе бесплатной пробной версии стоимостью 300 долларов США .
Запустить Cloud Shell
В этой лаборатории кода вы будете использовать Cloud Shell , бесплатную виртуализированную среду, работающую в Google Cloud. В консоли GCP щелкните значок Cloud Shell на верхней правой панели инструментов:
Подготовка и подключение к среде займет всего несколько минут. Когда все будет готово, вы должны увидеть что-то вроде этого:
Эта виртуальная машина оснащена всеми необходимыми инструментами разработки. Он предлагает постоянный домашний каталог объемом 5 ГБ и работает в облаке Google, что значительно повышает производительность сети и аутентификацию. Если не указано иное, запускайте все команды из этой оболочки.
3. Включите службу Cloud KMS.
Прежде чем вы сможете использовать Cloud KMS, вам необходимо сначала включить службу в своем проекте. Это необходимо сделать только один раз для каждого проекта. Чтобы включить службу Cloud KMS, выполните следующую команду:
$ gcloud services enable cloudkms.googleapis.com \
--project "${GOOGLE_CLOUD_PROJECT}"
Включение может занять до минуты. Команда сообщит об успехе после завершения.
4. Создайте ключ KMS.
Создайте связку ключей Cloud KMS. В Cloud KMS связка ключей — это логический набор криптографических ключей. Связка ключей содержит метаданные о ключах, например их расположение. Создайте связку ключей с именем my-keyring в global регионе:
$ gcloud kms keyrings create "my-keyring" \
--location "global"
Теперь создайте криптоключ с именем my-asymmetric-signing-key с целью asymmetric-signing внутри только что созданного набора ключей.
$ gcloud kms keys create "my-asymmetric-signing-key" \
--location "global" \
--keyring "my-keyring" \
--purpose "asymmetric-signing" \
--default-algorithm "rsa-sign-pkcs1-4096-sha512"
5. Подпишите данные
В отличие от шифрования, для расшифровки данных, зашифрованных с помощью асимметричного ключа Cloud KMS, требуется онлайн-доступ к сервису Cloud KMS. Расшифруйте зашифрованный текст из файла с помощью инструмента командной строки gcloud :
Создайте файл с данными для подписи и используйте инструмент командной строки gcloud , чтобы подписать данные ключом Cloud KMS:
$ echo "my-contents" > ./data.txt
$ gcloud kms asymmetric-sign \
--location "global" \
--keyring "my-keyring" \
--key "my-asymmetric-signing-key" \
--version "1" \
--digest-algorithm "sha512" \
--input-file ./data.txt \
--signature-file ./data.txt.sig
Подпись сохраняется в data.txt.sig на диске. Если вы откроете файл data.txt.sig , вы заметите, что в нем есть странные непечатаемые символы. Это связано с тем, что результирующие данные имеют двоичный формат .
При хранении подписи в базе данных или передаче ее как части HTTP-запроса вам может потребоваться закодировать данные. Распространенным механизмом кодирования является base64.
6. Проверьте данные
При использовании асимметричных ключей Cloud KMS не выполняет проверку напрямую. Вместо этого он предоставляет доступ к открытому ключу, и вы проверяете данные, используя этот открытый ключ, с помощью шифрования с открытым ключом . Благодаря асимметричным ключам проверка может выполняться полностью автономно и не требует доступа к Cloud KMS или каким-либо другим API-интерфейсам Google Cloud. Проверка выполняется с использованием криптографического инструмента, такого как openssl , или языка программирования или библиотеки, поддерживающей шифрование с открытым ключом.
Загрузите открытый ключ из Cloud KMS:
$ gcloud kms keys versions get-public-key "1" \
--location "global" \
--keyring "my-keyring" \
--key "my-asymmetric-signing-key" \
--output-file ./key.pub
Проверьте подпись по открытому ключу с помощью инструмента командной строки openssl :
$ openssl dgst -sha256 \
-verify ./key.pub \
-signature ./data.txt.sig ./data.txt
Консоль выведет сообщение об успехе, указывающее, что цифровая подпись действительна.
Verified OK
7. Поздравляем!
Вы включили Cloud KMS API, создали асимметричный ключ подписи, подписали и проверили данные! Cloud KMS — это мощный продукт, и подписание/проверка — это лишь малая часть его возможностей.
Очистить
Если вы закончили изучение, рассмотрите возможность удаления проекта.
- Перейдите в консоль облачной платформы.
- Выберите проект, который хотите закрыть, затем нажмите «Удалить» вверху. Это планирует удаление проекта.
Узнать больше
Лицензия
Эта работа распространяется под лицензией Creative Commons Attribution 2.0 Generic License.