Как выглядит ключ: Как найти ключ продукта Windows

Содержание

BitLocker запрашивает ключ восстановления, и вы не можете его найти

Симптомы

Обзор BitLocker

BitLocker — это продукт Microsoft для шифрования, предназначенный для защиты пользовательских данных на компьютере. В случае проблем с BitLocker может появиться запрос на ввод ключа восстановления BitLocker. Если у вас нет рабочего ключа восстановления BitLocker, вы не сможете получить доступ к компьютеру.

ПРИМЕЧАНИЕ. Поскольку BitLocker — это продукт Microsoft для шифрования с целью обеспечения безопасности, Dell не хранит и не имеет возможности предоставить ключ восстановления. Dell не может обойти процедуру работы с ключом восстановления Microsoft BitLocker. При поставке с завода устройства Dell НЕ зашифрованы.

Причина

Как была активирована функция BitLocker на моем устройстве? Существует три распространенных способа защиты устройства с помощью BitLocker:
  1. Ваше устройство — это современное устройство, которое отвечает определенным требованиям для автоматического включения шифрования устройства: В этом случае ключ восстановления BitLocker автоматически сохраняется в вашей учетной записи Microsoft до активации защиты.
  2. Владелец или администратор вашего устройства активировал защиту BitLocker (также называемую шифрованием устройства на некоторых устройствах) через приложение «Параметры» или «Панель управления»: В этом случае пользователь, активирующий BitLocker, либо выбрал место сохранения ключа, либо (в случае шифрования устройства) автоматически сохранил его в своей учетной записи Microsoft.
  3. Рабочая или образовательная организация, управляющая устройством (в настоящее время или в прошлом), активировала защиту BitLocker на вашем устройстве: В этом случае ключ восстановления BitLocker может быть в организации.
BitLocker всегда активируется пользователем или от его имени с полным административным доступом к устройству, независимо от того, были это вы, другой пользователь или организация, управляющая устройством. Dell не включает BitLocker на любом устройстве, BitLocker включается пользователем во время установки или администратором в ходе настройки домена.

Процесс установки BitLocker обеспечивает создание ключа восстановления во время активации. Если вы не можете найти требуемый ключ восстановления BitLocker и не можете отменить изменение конфигурации, которое могло привести к его необходимости, необходимо выполнить сброс устройства с помощью одного из вариантов восстановления Windows 10. Сброс настроек устройства приведет к удалению всех файлов.

Дополнительные сведения о шифровании BitLocker и его установке в компьютерах Dell см. в статье базы знаний Dell KB124701 — Автоматическое шифрование устройств Windows/BitLocker в системах Dell.

Дополнительные сведения о ключах шифрования BitLocker и восстановлении см. в статье базы знаний Microsoft Поиск ключа восстановления BitLocker в Windows

Разрешение

Варианты хранения ключей восстановления BitLocker

Ключи восстановления могут сохраняться несколькими способами в зависимости от установленной версии Windows. В следующем списке описаны поддерживаемые варианты сохранения ключа для каждой версии операционной системы, которые могут помочь в поиске сохраненного ключа (при наличии):

Для Windows 7.

  • Ключ можно сохранить на флэш-накопителе USB
  • Ключ можно сохранить в виде файла (на сетевом диске или в другом местоположении)
  • Ключ может быть физически распечатан 

Для Windows 8.1.

  • Ключ может быть сохранен в учетной записи Microsoft (для получения ключа необходимо получить доступ к учетной записи MS с другого компьютера)
  • Ключ можно сохранить на флэш-накопителе USB
  • Ключ можно сохранить в виде файла (на сетевом диске или в другом местоположении)
  • Ключ может быть физически распечатан 

Для Windows 10:

  • Ключ может быть сохранен в учетной записи Microsoft (выполните поиск по запросу ключи восстановления BitLocker для получения ключа) 
    • Если вы используете современное устройство, которое поддерживает автоматическое шифрование устройства, ключ восстановления скорее всего будет находиться в учетной записи Microsoft. Дополнительные сведения см. в статье Шифрование устройств в Windows 10
    • Если устройство было настроено или защита BitLocker активирована другим пользователем, ключ восстановления может находиться в учетной записи Microsoft этого пользователя.
  • Ключ можно сохранить на флэш-накопителе USB (Подключите флэш-накопитель USB к заблокированному персональному компьютеру и следуйте инструкциям. Если вы сохранили ключ в виде текстового файла на флэш-накопителе, используйте другой компьютер для чтения текстового файла)
  • Ключ может быть сохранен в вашей учетной записи Azure Active Directory (чтобы получить ключ восстановления для рабочих компьютеров, войдите в учетную запись Azure Active Directory и найдите информацию об устройстве для вашей учетной записи Microsoft Azure)
  • Ключ можно сохранить в виде файла (на сетевом диске или в другом местоположении)
  • Ключ может быть физически распечатан

ПРИМЕЧАНИЕ. Наиболее часто используется вариант сохранения в виде файла, который иногда может вызвать проблемы при восстановлении, когда пользователь сохраняет файл на диске компьютера, который требуется восстановить (рекомендуется сохранять на сетевой или другой физический жесткий диск, чтобы повреждение жесткого диска не помешало получить ключ восстановления)

 

Внимание! Если ключ восстановления утерян, диск нельзя разблокировать другими способами. Для возврата компьютера в рабочее состояние единственным вариантом является переустановка Windows (это приведет к потере всех данных и конфигураций зашифрованного жесткого диска).

 



Дополнительные сведения о BitLocker и процессе восстановления см. в следующих статьях:
 

Найти ключ восстановления BitLocker:
https://support.microsoft.com/help/4026181/windows-10-find-my-bitlocker-recovery-key 

 

 


Истек срок гарантии? Нет проблем. Посетите сайт Dell.com/support, введите сервисный код Dell и просмотрите наши предложения.

ПРИМЕЧАНИЕ. Предложения доступны только для пользователей персональных компьютеров в США, Канаде, Великобритании, Франции, Германии и Китае. Предложение не распространяется на серверы и системы хранения.

08 сент. 2021

Оцените эту статью

Благодарим вас за отзыв.

К сожалению, наша система обратной связи в настоящее время не работает. Повторите попытку позже.

Комментарии не должны содержать следующие специальные символы: ()\

Не удается найти страницу | Autodesk Knowledge Network

(* {{l10n_strings.REQUIRED_FIELD}})

{{l10n_strings.CREATE_NEW_COLLECTION}}*

{{l10n_strings.ADD_COLLECTION_DESCRIPTION}}

{{l10n_strings.COLLECTION_DESCRIPTION}} {{addToCollection.description.length}}/500 {{l10n_strings.TAGS}} {{$item}} {{l10n_strings.PRODUCTS}} {{l10n_strings.
DRAG_TEXT}}  

{{l10n_strings.DRAG_TEXT_HELP}}

{{l10n_strings.LANGUAGE}} {{$select.selected.display}}

{{article.content_lang.display}}

{{l10n_strings.AUTHOR}}  

{{l10n_strings.AUTHOR_TOOLTIP_TEXT}}

{{$select. selected.display}} {{l10n_strings.CREATE_AND_ADD_TO_COLLECTION_MODAL_BUTTON}} {{l10n_strings.CREATE_A_COLLECTION_ERROR}}

Porsche Ключевой момент – Porsche Россия

Они не только красивые и их приятно держать в руке: ключи от автомобилей Porsche — миниатюрное чудо хай-тека, выполняющее ответственную функцию. Они должны быть надежными и отвечать высочайшим требованиям безопасности. На все про все у них одно движение руки. Волнующая история эволюции, проиллюстрированная моделями автомобилей в масштабе 1:43.

Это — история с бородой. Без нее никак, если мы говорим о ключах от автомобилей. Или все же можно и без нее? Ключи от Porsche ласкают руку, по форме они, скорее, маленькие скульптурные изображения спорткаров, но вот бородки у ключей уже нет. Не то, чтобы совсем нет. Кусочек металла cпрятан внутри миниатюрного Porsche, но легко извлекается на свет божий. При необходимости он поможет открыть дверь без нажатия кнопки, без радиосигнала и батарейки. Наряду с троганием с места, это самая важная из всех функций и имеет большое символическое значение. Ведь еще в античные времена обладание ключом считалось подтверждением статуса личности. Но сегодня мы говорим о ключах для современных Porsche, и здесь лучше всего подходит понятие «ключевое событие».

Одно название должности Саши Кисснера («начальник отдела развития электрических и электронных компонентов кузова и систем безопасности») уже свидетельствует о том, что речь идет о большем, чем просто об открывании двери. На его столе лежит ключ от «одиннадцатого», и сразу видно, что он воспроизводит не только общий облик модели, но что это ключ от кабриолета. Porsche придает очень большое значение деталям, и клиенты компании — тоже. «В конце концов, ключ это единственный компонент Вашего автомобиля, который Вы каждый день держите в руках», говорит Саша Кисснер. Поэтому инженеры, разрабатывая новое поколение ключей, то и дело спорят с дизайнерами. Проходят три-четыре года, прежде чем разработчики будут готовы предъявить результат совместного труда. Всё то же самое, как и при создании нового Porsche в целом: идет гонка в достижении наивысшего результата в технике, эффективности и надежности. Ключ должен быть как можно более плоским и компактным. В настоящее время базовые размеры ключа составляют примерно 80 × 33 мм, что является оптимальным. Во-первых, в нем нужно разместить батарейку, а во-вторых, правило для передачи сигнала гласит: чем больше антенна, тем лучше.

Главным в конструкции ключа являются пластины на гибкой печатной плате. Это поистине чудо в пространстве с минимальным объемом. На сей счет есть меткое расхожее выражение: «Раньше автомобиль только начинался с ключа, а сегодня в ключе уже весь автомобиль». На заре спортивного автомобилестроения это был кусок обточенного железа, сегодня — высокотехнологичный модуль для обеспечения безопасности. Процесс открывания складного верха у кабриолета или дистанционное отпирание багажника и дверей представляет собой безотказное взаимодействие чипа в ключе и систем управления в автомобиле, таким же образом происходит активация функции памяти для установки нужного положения сидений. «Ключ обучаем», говорят специалисты, то есть он является одновременно передатчиком и приемником. Реализуемые через радиоволны функции кодируются с помощью современных шифров, это стандартная операция. Система Porsche Entry & Drive позволяет еще больше сократить манипуляции с автомобильным ключом. Он вообще может оставаться в кармане, так как стоит прикоснуться к ручке двери, в ключе происходит активация кода доступа. И дверь открыта.

