Le hachage de la clé de ressource est un mécanisme permettant à Google de vérifier l'intégrité les clés de chiffrement encapsulées sans avoir accès aux clés.
La génération du hachage de la clé de ressource nécessite un accès à la clé désencapsulée, y compris
la clé DEK, la resource_name et le perimeter_id spécifiés lors de la clé
d'encapsulation.
Nous utilisons la fonction cryptographique HMAC-SHA256 avec unwrapped_dek comme clé, et
la concaténation des métadonnées en tant que données
("ResourceKeyDigest:", resource_name, ":", perimeter_id)
Les éléments resource_name et perimeter_id doivent être des chaînes encodées au format UTF-8.
Par exemple, lorsque resource_name = "my_resource",
perimeter_id = "my_perimeter" et unwrapped_dek = 0xf00d, la clé de la ressource.
le hachage:
echo -n "ResourceKeyDigest:my_resource:my_perimeter" | openssl sha256 -mac HMAC -macopt hexkey:f00d -binary