ลงนามและยืนยันข้อมูลด้วย Cloud KMS (แบบไม่สมมาตร)

1. ภาพรวม

Cloud KMS เป็นบริการจัดการคีย์ที่โฮสต์ในระบบคลาวด์ ซึ่งช่วยให้คุณจัดการคีย์การเข้ารหัสสำหรับบริการคลาวด์ได้ในลักษณะเดียวกับที่จัดการภายในองค์กร โดยรองรับการเข้ารหัส การถอดรหัส การลงนาม และการยืนยันโดยใช้คีย์ประเภทและแหล่งที่มาต่างๆ รวมถึง Cloud HSM สำหรับคีย์ที่สำรองข้อมูลด้วยฮาร์ดแวร์ บทแนะนำนี้จะสอนวิธีลงนามและยืนยันข้อมูลโดยใช้คีย์ Cloud KMS แบบอสมมาตร

คุณจะได้เรียนรู้

  • วิธีเปิดใช้ Cloud KMS API
  • วิธีสร้างคีย์ริง
  • วิธีสร้างคีย์ลับสำหรับการลงนาม/การยืนยันแบบอสมมาตร

2. การตั้งค่าและข้อกำหนด

การตั้งค่าสภาพแวดล้อมแบบเรียนรู้ด้วยตนเอง

  1. ลงชื่อเข้าใช้ Cloud Console แล้วสร้างโปรเจ็กต์ใหม่หรือใช้โปรเจ็กต์ที่มีอยู่ซ้ำ (หากยังไม่มีบัญชี Gmail หรือ G Suite คุณต้องสร้างบัญชี)

dMbN6g9RawQj_VXCSYpdYncY-DbaRzr2GbnwoV7jFf1u3avxJtmGPmKpMYgiaMH-qu80a_NJ9p2IIXFppYk8x3wyymZXavjglNLJJhuXieCem56H30hwXtd8PvXGpXJO9gEUDu3cZw

ci9Oe6PgnbNuSYlMyvbXF1JdQyiHoEgnhl4PlV_MFagm2ppzhueRkqX4eLjJllZco_2zCp0V0bpTupUSKji9KkQyWqj11pqit1K1faS1V6aFxLGQdkuzGp4rsQTan7F01iePL5DtqQ

8-tA_Lheyo8SscAVKrGii2coplQp2_D1Iosb2ViABY0UUO1A8cimXUu6Wf1R9zJIRExL5OB2j946aIiFtyKTzxDcNnuznmR45vZ2HMoK3o67jxuoUJCAnqvEX6NgPGFjCVNgASc-lg

โปรดจดจำรหัสโปรเจ็กต์ ซึ่งเป็นชื่อที่ไม่ซ้ำกันในโปรเจ็กต์ Google Cloud ทั้งหมด (ชื่อด้านบนถูกใช้ไปแล้วและจะใช้ไม่ได้ ขออภัย) ซึ่งจะเรียกว่า PROJECT_ID ในภายหลังใน Codelab นี้

  1. จากนั้นคุณจะต้องเปิดใช้การเรียกเก็บเงินใน Cloud Console เพื่อใช้ทรัพยากร Google Cloud

การทำตาม Codelab นี้ไม่ควรมีค่าใช้จ่ายมากนัก หรืออาจไม่มีเลย โปรดทำตามวิธีการในส่วน "การล้างข้อมูล" ซึ่งจะแนะนำวิธีปิดทรัพยากรเพื่อไม่ให้มีการเรียกเก็บเงินนอกเหนือจากบทแนะนำนี้ ผู้ใช้ Google Cloud รายใหม่มีสิทธิ์เข้าร่วมโปรแกรมช่วงทดลองใช้ฟรีมูลค่า$300 USD