Как создать ключ восстановления – Служба поддержки Apple (RU)

При использовании двухфакторной аутентификации на устройстве Apple вы можете создать ключ восстановления, чтобы повысить безопасность своей учетной записи. Если необходимо сбросить пароль для восстановления доступа к своему идентификатору Apple ID, воспользуйтесь ключом восстановления.

Ключ восстановления — это 28-значный код, предназначенный для сброса пароля или восстановления доступа к идентификатору Apple ID. Ключ восстановления не является обязательным, однако он позволяет вам самостоятельно сбросить пароль и тем самым повышает безопасность вашей учетной записи. Создание ключа восстановления отключает функцию восстановления учетной записи. Восстановление учетной записи — это альтернативная процедура, при помощи которой вы можете вновь получить доступ к идентификатору Apple ID, если у вас недостаточно сведений для сброса пароля. Подробнее об использовании восстановления учетной записи вместо ключа восстановления.

Использование ключа восстановления более безопасно, однако при этом ответственность за доверенные устройства и ключ восстановления полностью лежит на вас. В случае утраты и устройств, и ключа вы можете навсегда потерять доступ к своей учетной записи. Поэтому важно хранить ключ восстановления в надежном месте. Возможно, стоит записать ключ восстановления и дать копию родственнику или хранить копии ключа в нескольких местах. За счет этого ключ восстановления будет всегда у вас под рукой на случай необходимости.

Создание ключа восстановления

Вы можете создать новый ключ восстановления в меню «Настройки» или «Системные настройки» на доверенном устройстве, выполнив вход со своим идентификатором Apple ID.

На iPhone, iPad или iPod touch

  1. Выберите «Настройки» > [ваше имя] > «Пароль и безопасность». Может потребоваться ввести пароль для вашего идентификатора Apple ID.
  2. Нажмите «Ключ восстановления».
  3. Сдвиньте ползунок, чтобы включить ключ восстановления.
  4. Нажмите «Ключ восстановления» и введите код-пароль устройства.
  5. Запишите ключ восстановления. Храните его в надежном месте.
  6. Подтвердите ключ восстановления, указав его на следующем экране.

На компьютере Mac

  1. Выберите «Системные настройки» > Apple ID > «Детали учетной записи». Может потребоваться ввести пароль для вашего идентификатора Apple ID.
  2. Нажмите «Безопасность».
  3. В разделе «Ключ восстановления» нажмите «Включить».
  4. Нажмите «Использовать ключ восстановления».
  5. Запишите ключ восстановления. Храните его в надежном месте.
  6. Нажмите «Продолжить».
  7. Подтвердите ключ восстановления, указав его на следующем экране.

Если вам не удается создать ключ восстановления на своем компьютере Mac, используйте iPhone, iPad или iPod touch. 

Использование ключа восстановления

Если вы забыли пароль для идентификатора Apple ID, то можете попытаться восстановить доступ с помощью доверенного устройства, защищенного код-паролем. Кроме того, вы можете использовать ключ восстановления, доверенный номер телефона и устройство Apple для сброса пароля. Убедитесь, что на устройстве установлена iOS 11, macOS High Sierra или ОС более поздней версии, и введите ключ восстановления полностью, включая заглавные буквы и дефисы.  Узнайте больше о том, что делать, если вы забыли пароль для идентификатора Apple ID. 

Если вы решили прекратить использование ключа восстановления, выполните указанные выше действия на своем устройстве iPhone, iPad или iPod touch и сдвиньте ползунок, чтобы отключить ключ восстановления. На компьютере Mac нажмите «Отключить» в разделе «Ключ восстановления».

Дополнительная информация

Дата публикации: 

Что такое система мастер-ключ, и какова сфера ее применения?

+ A –

Система «мастер-ключ» повышает комфорт и обеспечивает четкий контроль доступа к помещениям, оснащенных механическими замками

Количество помещений ограничивается только потребностями заказчика – их может быть от двух до двух сотен и даже более.

На практике внедрение системы выглядит следующим образом: есть определенное количество замков, каждый из которых открывается своим ключом, и есть один мастер-ключ, который открывает все замки системы или замки своего уровня доступа. Таким образом, отпадает необходимость в громоздких связках ключей, четко определяется, кто и к каким помещениям имеет доступ, а секретность замков не уменьшается.

Системы могут быть «под один ключ», одноуровневыми с обычными ключами и одним мастер-ключом, многоуровневыми, где мастер-ключей несколько, и каждый открывает замки своего уровня, а также сложными перекрестными.

В первую очередь, свое применение системы мастер-ключей нашли в корпоративном секторе. Ими оснащаются современные офисы, руководство которых ставит в приоритет грамотную организацию деятельности, гарантию доступа к имуществу согласно иерархии и обязанностям персонала, а также личную и информационную безопасность. 

С помощью упомянутой системы руководители могут обеспечить себе доступ ко всем помещениям офиса, входной группе, а также личным кабинетам. При этом у рядовых сотрудников могут быть ключи, которые открывают, к примеру, только один личный кабинет, пожарный выход, входную группу, а часть помещений для них остается недоступной.

Аналогичное применение системы мастер-ключей находят в государственных учреждениям, в том числе больницах, санаториях, предприятиях общепита, школах и университетах. Разработкой и производством систем мастер-ключей занимается профильная компания «Систем-кей», представительства которой есть в ряде крупных городов страны, в том числе Москве. Подробную информацию о системе вы можете получить на официальном сайте компании.

По материалам сайта http://www.system-key.ru/   

ООО «Систем-кей»

127422, г. Москва, ул. Костякова, д. 13, офис 47

ОГРН 1067746978573

16+

На правах рекламы

КриптоПро | Функциональный ключевой носитель

Функциональный ключевой носитель (ФКН) – это новая технология, позволяющая существенно повысить безопасность систем, использующих электронную цифровую подпись.

Функциональный ключевой носитель – архитектура программно-аппаратных продуктов со смарткартой или USB ключом, аппаратно реализующих российские криптоалгоритмы ЭП и шифрования (ГОСТ Р 34.10-2001/ГОСТ Р 34.11-94, ГОСТ 28147-89), позволяющая безопасно хранить и использовать закрытые ключи в защищённой памяти смарткарты или USB ключа.

В последнее время все большее внимание уделяется вопросам безопасности хранения закрытых ключей. Ключевые контейнеры на небезопасных носителях (таких как дискеты) уходят в прошлое. Но и к получившим широкое распространение ключевым контейнерам на защищенных носителях – USB ключам и смарткартам предъявляются все более жесткие требования в области защиты ключа.

Частично таким новым требованиям удовлетворяют USB ключи и смарткарты с аппаратной реализацией подписи, получившие широкое распространение в зарубежной практике. Например, USB ключи и смарткарты, удовлетворяющие стандартам PKCS#11. Но данные стандарты были разработаны достаточно давно и не учитывают возникновение новых угроз, таких как уязвимость к атакам подмены подписи или хэш-значения в канале связи между микропроцессором карты (ключа) и программным обеспечением на компьютере.

Архитектура Функционального ключевого носителя, предлагаемая компанией КРИПТО-ПРО, реализует принципиально новый подход к обеспечению безопасного использования ключа на смарткарте или usb-токене, который кроме аппаратной генерации ключей и формирования ЭП в микропроцессоре ключевого носителя, позволяет эффективно противостоять атакам, связанным с подменой хэш-значения или подписи в канале связи между программной и аппаратной частью CSP.

Основными преимуществами ФКН являются:

  • повышенная конфиденциальность ключа пользователя;
  • генерация ключей ЭП, ключей согласования, а также создание ЭП, происходит внутри ФКН;
  • выполнение криптографических операций на эллиптических кривых непосредственно ключевым носителем, поддержка российской ЭП;
  • усиленная защита данных при передаче по открытому каналу, благодаря использованию взаимной аутентификации ключевого носителя и программной составляющей при помощи оригинального протокола КРИПТО-ПРО на основе процедуры EKE (encrypted key exchange). При этом передается не PIN-код, а точка на эллиптической кривой;
  • передача хэш-значения по защищенному каналу, исключающему возможность подмены;
  • ни в какой момент, кроме создания контейнера, ключ пользователя не хранится ни в ключевом контейнере, ни в памяти криптопровайдера и не используются в явном виде в криптографических преобразованиях. Соответственно, даже удачная аппаратная атака на ключевой носитель не поможет узнать ключ;
  • исключена возможность подмены подписи в протоколе обмена, ЭП вырабатывается по частям – сначала в ключевом носителе, потом окончательно в CSP;
  • ключ может быть сгенерирован ФКН или загружаться извне.

Иерархическая генерация ключей / Хабр

В этой статье мы поговорим о детерминистических кошельках, иерархической генерации ключей, а также о том, как это математически работает и в каких случаях это удобно применять на практике. Данный материал будет полезен специалистам, чья деятельность связана с платежными шлюзами, Биткоин кошельками и другими хранилищами монет. Кроме того, материал будет интересен тем, кто увлекается эллиптической криптографией и схемами развертывания ключей электронной подписи.



Deterministic wallet

В первую очередь давайте определим, что такое детерминистический кошелек (deterministic wallet). Когда мы говорим о генерации ключей, мы часто употребляем слово “кошелек”, потому что в контексте криптовалют владение личным ключом является доказательством владения монетами, а в данном случае кошелек и ключ имеют похожий смысл.

Deterministic wallet — это кошелек, в котором все используемые личные ключи были порождены из одного общего для всех ключей секрета. Особенность состоит в том, что есть возможность из одного секрета породить сколько-угодно пар ключей для электронной подписи. Можно использовать новые адреса для каждого входящего платежа и сдачи.

Удобно, что ключи такого кошелька можно легко перенести на другое устройство, сделать резервную копию и потом восстановить, потому что фактически нужно резервировать только один основной секрет. Кроме того, все порожденные из основного секрета личные ключи, друг с другом никак не связаны. Нельзя проследить и связь между порожденными адресами (определить что все они принадлежат одному пользователю), а имея порожденный личный ключ, нельзя восстановить общий секрет.

Кодирование основного секрета

Теперь поговорим о кодировании основного секрета. Здесь имеется некоторый стандартизированный подход, который был определен в BIP39. Это так называемое Check Encoding кодирование основного секрета в мнемоническую фразу — набор слов, который легко записать на бумагу и при необходимости запомнить. При вводе есть возможность проверить контрольную сумму, то есть выявить ошибку, если такая имеется, с довольно большой вероятностью.

Как это работает? Фактически у вас есть основной секрет (Entropy) — данные, из которых разворачиваются все личные ключи кошелька. Этот секрет может иметь разную длину. Что касается контрольной суммы: на каждые 32 бита Entropy приходится 1 бит контрольной суммы, то есть Checksum по формуле рассчитывается, как длина Entropy в битах, разделенная на 32.

