1. Descripción general
Cloud KMS es un servicio de administración de claves alojado en la nube que te permite administrar las claves criptográficas de tus servicios de nube de la misma manera que lo haces en tus instalaciones locales. Incluye compatibilidad con la encriptación, la desencriptación, las firmas y la verificación con una variedad de tipos y fuentes de claves, incluido Cloud HSM para claves respaldadas por hardware. En este instructivo, se explica cómo firmar y verificar datos con claves asimétricas de Cloud KMS.
You will learn
- Cómo habilitar la API de Cloud KMS
- Cómo crear un llavero de claves
- Cómo crear una clave criptográfica para la firma o verificación asimétrica
2. Configuración y requisitos
Configuración del entorno de autoaprendizaje
- Accede a la consola de Cloud y crea un proyecto nuevo o reutiliza uno existente. (Si todavía no tienes una cuenta de Gmail o de G Suite, debes crear una).
Recuerde el ID de proyecto, un nombre único en todos los proyectos de Google Cloud (el nombre anterior ya se encuentra en uso y no lo podrá usar). Se mencionará más adelante en este codelab como PROJECT_ID.
- A continuación, deberás habilitar la facturación en la consola de Cloud para usar los recursos de Google Cloud recursos.
Ejecutar este codelab no debería costar mucho, tal vez nada. Asegúrate de seguir las instrucciones de la sección “Realiza una limpieza”, en la que se indica cómo cerrar los recursos para no incurrir en facturaciones más allá de este instructivo. Los usuarios nuevos de Google Cloud son aptos para participar en el programa Prueba gratuita de$300.
Iniciar Cloud Shell
En este codelab, usarás Cloud Shell, un entorno virtualizado gratuito que se ejecuta en Google Cloud. En GCP Console, haga clic en el ícono de Cloud Shell en la barra de herramientas superior derecha:
El aprovisionamiento y la conexión al entorno deberían tomar solo unos minutos. Cuando termine el proceso, debería ver algo como lo siguiente:
Esta máquina virtual está cargada con todas las herramientas de desarrollo que necesitarás. Ofrece un directorio principal persistente de 5 GB y se ejecuta en Google Cloud, lo que permite mejorar considerablemente el rendimiento de la red y la autenticación. A menos que se indique lo contrario, ejecuta todos los comandos desde este shell.
3. Habilita el servicio de Cloud KMS
Antes de poder usar Cloud KMS, primero debes habilitar el servicio en tu proyecto. Esto solo debe hacerse una vez por proyecto. Para habilitar el servicio de Cloud KMS, ejecuta el siguiente comando:
$ gcloud services enable cloudkms.googleapis.com \
--project "${GOOGLE_CLOUD_PROJECT}"
La habilitación puede tardar hasta un minuto. El comando informará el éxito cuando termine.
4. Crea una clave KMS
Crea un llavero de claves de Cloud KMS. En Cloud KMS, un llavero de claves es una colección lógica de claves criptográficas. El llavero de claves contiene metadatos sobre las claves, como su ubicación. Crea un llavero de claves llamado my-keyring en la región global:
$ gcloud kms keyrings create "my-keyring" \
--location "global"
Ahora crea una clave criptográfica llamada my-asymmetric-signing-key con el propósito asymmetric-signing dentro del llavero de claves que acabas de crear.
$ gcloud kms keys create "my-asymmetric-signing-key" \
--location "global" \
--keyring "my-keyring" \
--purpose "asymmetric-signing" \
--default-algorithm "rsa-sign-pkcs1-4096-sha512"
5. Firma datos
A diferencia de la encriptación, la desencriptación de datos encriptados con una clave asimétrica de Cloud KMS requiere acceso en línea al servicio de Cloud KMS. Desencripta el texto cifrado del archivo con la herramienta de línea de comandos de gcloud:
Crea un archivo con datos para firmar y usa la herramienta de línea de comandos de gcloud para firmar los datos con la clave de Cloud KMS:
$ echo "my-contents" > ./data.txt
$ gcloud kms asymmetric-sign \
--location "global" \
--keyring "my-keyring" \
--key "my-asymmetric-signing-key" \
--version "1" \
--digest-algorithm "sha512" \
--input-file ./data.txt \
--signature-file ./data.txt.sig
La firma se guarda en data.txt.sig en el disco. Si abres el archivo data.txt.sig, notarás que tiene caracteres extraños que no se pueden imprimir. Esto se debe a que los datos resultantes están en formato binario.
Cuando almacenes la firma en una base de datos o la transmitas como parte de una solicitud HTTP, es posible que debas codificar los datos. Un mecanismo de codificación común es base64.
6. Verifica datos
Con las claves asimétricas, Cloud KMS no realiza la verificación directamente. En cambio, proporciona acceso a una clave pública y tú verificas los datos con esa clave pública a través de la criptografía de clave pública. Con las claves asimétricas, la verificación se puede realizar por completo sin conexión y no requiere acceso a Cloud KMS ni a ninguna otra API de Google Cloud. La verificación se realiza con una herramienta criptográfica como openssl o con un lenguaje de programación o una biblioteca que admita la criptografía de clave pública.
Descarga la clave pública de Cloud KMS:
$ gcloud kms keys versions get-public-key "1" \
--location "global" \
--keyring "my-keyring" \
--key "my-asymmetric-signing-key" \
--output-file ./key.pub
Verifica la firma con la clave pública mediante la herramienta de línea de comandos de openssl:
$ openssl dgst -sha256 \
-verify ./key.pub \
-signature ./data.txt.sig ./data.txt
La consola imprimirá un mensaje de éxito, lo que indica que la firma digital es válida.
Verified OK
7. ¡Felicitaciones!
Habilitaste la API de Cloud KMS, creaste una clave de firma asimétrica y firmaste y verificaste datos. Cloud KMS es un producto potente, y la firma y la verificación solo arañan la superficie de sus capacidades.
Realiza una limpieza
Si terminaste de explorar, considera borrar tu proyecto.
- Ve a la Cloud Platform Console.
- Selecciona el proyecto que deseas cerrar y, luego, haz clic en “Borrar” en la parte superior. Esto programa el proyecto para su eliminación.
Más información
Licencia
Este trabajo cuenta con una licencia Atribución 2.0 Genérica de Creative Commons.