เริ่มต้น Cloud Shell

ใน Codelab นี้ คุณจะได้ใช้ Cloud Shell ซึ่งเป็นสภาพแวดล้อมเสมือนฟรีที่ทำงานบน Google Cloud จาก GCP Console ให้คลิกไอคอน Cloud Shell ในแถบเครื่องมือด้านขวาบน

vezHz_9nBUSt_0pD8eMHkzgHehRa83ILgMpcztEJtGZspECiZTk47O02PYk6Zp7jyStful3AIDEZU8qcCNbiXF4WcpkUdJi2LoUbxTWg4cZ4skDnvGKNywBZlDBzzWha111IZ1KqXQ

การจัดสรรและเชื่อมต่อกับสภาพแวดล้อมจะใช้เวลาเพียงไม่กี่นาที เมื่อเสร็จแล้ว คุณควรเห็นข้อความคล้ายกับตัวอย่างต่อไปนี้

wQQCzLZ7_omk2cuoBaKVPnniKDFG6MsP8h2OA0j3Iw9LRSFQ9TkD6Ccq4dcUASPoD5UKe1Ur7bIgYn5gAh2r6BlQDnpFmgyAtv9x2D6ppXS0pfjfxViuEfoetgLvgVeduekc2hgU2Q

เครื่องเสมือนนี้มาพร้อมเครื่องมือพัฒนาซอฟต์แวร์ทั้งหมดที่คุณต้องการ โดยมีไดเรกทอรีหลักแบบถาวรขนาด 5 GB และทำงานบน Google Cloud ซึ่งช่วยเพิ่มประสิทธิภาพเครือข่ายและการตรวจสอบสิทธิ์ได้อย่างมาก เรียกใช้คำสั่งทั้งหมดจากเชลล์นี้ เว้นแต่จะได้รับคำสั่งเป็นอย่างอื่น

3. เปิดใช้บริการ Cloud KMS

คุณต้องเปิดใช้บริการในโปรเจ็กต์ก่อนจึงจะใช้ Cloud KMS ได้ โดยจำเป็นต้องดำเนินการอย่างน้อย 1 ครั้งต่อโปรเจ็กต์ หากต้องการเปิดใช้บริการ Cloud KMS ให้เรียกใช้คำสั่งต่อไปนี้

$ gcloud services enable cloudkms.googleapis.com \
    --project "${GOOGLE_CLOUD_PROJECT}"

การเปิดใช้อาจใช้เวลาถึง 1 นาที คำสั่งจะรายงานว่าสำเร็จเมื่อเสร็จสิ้น

4. สร้างคีย์ KMS

สร้างคีย์ริง Cloud KMS ใน Cloud KMS คีย์ริงคือคอลเล็กชันเชิงตรรกะของคีย์การเข้ารหัส พวงกุญแจมีข้อมูลเมตาเกี่ยวกับคีย์ เช่น ตำแหน่งของคีย์ สร้างคีย์ริงชื่อ my-keyring ในภูมิภาค global

$ gcloud kms keyrings create "my-keyring" \
    --location "global"

ตอนนี้ให้สร้าง CryptoKey ชื่อ my-asymmetric-signing-key โดยมีวัตถุประสงค์ asymmetric-signing ภายในคีย์ริงที่เพิ่งสร้าง

$ gcloud kms keys create "my-asymmetric-signing-key" \
    --location "global" \
    --keyring "my-keyring" \
    --purpose "asymmetric-signing" \
    --default-algorithm "rsa-sign-pkcs1-4096-sha512"

5. ข้อมูลป้าย

การถอดรหัสข้อมูลที่เข้ารหัสโดยใช้คีย์ Cloud KMS แบบอสมมาตรต้องมีการเข้าถึงบริการ Cloud KMS ทางออนไลน์ ซึ่งแตกต่างจากการเข้ารหัส ถอดรหัสข้อความที่เข้ารหัสจากไฟล์โดยใช้เครื่องมือบรรทัดคำสั่ง gcloud