Entropy конкатенируется с контрольной суммой, которая рассчитывается, как двойной хеш SHA-256 (SHA-2 на длине 256 бит), после чего отрезается необходимое количество битов. Конкатенированные данные переводятся в другую систему счисления: из двоичной в систему счисления по основанию 2048 (как видим, 2048 — это ). И если сложить длину битов Entropy и контрольной суммы, то получится число, кратное 11-ти. Таким образом, мы получаем количество слов в выходной мнемонической фразе.

Фактически данные “нарезаются” частями по 11 бит. Есть словарь, состоящий из 2048 слов (), к которым применены определенные требования. По умолчанию язык словаря английский, но может использоваться любой. Слова не должны превышать определенную длину (обычно предел до 7 символов). Все они должны быть закодированы в UTF-8 с определенной нормализацией всех символов. Обязательной является уникальность каждого слова по первым четырем символам.

Первые четыре символа однозначно определяют слово в словаре, а остальные символы используются, чтобы завершить это слово до удобной формы для чтения, запоминания и т. д. Таким образом каждый фрагмент данных, состоящий из 11-ти бит, получает однозначное соответствие в виде слова из словаря. Если Entropy вашего секрета составляет 256 бит, то данные для кодирования составят 264 бита, а ваша мнемоническая фраза будет содержать 24 слова. Это основной подход к кодированию секрета кошельков в BIP39, который применяется на практике чаще всего.

Для того чтобы в будущем делать резервную копию и использовать ее, вам предлагается выписать эту фразу на внешний носитель. Лучше всего подойдет бумага, которую вы будете хранить в надежном месте. Так вы можете восстановить полный доступ ко всем своим ключам.

Типы детерминистических кошельков

Детерминистические кошельки бывают двух типов. Рассмотрим основные их отличия.

Первый из них самый простой. Основной секрет здесь конкатенируется с индексом дочернего ключа, который мы хотим получить, после чего конкатенированные данные хешируются. Чаще всего это происходит с помощью хеш-функции SHA-256.

Ко второму типу относятся иерархические детерминистические кошельки (hierarchical deterministic wallets, HD wallets), принципы которых определены в BIP32, и являются очень распространенным подходом к иерархической генерации ключей.

Deterministic generation

Рассмотрим отличия этих типов кошельков на схеме.

Обычный детерминистический кошелек имеет некоторый seed, из которого напрямую генерируется огромное множество личных ключей. Их количество может быть ограничено только размерностью индекса, который конкатенируется к секрету перед хешированием. Обычно это 4 байта, то есть пространство возможных вариантов допускает около 4 миллиардов уникальных ключей детерминистического кошелька. На практике этого должно хватить для любой ситуации.

Hierarchical deterministic generation

Перейдем к иерархическому детерминистическому кошельку, схема разворачивания ключей которого представлена пока в упрощенном виде. Есть seed, из которого напрямую получается пара мастер-ключей. Если в обычном детерминистическом кошельке мы получаем личный ключ, то здесь мы получаем пару ключей. Более того, есть уровни иерархии, на каждом из которых мы рассчитываем индекс для порождения дочернего ключа. Мы также можем строить ветки открытых ключей и ветки личных ключей.

Уровни иерархии

В отношении HD кошельков стоит отметить, что согласно правилам BIP32 на каждом уровне иерархии узел порождения имеет три объекта: личный ключ (private key), открытый ключ (public key) и код цепочки (chain code), который используется для порождения следующего уровня иерархии.

Схема иерархической генерации

Рассмотрим более детально схему генерации ключей по BIP32.

Все начинается с seed, его еще называют master seed, из которого рассчитывается нулевой уровень иерархии — пара master keys и chain code.

Из пары мастер-ключей может генерироваться огромное множество пар ключей с определенными индексами. Формируется новый уровень иерархии, который используется для генерации аккаунтов. Допустим, у одного пользователя есть seed и он хочет создать несколько адресов, которые будут отличаться друг от друга. Монеты этих адресов не будут смешиваться, не будут публиковаться вместе, а в готовых транзакциях между ними нельзя будет найти связь. Данные ключи будут использоваться полностью отдельно друг от друга. В одном из аккаунтов группа ключей будет использоваться для рабочего бюджета, в другом — для личного бюджета, а еще один аккаунт — для черной бухгалтерии. Монеты не будут смешиваться друг с другом.

Следующий уровень иерархии определяет разные цепочки генерирования ключей. Чаще всего используются цепочки с индексами 0 и 1. Цепочка с индексом 0 будет генерировать конечные ключи для формирования адреса для входящих платежей, а цепочка с индексом 1 будет генерировать кошельки, на которые будут приходить монеты, отправленные пользователем себе, то есть сдача. Это нужно, чтобы кошелек на программном уровне отличал отправленные извне платежи от сдачи, рассчитывал изменения баланса каждой транзакции и составлял наглядный список с историей всех платежей. Это упрощает разработку кошелька и его использование для повседневных платежей.

Hash-based message authentication code

Теперь давайте перейдем к математической составляющей процессов иерархической генерации ключей. Начнем с того, что рассмотрим hash-based message authentication code. Это другой класс расчета хеш-функций. Отличается она тем, что принимает на вход два значения, а не одно. Первое значение — это секретный ключ, а второе — само сообщение.

K — ключ
m — сообщение
opad, ipad — некоторые константные значения, необходимые для формирования отличающихся друг от друга ключей на разных этапах хеширования.
В качестве хеш-функции используется SHA-512.

Особенность состоит в том, что для использования HMAC, нужно владеть секретным ключом, для того чтобы получить правильное хеш-значение сообщения.

Итак, для расчета хеш-значения по HMAC значение ключа XOR-ится с константным значением ipad, после чего результат хешируется. К этому значению конкатенируется сообщение, после чего рассчитывается XOR ключа с константным значением, конкатенируется с хеш-значением, после чего снова хешируется. В итоге мы получаем 512 бит хеш-значения.

Функции деривации

Давайте рассмотрим несколько функций, которые используются при расчете иерархических ключей.

Первым делом нас интересует преобразование master seed в пару master key. После этого нужно получить из личного родительского ключа дочерний личный ключ и дочерний открытый ключ. Во втором случае используется точно такая же функция, как и в первом, но добавляется умножение числа на базовую точку, поэтому отдельно не будет рассматриваться. Далее следует получение из открытого родительского ключа дочернего открытого. Стоит отметить, что получение из родительского открытого ключа дочернего личного невозможно. Это ограничение обусловлено определенными свойствами, присущими HD кошелькам, которые мы рассмотрим дальше.

Итак, пройдемся по каждой из функций порождения отдельно.

Для получения мастер-ключа из мастер-сида используется функция HMAC, где в качестве ключа передается константная строка “Bitcoin seed”, а в качестве сообщения сами данные основного секрета. Таким образом, получается хеш-значение длиной 512 бит, которое мы рассматриваем как две части: левую и правую. Левая часть является master private key, а правая часть будет chain code. Дальше эти значения будут использоваться для порождения последующих уровней дочерних ключей.

Для того чтобы получить master public, достаточно умножить значение базовой точки на значение master private key. Как видим, это происходит по аналогии с обычными ключами в группе точек на эллиптической кривой.

Теперь посмотрим как происходит дочерний личный ключ из родительского личного.

Снова воспользуемся функцией HMAC. В качестве ключа мы передаем chain code текущего уровня иерархии, а в качестве сообщения — конкатенацию, где первой частью будет личный родительский ключ, умноженный на базовую точку. Фактически это приведение к точке и сериализация этой точки. Конкатенация происходит с индексом дочернего ключа, который мы хотим получить, сериализованного в 32 бита, то есть в 4 байта.

По результату работы функции HMAC мы получаем значение I, и снова его рассматриваем по отдельности: левую и правую части выходных значений по 256 бит. Тогда дочерний личный ключ мы рассчитываем путем прибавления к левому выходному значению значения родительского личного ключа. Сложение выполняем по модулю n, где n — это порядок базовой точки эллиптической кривой, для того чтобы не превысить максимальное значение личного ключа. Таким образом, мы получили дочерний личный ключ.

Соответственно, дочерний chain code будет равен правому выходному значению функции HMAC, то есть . Если мы хотим из личного родительского ключа найти дочерний открытый ключ, умножаем значение на значение базовой точки на эллиптической кривой. Так мы получим открытый ключ .

Как же нам рассчитать из открытого родительского ключа дочерний открытый ключ?

Здесь расчет будет немного иным. Мы передаем в качестве ключа chain code текущего уровня иерархии в функцию HMAC, после чего мы сериализируем родительский открытый ключ и конкатенируем его с нужным индексом, сериализованным в 32 бита. Входные данные получены точно таким же образом, как и в предыдущем случае. Для расчета открытого ключа мы берем левую часть выходного значения функции HMAC, и рассматриваем его, как 256 бит, взятых по модулю порядка базовой точки, приводим к точке на эллиптической кривой, то есть умножаем на базовую точку, после чего складываем результат с родительским открытым ключом. Результатом сложения будет тоже точка, и это будет открытый дочерний ключ. Chain code для данного ключа будет правая часть выходного значения функции HMAC.

Соответствие ключей друг другу

Тут может возникнуть логический вопрос о том, как личный и открытый ключи, полученные разным образом, будут соответствовать друг другу. Действительно ли из порожденного публичным образом открытого ключа можно получить точно такое же значение, взяв личный ключ, полученный другим образом, и умножив его на базовую точку? Это легко проверить.

Если вспомнить, как мы рассчитывали личный дочерний ключ, и умножить его на базовую точку, то есть привести к функции point, а потом вспомнить расчет дочернего открытого ключа и сравнить эти расчеты, то мы увидим, что если рассматривать родительский открытого ключ как произведение личного родительского ключа на базовую точку, то мы увидим, что были произведены одни и те же расчеты, просто в разном порядке.

В одном случае мы сложили личные ключи и умножили на базовую точку, а во втором случае мы сначала умножили значения на базовую точку, а потом сложили их и получили результат. Основываясь на том, что операция сложения точек на эллиптической кривой является аддитивной, мы можем сказать, что эти два значения равны — мы получим один и тот же открытый ключ, рассчитанный двумя способами.

Пример открытого ключа

Ради интереса мы можем посмотреть на пример открытого ключа, который был получен для тестовых значений и расчетов BIP32. Если наша Entropy состояла из 128 бит, то в шестнадцатеричной системе счисления это будет выглядеть, как на изображении ниже.

Это же значение, закодированное в мнемоническую фразу по BIP39, будет выглядеть как показанные 12 слов. Если использовать эту мнемоническую фразу как мастер-сид для иерархической генерации ключей, то вы получите такой master private key с соответствующим chain code по 256 бит.

