Attest zum downloaden

Nach dem Herunterladen der Attest-Anweisung und der Zertifikate überprüfen Sie die Gültigkeit der Zertifikate im Bundle und überprüfen dann die Bescheinigungsanweisung selbst. Verwenden Sie in der Eingabeaufforderung für die Cloud Shell-Befehlszeile den Befehl “gcloud kms keys”-Versionen beschreiben, um die Bescheinigung für den Schlüssel abzurufen, den Sie bestätigen möchten, und ersetzen Sie das Bescheinigungsformat durch das Bescheinigungsformat, das Sie im vorherigen Schritt abgerufen haben. Das Flag –attestation-file gibt den Pfad und das Dateinamenziel für die abgerufene Bescheinigung an. Jeder Teil des Dateinamens ist durch einen Bindestrich getrennt. Aus diesem Grund ist Platzhaltertext von eckigen Klammern ([ und ]) Zeichen umgeben. Sie können die Bescheinigung für eine kryptografische Schlüsselversion über die Google Cloud Console oder die Befehlszeile herunterladen. Die Bescheinigungsanweisung wird direkt vom HSM-Gerät heruntergeladen, das den Schlüssel enthält. Laden Sie das Skript herunter und installieren Sie es, um die Bescheinigungen und die Voraussetzungen zu überprüfen, und lesen Sie die Dokumentation des Skripts. Klicken Sie im Dialogfeld Abrufen auf Herunterladen.

Die Bescheinigungsdatei wird auf Ihr lokales System heruntergeladen. Das Attestation-Skript ist ein Open-Source-Python-Skript, das von Google entwickelt wurde. Sie können den Quellcode für das Skript anzeigen, um mehr über das Bescheinigungsformat und die Funktionsweise der Überprüfung oder als Modell für eine benutzerdefinierte Lösung zu erfahren. Um die kryptografische Signatur einer Bescheinigung zu überprüfen, können Sie ein Open-Source-Skript verwenden. Die Dokumentation des HSM-Herstellers enthält vollständige Anweisungen für die Verwendung der Skripts zum Analysieren der Werte einer Bescheinigung und zum Überprüfen des öffentlichen Schlüssels auf ein asymmetrisches Schlüsselpaar. Diese Links gehen direkt auf bestimmte Anweisungen des HSM-Herstellers zurück: Um die Bescheinigungen anzuzeigen und zu überprüfen, fordern Sie eine kryptographisch signierte Bescheinigungserklärung vom HSM an, zusammen mit dem Bündel von Zertifikaten, mit denen sie signiert wurde. Die Bescheinigungserklärung wird von der HSM-Hardware erstellt und von Zertifikaten von Google und dem HSM-Hersteller unterzeichnet. In der Kryptographie ist eine Bescheinigung eine maschinenlesbare, programmatisch nachweisbare Aussage, die eine Software über sich selbst macht.

Bescheinigungen sind ein wichtiger Bestandteil der vertrauenswürdigen Datenverarbeitung und können aus Compliance-Gründen erforderlich sein. Laden Sie die Skripts herunter und installieren Sie sie, um die Werte der Bescheinigung zu analysieren. vom HSM-Hersteller. Laden Sie jedes dieser Skripts herunter: Die Ausgabe dieses Befehls zeigt das Beschwichtigungsformat der Schlüsselversion an, das Sie für den nächsten Schritt benötigen. Wählen Sie den Schlüsselring aus, der den Zutschlüssel enthält, den Sie bestätigen möchten, und wählen Sie dann den Schlüssel aus. Sie überprüfen eine Bescheinigung, um festzustellen, ob eine Schlüsselversion in einem HSM erstellt wurde. Da die Überprüfung absichtlich unabhängig von Google ist, können Sie eine Bescheinigung nicht mit der Cloud Console, der Cloud KMS-API oder dem gcloud-Tool überprüfen. Das Analyseskript gibt alle Bescheinigungsfelder im Hex-Format ab, und die Schlüssel-ID ist intern hex-codiert ein zweites Mal. Legen Sie die KEYID_HEX Umgebungsvariable auf den Wert der Schlüssel-ID mit einer Schicht der Hex-Codierung dekodiert: Das Format für den Namen der Attestation-Datei ist [keyring-name]-[key-name]-[key-version]-[attestation-format]-attestation.dat. Jeder Teil des Dateinamens ist durch einen Bindestrich getrennt. Aus diesem Grund ist Platzhaltertext von eckigen Klammern ([ und ]) Zeichen umgeben. Verwenden Sie in der Eingabeaufforderung für die Cloud Shell-Befehlszeile den Befehl “gcloud kms keys”-Versionen beschreiben, um das Bescheinigungsformat für den Schlüssel abzurufen, den Sie bestätigen möchten.

Die Anweisungen zum Analysieren des Werts der Bescheinigung enthalten einen Verweis auf allgemeine Felder in der Bescheinigung, der nicht spezifisch für HSM-Schlüssel in Cloud HSM ist. In den folgenden Abschnitten wird veranschaulicht, wie Sie Informationen zu Ihren Schlüsseln überprüfen, die für Cloud HSM spezifisch sind, z. B. die Versions-ID.