สร้างไฟล์ที่มีข้อมูลที่จะลงนาม แล้วใช้gcloudเครื่องมือบรรทัดคำสั่งเพื่อลงนามข้อมูลด้วยคีย์ Cloud KMS

$ echo "my-contents" > ./data.txt

$ gcloud kms asymmetric-sign \
    --location "global" \
    --keyring "my-keyring" \
    --key "my-asymmetric-signing-key" \
    --version "1" \
    --digest-algorithm "sha512" \
    --input-file ./data.txt \
    --signature-file ./data.txt.sig

ระบบจะบันทึกลายเซ็นใน data.txt.sig บนดิสก์ หากเปิดdata.txt.sigไฟล์ คุณจะเห็นว่ามีอักขระที่แปลกและพิมพ์ไม่ได้ เนื่องจากข้อมูลที่ได้จะอยู่ในรูปแบบไบนารี

เมื่อจัดเก็บลายเซ็นในฐานข้อมูลหรือส่งเป็นส่วนหนึ่งของคำขอ HTTP คุณอาจต้องเข้ารหัสข้อมูล กลไกการเข้ารหัสที่ใช้กันโดยทั่วไปคือ base64

6. ยืนยันข้อมูล

เมื่อใช้คีย์แบบอสมมาตร Cloud KMS จะไม่ทำการยืนยันโดยตรง แต่จะให้สิทธิ์เข้าถึงคีย์สาธารณะและคุณจะยืนยันข้อมูลโดยใช้คีย์สาธารณะนั้นผ่านการเข้ารหัสคีย์สาธารณะ คีย์แบบอสมมาตรช่วยให้ยืนยันได้โดยไม่ต้องเชื่อมต่ออินเทอร์เน็ตและไม่ต้องเข้าถึง Cloud KMS หรือ Google Cloud API อื่นๆ การยืนยันจะดำเนินการโดยใช้เครื่องมือเข้ารหัส เช่น openssl หรือใช้ภาษาโปรแกรมหรือไลบรารีที่รองรับการเข้ารหัสคีย์สาธารณะ

ดาวน์โหลดคีย์สาธารณะจาก Cloud KMS โดยทำดังนี้

$ gcloud kms keys versions get-public-key "1" \
    --location "global" \
    --keyring "my-keyring" \
    --key "my-asymmetric-signing-key" \
    --output-file ./key.pub

ยืนยันลายเซ็นกับคีย์สาธารณะโดยใช้เครื่องมือบรรทัดคำสั่ง openssl

$ openssl dgst -sha256 \
    -verify ./key.pub \
    -signature ./data.txt.sig ./data.txt

คอนโซลจะพิมพ์ข้อความแสดงความสำเร็จ ซึ่งระบุว่าลายเซ็นดิจิทัลถูกต้อง

Verified OK

7. ยินดีด้วย

คุณได้เปิดใช้ Cloud KMS API, สร้างคีย์การลงนามแบบอสมมาตร รวมถึงลงนามและยืนยันข้อมูลแล้ว Cloud KMS เป็นผลิตภัณฑ์ที่มีประสิทธิภาพ และการลงนาม/การยืนยันเป็นเพียงส่วนหนึ่งของความสามารถของผลิตภัณฑ์นี้

ล้างข้อมูล

หากสำรวจเสร็จแล้ว โปรดลบโปรเจ็กต์

  • ไปที่คอนโซล Cloud Platform
  • เลือกโปรเจ็กต์ที่ต้องการปิด แล้วคลิก "ลบ" ที่ด้านบน ซึ่งจะเป็นการกำหนดเวลาให้ลบโปรเจ็กต์

ดูข้อมูลเพิ่มเติม

ใบอนุญาต

ผลงานนี้ได้รับอนุญาตภายใต้สัญญาอนุญาตครีเอทีฟคอมมอนส์สำหรับยอมรับสิทธิของผู้สร้าง (Creative Commons Attribution License) 2.0 แบบทั่วไป