Расширенные ключи

Есть еще такие понятия как расширенный открытый ключ и расширенный личный ключ. Как это используется? Чтобы лучше понять, опишем наглядную ситуацию.

Допустим, у нас есть определенный пользователь и некоторый сервис. Сервис с определенной частотой передает платежи, например в биткоинах, пользователю. И пользователь, и сервис заинтересованы в том, чтобы использовать для каждого платежа новый адрес, для того чтобы усложнить для внешнего наблюдателя установление факта и запутывание истории взаимодействия друг с другом.

В самом простом случае это выглядело бы так: пользователь для каждого входящего платежа формирует новую пару ключей, вычисляет адрес, который передает сервису, после чего сервис может сформировать транзакцию и выполнить платеж. Однако это неудобно ни для одной из сторон, если интенсивность этих платежей высокая.

Расширенный открытый ключ

В подобной ситуации от неудобств помогает избавиться расширенный открытый ключ (extended public key, xPubKey). Пользователь может дать возможность стороннему сервису вместо себя генерировать такие адреса, которые будут известны сервису, но личные ключи будут только у пользователя. Сервис может генерировать какое-угодно количество адресов без ведома пользователя и отправлять на них средства, а пользователь может, когда ему будет удобно, развернуть личные ключи и получить доступ к любому из этих адресов.

Как это работает? Пользователю нужно сгенерировать новый аккаунт на втором уровне иерархии ключей, рассчитать для него открытый ключ и chain code для текущего уровня. После этого нужно передать сервису и открытый ключ, и chain code. Для удобства было введено кодирование Base58Check Encoding, о котором мы говорили (здесь есть специальная версия). Далее, конкатенируется открытый ключ, chain code и контрольная сумма. Это все кодируется в систему счисления по основанию 58 и мы получаем уже закодированный по определенному стандарту открытый расширенный ключ. Он начинается с символов “xpub”, что легко распознается. Он будет выглядеть, как показано на изображении.

Сервис может принять такой ключ и развернуть по BIP32 открытые ключи для пользователя, из них получать адреса и платить на них. Однако соответствующие личные ключи может вычислить только пользователь.

Hardened derivation

В иерархическом порождении ключей есть такое понятие, как hardened derivation. Это такой подход, который не позволяет рассчитывать дочерние открытые ключи из соответствующего родительского открытого ключа. От нормального порождения это отличается тем, что в нем мы используем в качестве сообщения функции HMAC конкатенацию сериализованной точки как родительского открытого ключа, а в hardened derivation мы используем сериализацию родительского личного ключа.

Кроме того, отличается вычисление индекса. Индекс в нормальном порождении напрямую сериализуется в 32 бита, а в hardened derivation он несколько преобразуется: к нему добавляется константное значение , что устанавливает старший бит в 1 (становится легко отличать типы деривации). Соответственно, пространство вариантов возможных ключей одинаково как для нормального порождения, так и для hardened derivation и равно .

Таким образом, имея родительский открытый ключ и hardened derivation, невозможно рассчитать дочерние открытые ключи. Если злоумышленник получит родительский открытый ключ, то он не сможет вычислить дочерние ключи. Следовательно, не сможет вычислить адреса и связь их с полученным родительским ключом. В случае normal derivation, то есть в обычном, такой функцией можно пользоваться и прослеживать взаимосвязь адресов между собой.

Пути порождения

Давайте поговорим о путях, по которым могут порождаться ключи.

На каждом уровне иерархии есть определенный индекс, который определяет аспекты порождения ключей. Путь от Мастер-ключа до конечного ключа может записываться через слэши в виде индексов. Если речь идет о личном ключе то запись начинается с маленькой “m”, а если речь о порождении открытого ключа, то с большой “M”. Если индекс обозначен апострофом, то следует понимать, что речь идет о hardened derivation, без апострофа — normal derivation.

Рассмотрим один из популярных путей порождения ключей, который используется в BIP32, где и были определены иерархические ключи.

Он использует такой путь, где нулевым уровнем иерархии является мастер-ключ. Далее следуют индексы аккаунтов, которые обозначают одного и того же пользователя, после чего идут цепочки, где могут быть цепочки адресов, которые публикуются вовне для принятия входящих платежей, а с индексом 1 будут создаваться те цепочки, на которые сам пользователь отправляет себе платежи (чаще всего это сдача). Конечный индекс будет использоваться для порождения тех ключей, из которых будут рассчитываться адреса.

Для того чтобы по стандарту BIP32 рассчитать самый первый ключ с индексом 0, мы будем иметь m, 0 с порождением hardened, chain — 0, индекс — 0 (m/0’/0/0). Так мы получим путь для первого иерархически порожденного ключа.

Существует предложение по улучшению Биткоина, оно называется BIP43, которое предполагает запись в первый уровень иерархии номера улучшения, которое предлагает новый путь порождения (m/bip_number’/*).

Таким образом, появился BIP44, который использовал особенность предыдущего предложения, то есть для первого уровня иерархии записывается индекс 44, а предложил следующие улучшения: в индексе второго уровня иерархии записывать определенное значение, которое будет соответствовать типу монеты, которую мы используем для данного кошелька. Теперь в одном кошельке могут разворачиваться и использоваться ключи для разных валют.

Для Биткоина путь будет выглядеть, как “m/44’/0’/0’/0/0”, для Bitcoin testnet — “m/44’/1’/0’/0/0”, для Litecoin — “m/44’/2’/0’/0/0”, для Dash — “m/44’/5’/0’/0/0”. Интересно, что Ethereum использует точно такую же эллиптическую кривую для расчета ключей и электронно-цифровой подписи и для его кошелька путь будет выглядеть так “m/44’/60’/0’/0/0”.

Есть еще одно улучшение — BIP45. Улучшение нацелено на то, чтобы определить правила порождения ключей в случае их использования в multisignature кошельках и формирования адресов по BIP16, то есть P2SH. Он включает в себя предложение BIP43 и указывает на первом уровне иерархии индекс 45, на втором же уровне иерархии он требует указания подписанта (cosigner).

Например, есть правило мультиподписи 3-из-5. Следовательно есть 5 подписантов, но чтобы потратить монеты, нужно как минимум 3 подписи. Таким образом, каждый из подписантов будет иметь HD кошелек со своим мастер-сидом, а в своем пути будет указывать свой порядковый номер. Он может быть рассчитан, как индекс при сортировке ключей, порожденных на первом уровне иерархии каждого пользователя. Допустим, на первом уровне произошло порождение ключей у каждого пользователя, они обмениваются друг с другом, сортируют и узнают, у кого какой индекс для второго уровня иерархии. Это нужно, чтобы в дальнейшем исключить необходимость взаимодействовать подобным образом, а сразу правильно генерировать адреса и знать свой порядковый номер.

То есть можно единожды обменяться расширенным открытым ключом, чтобы потом самостоятельно, независимо от других участников группы, формировать multisignature адреса и принимать на них платежи.

Вопросы

Перейдем к часто задаваемым вопросам.

— Как отличаются master seeds в разных монетах?

Seed — это случайно сгенерированное число, какая-то последовательность бит, либо это мнемоническая фраза, сгенерированная, например, по BIP39, которая используется для порождения ключей. Она может быть использована как для одной монеты, так и для любой другой — не обязательно использовать разные мнемонические фразы для разных валют. Тем более, что есть BIP44, который определяет правила генерации ключей для разных валют из одной и той же мнемонической фразы. Эти личные ключи не будут пересекаться друг с другом, а будут использоваться для разных адресов разных валют.

— Словарь из BIP39, где 2048 слов для мнемонической фразы стандартизирован? Можно ли его использовать во всех кошельках и приложениях?

Дело в том, что этот стандарт описан для BIP39. Именно для BIP39 есть словари: английский, два японских, китайский, итальянский, русский, украинский и т. д. То есть если некоторое приложение заявляет, что оно использует BIP39 и дает возможность импортировать и экспортировать мнемоническую фразу, значит и набор слов оно использует тот же. Однако есть кошельки, которые используют не BIP39, а свою модификацию. Нужно смотреть описание кошелька и использовать либо стандартизированную, либо свою собственную разработку, либо разработку сервиса, который предлагает кошелек.

— На биржах и централизованных хранилищах типа Coinbase ключи кошельков всех пользователей генерируются из одной общей для всех сид-фразы или нет?

Сложно сказать, потому что они свою внутреннюю структуру не открывают, но те новые сервисы, которые появляются, могут либо отдельно генерировать ключи, либо использовать стандарт BIP32, либо использовать его модифицированную версию. Те сервисы, которые существовали еще до того, как появились стандарты по иерархической генерации ключей, скорее всего, продолжают генерировать просто отдельные личные ключи. Возможно, так ими проще управлять, если идет большой оборот всех ключей.

— Ключ — это точка на эллиптической кривой, то есть два очень больших числа X и Y?

Открытый ключ — да, это точка на эллиптической кривой, а личный ключ — это натуральное число, которое показывает, сколько раз саму с собой нужно сложить базовую точку. Сам открытый ключ состоит из двух значений — это координаты X и Y, каждая из которых имеет размер 256 бит.

— Что такое “приведение к точке” и сериализация точки и индекса?

Приведение к точке значит, что есть натуральное число, которое мы рассматриваем, как личный ключ. Базовую точку мы складываем саму с собой столько раз, то есть в группе точек на эллиптической кривой определена операция только сложения, то можно произвести умножение точки на натуральное число. Под сериализацией точки подразумевается запись определенным образом двух координат. Возможно, это сжатая запись, но не обязательно. Сжатая в смысле, что одну из координат, а именно Y преобразуют в знак, потом данные подставляются в уравнение и смотрят, где находится точка: выше или ниже. В случае сериализации индекса нужно понимать, что обычное число, которое, в зависимости от размера, можно записать в байтах или битах. Чем больше число, тем больший объем данных понадобится. В случае с теми вычислениями, которые мы рассмотрели, требуется число определенной длины. Нужно сериализовать его в определенную длину — 4 байта. В итоге, имеется в виду приведение индекса к 4-х байтовому числу. Если там остаются незаполненными старшие значения, значит они будут нулевыми.

— Кто придумал эти расчеты для derivation функций HD кошельков? Почему именно такие формулы, где есть обоснования и где можно подробнее об этом почитать?

Подробнее можно почитать именно в BIP32, если вас интересует мнемоническая фраза, то в BIP39, и т. д. Можно открыть GitHub, найти пользователя под ником Bitcoin. У него есть репозиторий Bitcoin, где хранится исходный код Биткоина, а есть репозиторий BIPs (первоисточник), где записаны все предложения по улучшению Биткоина.

