资源密钥哈希值是一种机制,可让 Google 验证 封装的加密密钥,而无需访问密钥。
生成资源密钥哈希需要访问解封装的密钥,包括
密钥期间指定的 DEK、resource_name 和 perimeter_id
封装操作。
我们使用加密函数 HMAC-SHA256,将 unwrapped_dek 作为密钥,
将元数据串联为数据
("ResourceKeyDigest:", resource_name, ":", perimeter_id)。
resource_name 和 perimeter_id 应为 UTF-8 编码字符串。
例如,当 resource_name = "my_resource" 时,
perimeter_id = "my_perimeter" 和 unwrapped_dek = 0xf00d,资源密钥
值为:
echo -n "ResourceKeyDigest:my_resource:my_perimeter" | openssl sha256 -mac HMAC -macopt hexkey:f00d -binary