Der Ressourcenschlüssel-Hash ist ein Mechanismus, mit dem Google die Integrität ohne Zugriff auf die verpackten Verschlüsselungsschlüssel.
Zum Generieren des Ressourcenschlüssel-Hashs benötigen Sie Zugriff auf den entpackten Schlüssel, einschließlich
den DEK, den resource_name und den perimeter_id, die während des Schlüssels angegeben wurden
Wrapping-Vorgang.
Wir verwenden die kryptografische Funktion HMAC-SHA256 mit unwrapped_dek als Schlüssel und
die Verkettung von Metadaten als Daten
("ResourceKeyDigest:", resource_name, ":", perimeter_id).
resource_name und perimeter_id sollten UTF-8-codierte Strings sein.
Wenn beispielsweise resource_name = "my_resource",
perimeter_id = "my_perimeter" und unwrapped_dek = 0xf00d, der Ressourcenschlüssel
Hash lautet:
echo -n "ResourceKeyDigest:my_resource:my_perimeter" | openssl sha256 -mac HMAC -macopt hexkey:f00d -binary