Придумали делать расчеты именно так, потому что это завязано на группе точек эллиптической кривой. Когда хотели добиться такой функциональности, которая позволяет рассчитывать отдельно ветки открытых и личных ключей, при этом сохранить их соответствие друг другу, это был самый простой вариант реализации. Фактически разработчики использовали самый простой вариант, который позволяет добиться интересных свойств, используя ту криптографию, которая проверена временем. Авторов предложенных улучшений достаточно много. Сообщество Биткоина, участники которого предлагают какие-то разработки улучшений и математических преобразований, достаточно большое.

— Hardened derivation всегда только на втором уровне иерархии?

Все зависит от ситуации. В случае с порождением ключей для мультиподписи имеет смысл делать hardened derivation только на первом уровне иерархии. В BIP44 hardened derivation применяется к первым трем уровням: на первом уровне находится номер самого BIP, на втором — номер аккаунта, где это актуально, на третьем — номер валюты, где это тоже имеет смысл. Допустим, вам вряд ли понравится, если вы выложите открытый ключ, а через него люди смогут отследить все ваши адреса в Биткоине. Если вы используете аккаунт для получения платежей от определенных сервисов, тогда вы можете разглашать этот ключ и hardened derivation вам здесь не нужен.

— Где возможно применить иерархическую генерацию ключей?

Можно применить при работе с биржей, чтобы биржа все время вам платила на разные адреса. Хотя в данном случае лучше уж вручную все это организовать. Наиболее актуально это для цифровых кошельков повседневного использования, потому что здесь очень простой процесс создания резервной копии личных ключей и восстановления кошелька. Также поддерживается генерация ключей для разных валют, а сам стандарт уже используется в разных реализациях цифровых кошельков. Ключи между такими кошельками удобно переносить, используя одну и ту же мнемоническую фразу.

Данной теме посвящена одна из лекций онлайн-курса по Blockchain “Иерархическая генерация ключей”.

Магические ключи Локка и Ключа, объяснение

Один из самых важных ключей в повествовании первого сезона, Head Key, также является одним из самых знаковых ключей в исходном материале комиксов Locke & Key . Фото: Кен Воронер / Netflix

Свободная адаптация Netflix к любимой серии комиксов Джо Хилла и Габриэля Родригеса Locke & Key весь сезон развлекалась с волшебными ключами, которые продолжают появляться в жизни его главных героев.Появление нового ключа в руках детей Локка может коренным образом изменить то, с чем они сталкиваются, и их способность справляться с этим, поэтому понимание их является ключом (извините) к раскрытию (еще раз извините) сюжета шоу. Поскольку уследить за всеми ключами, где вы впервые их увидели и чем они занимались в течение десяти эпизодов первого сезона, может быть немного сложно, позвольте нам указать путь, взглянув на дюжину ключей в хронологическом порядке. мы видели до сих пор. Как известно читателям, некоторые из них прямо из книг, а другие – выдумки шоу.

Примечание: впереди ждут основные спойлеры первого сезона Locke & Key .

Фото: Netflix

Причина, по которой этот ключ был введен первым. Возможно, самый мощный ключ в мире шоу, Anywhere Key был спрятан в браслете, принадлежащем Кинси Локк, пока ее брат Бод Локк не разобрал его и не узнал, на что он способен.Когда ключ из любого места вставлен в дверь, эту дверь можно открыть в любую точку мира. Бод использует его, чтобы пойти в кафе-мороженое Мэтисона, в котором работает Скот, но дама в колодце – которая позже и до сих пор в этой статье будет называться Додж – крадет его, используя его, чтобы путешествовать по миру и делать что-то. например, получить новую одежду, задушить кого-нибудь до смерти и помочь освободить Сэма Лессера, человека, который убил Ренделла Локка. Это действительно потрясающий ключ, который может облегчить быстрое побег и значительно сократить время в пути.Вам больше никогда не придется ехать на работу!

Фото: Netflix

Это достаточно умный способ познакомить зрителей с волшебным миром шоу, а также показать, что взрослые не помнят то же самое, что и дети. Когда его вставляют в зеркало, отражение в нем оживает, маня человека войти внутрь.Нина Лок следует за своим темным альтер-эго в зеркальный мир и почти застревает там. Тайлеру Локку приходится обвязать веревку вокруг талии и пойти за мамой, вытащив ее как раз вовремя. Важно отметить, что дети Локков поражаются, когда мама не помнит обо всем этом, пока она не падает с повозки, и мир ключевой магии возвращается к ней, только чтобы снова исчезнуть, когда она не пьет джин.

Фото: Netflix

Технически этот ключ не играет никакой роли в действиях Мэтисона до четвертого эпизода, но мы замечаем его первым в прологе, когда Марк, один из Хранителей ключей, использует его для самосожжения, его дом взрывается. в огонь.Электропитание здесь довольно простое – не требуется замочная скважина, дверь или шкаф. Ударьте ключом в любом месте, и то, что вы ударите, загорится. Вместо того, чтобы просто дать Сэму Лессеру ключ от любого места и позволить ему выйти из тюрьмы, Додж дает ему ключ от спички, который она получает от ребенка возле дома Марка. Сэм не только использует его для побега, но и играет важную роль в финале сезона, когда Боде использует его, чтобы убить Доджа. По крайней мере, он так думает.

Фото: Netflix

Один из самых важных ключей в повествовании первого сезона также является одним из самых знаковых в книге: ключ с головой на нем.Он буквально позволяет проникнуть в чей-то разум и используется в основном в шоу, чтобы представить экспозицию через воспоминания. Дизайн головы каждого человека индивидуален: голова молодого Боде Локка организована как аркада, а голова Кинси Локка больше похожа на торговый центр. Бедная Эрин Восс застряла в своей голове после использования ключа головы, и другие персонажи, в том числе Сэм Лессер и Элли Уидон, часто используют этот предмет, чтобы продвинуть сюжет. Это важный ключ, потому что он нужен Доджу, чтобы найти местонахождение Ключа Омега, поскольку Эрин узнала от Эрин, что Ренделл Локк использовал Головной Ключ, чтобы спрятать Ключ Омега в своем собственном сознании.

Фото: Netflix

Еще один знаковый ключ для поклонников источника – это Призрачный ключ, который нужно использовать на очень специфической двери в Key House. Бод Локк обнаруживает его, вставляет в дверь и проходит внутрь, став призрачным существом, которое затем может путешествовать по территории; его тело выглядит как носок без ноги в этом доме.Это позволяет Боде шпионить за людьми и, в конечном итоге, приводит к гибели Сэма Лессера, который бессознательно входит в дверь только для того, чтобы та закрылась за ним. Мы можем с уверенностью предположить, что призрак бедного Сэма все еще летит высоко над Ки-Хаусом и выглядит грустным.

Фото: Netflix

Этот ключ немного отличается от исходного. Сначала кажется, что этот ключ просто запускает музыкальную шкатулку, но дети Локков вскоре осознают его невероятную силу, когда Кинси говорит Тайлеру закрыть рот, и он буквально не может открыть его снова.Это ключ, который позволяет людям превращаться в кукловодов, а Кинси, Скот и Гейб делают это в школе, превращая хулигана Идена в свою игрушку. Вероятно, это ключ, который мы не видели в последний раз, учитывая его замечательную способность заставлять людей делать все, что диктует его обладатель. Это могло пригодиться во время финальной схватки в сезоне.

Фото: Netflix

Ключ с цветком на нем поднимает кувшины памяти на территории Key House, воспоминания, которые когда-то принадлежали Дункану Локку, брату Ренделла.Наблюдение за этими воспоминаниями позволяет детям Локка понять, что произошло, когда их отец был молод, а также объяснить, почему Дункан теряет сознание, когда его спрашивают о тех днях. В один из самых жутких моментов сезона Дункан, кажется, ломается, глядя на воспоминание, которое должно быть в его голове, но находится в его руках.

Фото: Netflix

Ключевой момент в повествовании. Идентификационный ключ на самом деле впервые замечается в одном из сосудов с воспоминаниями, которые находит Кинси.Позже он играет важную роль в финале сезона, не только потому, что Додж использует его для трансформации между Well Lady и Лукасом, но и в финальном захватывающем моменте, где выясняется, что Ключ личности был использован на Элли Уидон, чтобы она выглядела. как враг Локков. Кинси, Тайлер и их друзья бросили то, что, по их мнению, было сущностью из колодца через Черную дверь, но на самом деле это была Элли, любезно предоставленная Ключом идентификации. Последний эпизод также показывает, что существо использовало этот ключ весь сезон, чтобы выглядеть как Гейб и приблизиться к Кинси.Зачем это делать? Что на самом деле получил Додж, кроме информации о Локках? Может, в следующем сезоне узнаем больше.

Фото: Netflix

Поначалу этот ключ – своего рода подделка, поскольку Бод Лок считает, что он просто открывает старый шкаф на кухне Key House. Это отчасти правда, но этот шкаф волшебный. Если положить в него что-то сломанное, он окажется исправленным, хотя Нина Локк узнает, что это не вернет людей из мертвых.Это, наверное, к лучшему.

Фото: Netflix

Ключ Омега был источником большинства проблем в этой истории. One Ring of Locke & Key впервые упоминается в восьмом эпизоде ​​и играет важную роль в финале сезона, состоящем из двух частей. Оказывается, оригинальные Хранители Ключей нашли Омега-Ключ и открыли Черную Дверь, которая освободила сущность, которая владела Лукасом и оказалась в ловушке в колодце.Это также то, чего Додж хочет больше всего: вернуться к этой двери и открыть ее Омега-ключом. Может быть, в следующем сезоне, хотя Локки и их приятели используют Ключ Омега, чтобы по существу проклясть Элли Уидон в вечное чистилище, бросив ее тело через портал, потому что они думают, что это Додж.

Фото: Netflix

Объясняя, что случилось с Локками, Элли Уидон упоминает, что взяла это после того, как Хранители Ключей разделили их, и что он может вернуть людей.Она использовала Эхо-Ключ в колодце, чтобы воскресить Лукаса, но вместо этого это была сущность, которая овладела ее потерянной любовью.

Фото: Netflix

Корона теней – это волшебный головной убор, который позволяет его владельцу управлять дементороподобными существами, похожими на тени. Конечно, корону нельзя просто надеть, для ее активации нужен ключ.Для всего, что важно в этом мире, нужен ключ.

ключей | Локк и Ключ вики

Предупреждение о спойлере!

Эта статья содержит подробные сведения о предстоящем произведении, рассказе или эпизоде. Если вы еще не видели его и ничего не хотите знать, прекратите читать сейчас.

Ваш дом наполнен удивительными ключами.

Ключи семейства Локков – это разновидность волшебных ключей, которые спрятаны в семейном доме Локков, поместье Киххаус.Оригинальные ключи были созданы Бенджамином Локком во время Войны за независимость восемнадцатого века. После Бенджамина многие другие ключи сделали другие, в том числе: Харланд и Тайлер Локк, даже Ганс Риффель.

Описание []

Ключи … они могут вызвать величайшее добро или самое темное зло, и вы, создатель, должны решать.

Во время войны 1775 года солдаты обнаружили и открыли Черную дверь в Тонущих пещерах, выпустив демонов.Чтобы закрыть дверь, Бенджамин изготовил замок и ключ из Шепчущего Железа, которые, как он утверждал, искушали его. [1] Позже он создал множество других ключей, [2] , как и многие из локков, которые пришли после него; эти ключи остались у семьи Локков и часто ими пользовались. [3]

Подразумевается, что Дети Ленга, тела которых использовались для изготовления ключей, все еще каким-то образом живы, потому что ключи все еще могут шептать, когда они потеряны и хотят, чтобы их нашли. [4] Чемберлин Локк считал, что Дети Ленга, превратившиеся в Ключей, хотят, чтобы человек использовал их в качестве оружия. [5]

Адаптация Netflix []

В 1775 году Бенджамин Лок в сотрудничестве со своей сестрой Мирандой начал практику ковки ключей из Шепчущего Железа, начиная с Омега-ключа. Процесс требовал алхимии, чтобы наделить их магией, и только человек, слышавший шепот Шепчущего Железа, мог сделать ключ, потому что «изготовление ключа – это разговор между Шепчущим Железом и изготовителем ключей.« [6]

Согласно демонической сущности по имени Додж, ключи каким-то образом попали в ее законную собственность, поскольку она заявила, что Бод Локк должен был« вернуть их назад ей », следовательно, заслужил его стойкое неповиновение, [7] , и позже она назовет Омега-Ключ и Призрачный Ключ своими. сверхъестественный тип собственности, так как они должны быть добровольно отданы Доджу или любому другому демону, который по неизвестным причинам не может силой отобрать ключи у детей Локка.Это было эксклюзивно для их предполагаемого владельца из другого измерения, поскольку Сэм Лессер забрал ключи у детей Локков, а Додж забрал те же ключи у него. [10] [11] Поскольку люди, не принадлежащие к семье Локков, также могли брать эти ключи без запроса разрешения, это, скорее всего, относилось только к демонам, служащим расширением для обозначения одержимых людей. [12] [6]

Дункан научился делать ключи из призрака Чемберлина Локка.Обучая Тайлера делать ключ, Дункан говорит ему, что «ключ получает свою магию от намерения создателя ключа» и что ему нужно закрыть глаза и сосредоточиться на намерении того, для чего ему нужен ключ. В то время как Шепчущее Железо из мира демонов, его сила может быть изменена, чтобы вызвать самое темное зло или величайшее добро, «и вы, как создатель, должны решать». Как только изготовитель ключей сфокусировал свое намерение на получение ключа, они добавляют свою кровь в расплавленное шепчущее железо перед тем, как вылить расплавленный металл в форму для ключа.После того, как ключ окажется в форме, он может затвердеть от пары минут до пары часов, поскольку каждый ключ индивидуален. [13] Он также говорит Доджу, что кровь, из которой сделан ключ, должна быть кровью Локка, чтобы он работал. [11] Это может быть потому, что они являются потомками Бенджамина Локка, первого человека, создавшего ключи, который не проявлял никаких признаков магического таланта до изготовления Ключа Омега и фактически нуждался в помощи своей сестры, чтобы выяснить алхимический процесс. [13]

После того, как Тайлер вел к Ключу Памяти шепотом, Тайлер предлагает Гейбу и Логану, что ключи приводят к ним Локков только тогда, когда им больше всего нужен конкретный ключ. [14]

Известные ключи []

Есть ключ, позволяющий выйти за пределы своего тела и стать призраком. И еще один, который может изменить ваш внешний вид. Лучшее – это ключ, который может доставить вас в любую точку мира, куда вы хотите пойти, если вы знаете, как им пользоваться. Он сделан из золота и имеет шесть связанных кругов.

Примечание:

указывает, что ключ появляется только в серии Netflix; они не упоминаются и не появляются в графических романах.
указывает, что ключ появляется в графических романах, но был переработан и / или переименован в серии Netflix.
указывает, что ключ впервые появился в серии Netflix, но позже был интегрирован в графические романы.

Мета-ключи []

Эти ключи не появлялись в официальных комиксах, но появляются в товарах, рекламных материалах и / или неканонических материалах.

Второстепенные ключи []

Эти ключи можно увидеть в искусстве, но они не использовались.Обратите внимание, что имена не официальные.

  • Ключ Инь-Ян
  • Игрушечный ключ
  • Ключ иллюминатов (виден на стеклянном потолке и Добро пожаловать в Лавкрафт 6)
  • Масонский ключ (Дужка ключа украшена Масонским квадратом и Компасом, в центре цветок вместо буквы «G», обведенный лавровым венком. Появляется только на стеклянном потолке)
  • Ключ от скипетра
  • Компас / Ключ со звездочкой
  • Два других ключа неопознанного символического изображения

Замки, которые указывают на потенциальные ключи []

Это замки, которые встречаются в технике, которые могут намекать на существование потенциальных ключей.Имена не официальные.

Интересные факты []

  • Хотя Dodge сделал три искренних претензии к ключам, следует отметить справедливо, что все три значения – всего лишь ее слова, и тем не менее точный владелец ключей еще не уточнен, поскольку мало что известно о длине ключей. история в адаптации Netflix вообще.

Ссылки []

  1. ↑ Locke & Key: Clockworks # 1, “Сын слесаря”. 20 июля 2011 г.
  2. 2.0 2.1 Локк и Ключ: Clockworks # 4, “The Whispering Iron”. 1 февраля 2012 г.
  3. ↑ Лок и Ключ: Путеводитель по известным ключам. 23 ноября 2011 г.
  4. ↑ Лок и Ки, Эпизод 1: Добро пожаловать в Мэтисон
  5. ↑ Лок и Ки: … Бледными батальонами иди … №1. 26 августа 2020 г.
  6. 6,0 6,1 Локк и Ки, Сезон 2 Эпизод 8: Утюги в огне
  7. ↑ Лок и Ки, Эпизод 2: Ловец / Хранитель
  8. ↑ Лок и Ки, Эпизод 8: Луч грёбаного солнечного света
  9. ↑ Лок и Ки, Сезон 2 Эпизод 4: Не забывай меня
  10. ↑ Лок и Ки, Эпизод 5: Семейное древо
  11. 11.0 11,1 Локк и Ки, Сезон 2 Эпизод 7: Лучшие планы
  12. ↑ Лок и Ки, Сезон 2 Эпизод 2: Голова и сердце
  13. 13,0 13,1 Локк и Ки, Сезон 2 Эпизод 9: Альфа и Омега
  14. ↑ Лок и Ки, Сезон 2 Эпизод 5: Прошлое – пролог
  15. ↑ Закладка Audible Key
  16. ↑ @joe_hill (Джо Хилл) в Твиттере
  17. ↑ Biblio Key на Skelton Crew Studios.Архивировано 4 сентября 2017 года.
  18. ↑ Альфа # 2 (Jetpack Key Edition)
  19. ↑ Раздача ключей от реактивного ранца
  20. ↑ @LockeAndKeyFrance (Лок и Ки Франс) в Твиттере
  21. 21,0 21,1 Локк и Ключ: Hell & Gone # 2. 28 сентября 2021 г.
  22. ↑ Лок и Ключ: Корона теней # 2, «В пещере». 16 декабря 2009 г.

Что такое ключ Windows?

Обновлено: 12.04.2021, Computer Hope

Ключ Windows может относиться к любому из следующего:

1.Альтернативно называемый winkey , win или WK , клавиша Windows – это клавиша, которую можно найти на IBM-совместимых клавиатурах, используемых с операционной системой Microsoft Windows. Клавиша Windows с логотипом Microsoft находится между левыми клавишами Ctrl и Alt на клавиатуре. Само по себе нажатие клавиши Windows открывает меню «Пуск», в котором также отображается поле поиска.

Удерживая нажатой клавишу Windows и нажимая другую клавишу для запуска сочетания клавиш, можно ускорить выполнение общих задач.Например, сочетание клавиш Windows key + E (нажмите и удерживайте клавишу Windows, , затем, удерживая эту клавишу, нажмите клавишу E , а затем отпустите обе кнопки) открывает проводник Windows. Полный список сочетаний клавиш Windows см. В руководстве по сочетаниям клавиш Windows.

Подсказка

Пользователи, знакомые с компьютерами Mac, могут связать клавишу Windows с клавишей Apple Command .

Где находится клавиша Windows на клавиатуре?

Как показано ниже, клавиша Windows находится между клавишами Alt и Ctrl по обеим сторонам пробела.Некоторые производители клавиатур ПК могут заменять логотип Windows другим изображением, но клавиши по-прежнему работают одинаково. Например, некоторые пользователи Linux могут наклеить наклейку Tux на клавишу Windows или заменить клавишу на клавишу с изображением Tux.

Рядом с клавишей Windows с правой стороны клавиатуры находится клавиша приложения или клавиша меню . Он вызывает меню для текущего окна или выделенного текста. Нажатие на эту кнопку обычно аналогично нажатию на меню, которое появляется при щелчке правой кнопкой мыши.

Какие клавиши находятся рядом с клавишей Windows?

На левой стороне клавиатуры клавиша Windows находится между клавишей Ctrl и клавишей Alt . На правой стороне клавиатуры клавиша Windows находится между клавишей Alt и клавишей меню Windows (показано выше).

Почему у меня не работает ключ Windows?

Если обе клавиши Windows на клавиатуре не работают, попробуйте выполнить следующие действия для устранения проблемы. Если не работает только одна из клавиш Windows, значит, она сломана или загрязнена.

  1. Убедитесь, что нажатие одной клавиши Windows и клавиши Windows с другой буквой (например, E) не работают.
  2. Если у вас есть клавиатура с клавишей Fn , убедитесь, что она выключена.
  3. Если у вас есть функциональная клавиша или другая клавиша с логотипом Windows и замком, см. Приведенный ниже раздел о клавише блокировки Windows.
  4. По отдельности нажмите все остальные клавиши-модификаторы, если одна из них зависла физически или программно. Например, нажмите клавиши Shift , Alt и Ctrl с обеих сторон клавиатуры хотя бы один раз.
  5. Перезагрузите компьютер.
  1. Попробуйте другие предложения, упомянутые на нашей странице устранения неполадок клавиш клавиатуры.

Что такое кнопка или ключ с логотипом Windows и замком?

Если во время игры вы нажмете клавишу Windows , это приведет к выходу из игры, а в некоторых случаях может даже привести к сбою игры. На некоторых игровых клавиатурах есть функциональная клавиша с логотипом Windows или отдельная кнопка рядом с логотипом Windows. Эта клавиша и кнопка предназначены для включения и выключения клавиши Windows.Итак, во время игры вы можете отключить клавишу Windows, чтобы она ничего не делала, если она была нажата по ошибке.

Если это отдельная кнопка, нажатие на нее включает и отключает клавишу Windows. Также может быть световой индикатор, указывающий, когда он включен или отключен. Если на вашей клавиатуре есть функциональная клавиша со значком флага Windows, используйте клавишу Fn и эту функциональную клавишу для включения и отключения клавиши Windows. Например, на игровой клавиатуре Cooler Master эта функция находится на клавише F12 , поэтому нажатие Fn + F12 включает и отключает клавишу Windows.

Где находится клавиша Windows на компьютере Chromebook или Apple?

На компьютерах Chromebook и Apple нет клавиши Windows. Клавиша Windows находится только на клавиатурах, разработанных для продуктов Microsoft. На клавиатурах Apple клавиша Windows заменяется клавишей Option . На Chromebook есть клавиша Search , аналогичная клавише Windows. Однако он расположен там, где на большинстве клавиатур находится клавиша Caps Lock .

2. Ключ Windows также может быть кратким обозначением ключа продукта Windows.

104 клавиатура, термины клавиатуры, термины операционной системы

Что такое клавиша Scroll Lock?

Обновлено: 13.03.2021, Computer Hope

Клавиша блокировки прокрутки , иногда сокращенно ScLk , ScrLk или Slk , находится на клавиатуре компьютера, часто рядом с клавишей паузы. Клавиша Scroll Lock изначально предназначалась для использования вместе с клавишами со стрелками для прокрутки содержимого текстового поля.Он также использовался для остановки прокрутки текста или остановки работы программы. На рисунке показано, как может выглядеть клавиша Scroll Lock со светодиодом на клавиатуре. Сегодня ключ используется нечасто.

Клавиша Scroll Lock помечена как одно из сокращений, упомянутых ранее, и расположена рядом с другими клавишами управления на клавиатуре. Ниже приведен обзор клавиатуры компьютера с клавишей Scroll Lock, выделенной синим цветом.

Примечание

На клавиатуре компьютеров Apple клавиша Scroll Lock может отсутствовать, и вместо нее используется функциональная клавиша F14.

Где находится клавиша Scroll Lock на клавиатуре ноутбука?

Клавиша Scroll Lock на портативном компьютере часто является вторичной функцией другой клавиши, расположенной рядом с клавишей Backspace. Если на портативном компьютере две клавиши используются как одна, необходимо нажать клавишу Fn вместе со второй клавишей, которую вы хотите использовать. На ноутбуке функции Scr Lk, Pause и Break обычно являются частью другой клавиши и выделены синим текстом.

Чтобы использовать эти клавиши, нажмите клавишу Fn и клавишу с синим текстом, который вы хотите использовать.В примере изображения Scroll Lock является частью клавиши Num Lk, поэтому вам нужно будет нажать клавишу Fn и Num Lock , чтобы выполнить функцию Scroll Lock.

Примечание

В ноутбуках нет стандартного размещения клавиши Scroll Lock. Конфигурация вашего ноутбука может отличаться от показанной на картинке.

Примечание

Меньшие по размеру более компактные ноутбуки могут не иметь клавиши Scroll Lock. На Chromebook также нет клавиши Scroll Lock.

Пример использования Scroll Lock сегодня

Microsoft Excel – хороший пример программы, в которой до сих пор используется этот ключ.Если включена блокировка прокрутки, нажатие любой из клавиш со стрелками приведет к перемещению экрана в этом направлении, но выбранная ячейка не изменится.

Компьютерные сокращения, клавиши управления, термины клавиатуры, прокрутка, кнопки переключения

Что такое отмычка? | Старинные отмычки

Отмычки, пожалуйста!

Каркасный ключ – это ключ, в котором внутренняя бита была выдолблена, так что ключ может открывать множество различных замков.

У каркасного ключа зазубренный край был удален, чтобы ключ мог служить главным ключом для открытия множества различных замков с защитой в рамках конкретной системы.

В популярной культуре и литературе отмычки – сильные символы; даже думают, что они приносят удачу. Но как работают эти старые вещи и что они символизируют? Прочтите, чтобы узнать все, что вы когда-либо хотели знать об этих интересных ключах, и обязательно узнайте о наших современных услугах по замкам и ключам!

Узнайте о замке

Почему отмычки называются отмычками?

Термин «отмычка» происходит от того факта, что ключ был сокращен до основных частей .

Однако название часто относится к любому старинному ключу, независимо от того, насколько он богато украшен. Пока есть дужка, узкий стержень или вал и плоский удлинитель с одной стороны рядом с нижней частью вала, ключ часто считается каркасным ключом.

Как работает отмычка?

Отмычки могут работать с замками с защитой или с рычажными замками.

В замке с защитой в каркасном ключе отсутствуют внутренние выемки, которые мешали бы или соответствовали защитным ограждениям или препятствиям, что позволяло бы открыть замок.

В замке с рычагом – то есть замке с набором рычагов и защитных решеток – отмычка может подтолкнуть рычаги к нужной высоте, минуя барьеры. В системе этого типа каждый замок по-прежнему будет иметь свой собственный ключ, соответствующий оберегу; Отмычка или мастер-ключ может открыть любой из замков в этой системе. (Вы можете найти эти замки в отелях, офисных зданиях, школах или многоквартирных домах.)

Все отмычки одинаковые?

Хотя скелетный ключ является «главным ключом», не все скелетные ключи одинаковы .Размер и форма бородки ключа, а также диаметр его цилиндра определяют, подходит ли он к замку. Кроме того, старинные (или имитирующие антиквариат) ключи-отмычки известны своими замысловатыми деталями.

Это может вызвать у вас вопрос: «Как я могу открыть замок с металлическим ключом?» Возможно, у вас есть антикварная мебель, например письменный стол, шкаф или комод, в которой используется отмычка. Или, может быть, вы живете в старом доме, в котором до сих пор сохранились оригинальные замки на межкомнатных дверях. Но вот загвоздка: у вас нет оригинальных отмычек для этих замков.

У вас есть несколько вариантов: Слесарь может вам помочь. Или, если вы в затруднительном положении, вы можете использовать обычный предмет домашнего обихода, чтобы открыть замок. Однако мы не рекомендуем этого делать. Если вы можете подождать, лучше всего найти отмычку, которая подойдет для вашего замка.

Может ли слесарь сделать отмычку?

Если у вас есть старый замок, для которого требуется отмычка, или, возможно, у вас есть старый дом с существующими отмычками или замками, в которых они используются, слесарь может вам помочь.Многие старые дома в районе Чикаго изначально были построены с замками, для которых требовались отмычки.

Мы до сих пор режем и продаем отмычки в Anderson Lock в Des Plaines для использования в старых замках жилых домов, а также для прекрасной мебели. Если вам нужно купить отмычку или дубликат, наша команда может помочь.

Какое значение имеют отмычки?

Старинные отмычки обычно стоят 10 долларов или дешевле, тогда как старые отмычки или более подробные отмычки стоят до 1000 долларов.Их довольно легко найти на распродажах недвижимости, в антикварных магазинах или в Интернете. Вы можете найти более новые старинные копии ключей отмычек в хозяйственных магазинах или даже в магазинах домашнего декора.

Ключи и замки возникли в древних цивилизациях и датируются 4000 годом до нашей эры. Подлинные старинные ключи отмычки вполне можно коллекционировать, хотя их стоимость сильно варьируется в зависимости от их возраста, редкости, украшений или деталей, их веса, формы и размера.

Нишевые антикварные коллекционеры ключей-отмычек сужают объем своих коллекций в соответствии с рядом факторов, которые определяют ценность ключей-отмычек:

  • Возраст ключа
  • Где был использован ключ
  • Тип металла, из которого изготовлен ключ сделанный из (например, латуни или железа)
  • Деталь или украшение на ключе

Что символизирует отмычка?

Отмычки обычно появляются на Хэллоуин в домах с привидениями.

Отмычки-ключи символизируют «доступ к чему-то», будь то абстрактное, как «ключи от города», или реальное, как ключ от вашего дома. Часто думают, что они символизируют ключ к сердцу, ключ к успеху или ключ к «отпиранию двери» к тому, чего человек хочет достичь.

Памятные ключи, как и три больших декоративных ключа, показанных выше, популярны в домах и офисах как предметы искусства. В то время как коллекционеры ищут подлинные антикварные ключи, которых довольно много на аукционах и блошиных рынках, им необходимо отличать их от недорогих репродукций, которые предпочитают ремесленники.

Ключи-отмычки «в винтажном стиле» с пометкой «не открывают замки», делают элегантные свадебные сувениры и могут использоваться в качестве очаровательных колокольчиков, украшений или декора стен.

И каждую осень тонкие отмычки украшают дома с привидениями на Хэллоуин и реквизит в тематике подземелий.

Spoo-key, не так ли?

Отмычки в виде ожерелий или предметов украшения

Прекрасные кусочки искусства, не правда ли?

Отмычки-ключи стали популярными в качестве ожерелий или предметов одежды в целом.Ключи-отмычки и подвески-отмычки – действительно, подарок на 21-й день рождения.

Что же тогда символизирует такой ключ в контексте дня рождения? Что ж, в 21 год человек достаточно взрослый, чтобы считаться ключником в доме своей семьи. Как поклонники ключей от скелетов, мы стараемся быть в курсе последних тенденций в области ожерелий. Мы нашли несколько симпатичных эмалированных ключей в Blogspot Maize Hutton. Взгляните на некоторые фотографии!

Отмычки как оправы для очков

Отмычки не только ожерелья и украшений, но и нашли свое место на рынке очков.Шон Вайнсток из Anderson Lock обычно покупает оправы для дверей, но накануне вечером она искала оправы для очков. Она не могла удержаться от того, чтобы сфотографировать украшенный драгоценными камнями дизайн ключа отмычки от Тиффани.

Очки Tiffany с отмычками. Снимок любезно предоставлен Шоном Вайнстоком.

Мы проверили веб-сайт Tiffany, чтобы узнать, есть ли другие ключевые дизайны, и да, их несколько. Наиболее примечательными были солнцезащитные очки-авиаторы Tiffany без оправы, изображенные здесь.Цена этой потрясающей пары составляет 1650 долларов. Мне нравится описание на сайте: «Вдохновлено ключами из архива Тиффани, открывающими двери частных усадеб и сундуков, заполненных драгоценными реликвиями. Солнцезащитные очки из титана с ключами из 18-каратного золота ».

Нам интересно, вдохновят ли сегодняшние двери и ключи от машины создание украшений и очков следующего поколения!

Расскажите о своих старинных или коллекционных ключах!

Были ли у вас отмычки? Даже старинный ключ? В любом случае дайте нам знать о своем опыте использования коллекционных ключей, связавшись с нами через Интернет или позвонив по телефону 847-824-2800.Мы хотели бы услышать от вас.

О ключах – Azure Key Vault

  • Статья
  • .
  • 2 минуты на чтение
Эта страница полезна?

Оцените свой опыт

да Нет

Любой дополнительный отзыв?

Отзыв будет отправлен в Microsoft: при нажатии кнопки «Отправить» ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

Представлять на рассмотрение

В этой статье

Azure Key Vault предоставляет два типа ресурсов для хранения криптографических ключей и управления ими. Хранилища поддерживают ключи, защищенные программным обеспечением и защищенные HSM (аппаратный модуль безопасности). Управляемые HSM поддерживают только ключи, защищенные HSM.

Тип ресурса Методы защиты ключей Базовый URL конечной точки плоскости данных
Хранилища Программно-защищенный

и

HSM-защищенный (с Premium SKU)

https: // {имя-хранилища}.vault.azure.net
Управляемые HSM с защитой HSM https: // {hsm-name} .managedhsm.azure.net
  • Хранилища – Хранилища представляют собой недорогое, простое в развертывании, многопользовательское, устойчивое к зонам (если доступно) высокодоступное решение для управления ключами, подходящее для наиболее распространенных сценариев облачных приложений.
  • Управляемые модули HSM – Managed HSM предоставляет однопользовательские, устойчивые к зонам (при наличии) высокодоступные модули HSM для хранения криптографических ключей и управления ими.Наиболее подходит для приложений и сценариев использования, которые обрабатывают ключи с высоким значением. Также помогает соответствовать самым строгим требованиям безопасности, соответствия и нормативным требованиям.

Примечание

Хранилища

также позволяют хранить и управлять несколькими типами объектов, такими как секреты, сертификаты и ключи учетной записи хранения, в дополнение к криптографическим ключам.

Криптографические ключи в Key Vault представлены как объекты JSON Web Key [JWK]. Спецификации JavaScript Object Notation (JSON) и JavaScript Object Signing and Encryption (JOSE):

Базовые спецификации JWK / JWA также расширены, чтобы включить типы ключей, уникальные для реализаций Azure Key Vault и Managed HSM.

HSM-защищенные ключи (также называемые HSM-ключами) обрабатываются в HSM (аппаратном модуле безопасности) и всегда остаются границей защиты HSM.

  • Хранилища используют проверенные HSM FIPS 140-2 уровня 2 для защиты ключей HSM в общей внутренней инфраструктуре HSM.
  • Управляемый HSM
  • использует проверенные модули HSM FIPS 140-2 уровня 3 для защиты ваших ключей. Каждый пул HSM является изолированным экземпляром с одним клиентом и собственным доменом безопасности, обеспечивающим полную криптографическую изоляцию от всех других HSM, использующих ту же аппаратную инфраструктуру.

Эти ключи защищены в однопользовательских HSM-пулах. Вы можете импортировать RSA, EC и симметричный ключ в программной форме или путем экспорта с поддерживаемого устройства HSM. Вы также можете генерировать ключи в пулах HSM. Когда вы импортируете ключи HSM с помощью метода, описанного в спецификации BYOK (принесите свой собственный ключ), он обеспечивает безопасную транспортировку материала ключа в управляемые пулы HSM.

Дополнительные сведения о географических границах см. В Центре управления безопасностью Microsoft Azure

.

Основные типы и способы защиты

Key Vault поддерживает ключи RSA и EC.Управляемый HSM поддерживает RSA, EC и симметричные ключи.

Ключи, защищенные HSM

Тип ключа Хранилища (только Premium SKU) Управляемые HSM
EC-HSM : Ключ эллиптической кривой Поддерживается (P-256, P-384, P-521, P-256K) Поддерживается (P-256, P-256K, P-384, P-521)
RSA-HSM : ключ RSA Поддерживается (2048 бит, 3072 бит, 4096 бит) Поддерживается (2048 бит, 3072 бит, 4096 бит)
oct-HSM : Симметричный ключ Не поддерживается Поддерживается (128 бит, 192 бит, 256 бит)

Ключи с программной защитой

Тип ключа Хранилища Управляемые HSM
RSA : ключ RSA с программной защитой Поддерживается (2048 бит, 3072 бит, 4096 бит) Не поддерживается
EC : “Программно-защищенный” ключ эллиптической кривой Поддерживается (P-256, P-384, P-521, P-256K) Не поддерживается

Соответствие

Тип и назначение ключа Соответствие
Программно-защищенные ключи в хранилищах (номера SKU Premium и Standard) FIPS 140-2, уровень 1
Ключи с защитой HSM в хранилищах (Premium SKU) FIPS 140-2, уровень 2
Ключи, защищенные HSM в управляемом HSM FIPS 140-2, уровень 3

См. Раздел Типы ключей, алгоритмы и операции для получения подробной информации о каждом типе ключа, алгоритмах, операциях, атрибутах и ​​тегах.

Сценарии использования

Следующие шаги

Создание ключей сервисных аккаунтов и управление ими | Документация по Cloud IAM | Google Cloud

На этой странице объясняется, как создавать и управлять ключами служебных учетных записей с помощью Google Cloud Console, инструмент командной строки gcloud , API управления идентификацией и доступом или один клиентских библиотек Google Cloud.

Примечание: Если вам нужен доступ к ресурсам из рабочей нагрузки, которая выполняется вне Google Cloud, например Amazon Web Services (AWS) или Microsoft Azure, рассмотрите использование федерации удостоверений рабочей нагрузки вместо ключей сервисного аккаунта.Федерация позволяет вашим рабочим нагрузкам получать доступ к ресурсам напрямую, используя недолговечный токен доступа, и устраняет необходимость в обслуживании и бремя безопасности, связанное с ключами учетной записи службы.

Прежде чем начать

Необходимые разрешения

Чтобы разрешить пользователю управлять ключами учетной записи службы, предоставьте ключ учетной записи службы. Роль администратора ( ролей / iam.serviceAccountKeyAdmin ). Для получения дополнительной информации см. Роли сервисных аккаунтов.

Базовые роли

IAM также содержат разрешения на управление сервисом. ключи учетной записи.Вы не должны назначать базовые роли в производственной среде, но вы можете предоставить их в среда разработки или тестирования.

Создание ключей сервисного аккаунта

Для использования учетной записи службы за пределами Google Cloud, например, на других платформы или локально, вы должны сначала установить идентичность службы Счет. Пары открытого / закрытого ключей обеспечивают безопасный способ достижения этой цели. Цель. Когда вы создаете ключ учетной записи службы, общедоступная часть сохраняется на Google Cloud, а приватная часть доступна только вам.Для большего информацию о парах открытого и закрытого ключей см. Ключи сервисного аккаунта.

Примечание. Вы можете создать ключи учетной записи службы в формате JSON или PKCS # 12 (P12). Ключи сервисного аккаунта P12 не рекомендуются, если только они необходимы для обратной совместимости. В следующих примерах используется JSON. формат.

Вы можете создать ключ сервисного аккаунта используя облачную консоль, инструмент gcloud , serviceAccounts.keys.create () метод или одну из клиентских библиотек.У служебного аккаунта может быть до 10 ключей.

В приведенных ниже примерах sa-name – это имя вашего сервисный аккаунт, а id-проекта – идентификатор вашего Проект Google Cloud. Вы можете получить sa-name @ идентификатор проекта .iam.gserviceaccount.com строка из учетных записей служб страницу в облачной консоли.

Примечание. После создания ключа может потребоваться подождать 60 секунд или более перед выполнением другой операции с ключ.Если вы попытаетесь выполнить операцию с ключом сразу после того, как вы создать ключ, и вы получите сообщение об ошибке, вы можете повторите запрос с экспоненциальной отсрочкой.

Консоль

  1. В облачной консоли перейдите на страницу Учетные записи служб .

    Перейти к счетам обслуживания

  2. Выберите проект.

  3. Щелкните адрес электронной почты учетной записи службы, для которой вы хотите создать ключ. за.

  4. Щелкните вкладку Ключи .

  5. Щелкните раскрывающееся меню Добавить ключ , затем выберите Создать новый ключ .

  6. Выберите JSON в качестве типа ключа и нажмите Создать .

При нажатии Create загружается файл ключа учетной записи службы. После загрузки ключевой файл, вы не можете загрузить его повторно.

Загруженный ключ имеет следующий формат, где закрытый ключ – это закрытая часть общедоступного / частного пара ключей:

{
  "type": "service_account",
  "project_id": " идентификатор проекта ",
  "private_key_id": " идентификатор ключа ",
  "private_key": "----- BEGIN PRIVATE KEY ----- \ n  private-key  \ n ----- END PRIVATE KEY ----- \ n",
  "client_email": " service-account-email ",
  "client_id": " идентификатор клиента ",
  "auth_uri": "https: // account.google.com/o/oauth3/auth ",
  "token_uri": "https://accounts.google.com/o/oauth3/token",
  "auth_provider_x509_cert_url": "https://www.googleapis.com/oauth3/v1/certs",
  "client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/  service-account-email "
}
 

Убедитесь, что файл ключа надежно хранится, поскольку его можно использовать для аутентификации. в качестве учетной записи службы. Вы можете переместить и переименовать этот файл, как вы как.

Вы можете использовать файлы ключей служебных учетных записей для аутентификации приложения как сервисный аккаунт.

gcloud

Выполнить ключей сервисных учетных записей gcloud iam создать команда для создания ключей учетной записи службы.

Заменить следующие значения:

  • ключевой файл : путь к новому выходному файлу для закрытый ключ – например, ~ / sa-private-key.json .
  • sa-name : имя учетной записи службы. создать ключ для.
  • идентификатор проекта : идентификатор вашего проекта в Google Cloud.
Ключи сервисных аккаунтов gcloud iam создают  файл ключей  \
    --iam-account =  sa-name  @  идентификатор проекта  .iam.gserviceaccount.com
 

Выход:

создан ключ [e44da1202f82f8f4bdd9d92bc412d1d8a837fa83] типа [json] как
[/ usr / home / username /  ключевой файл ] для
[ sa-name  @  id-проекта  .iam.gserviceaccount.com]
 

Ключевой файл служебной учетной записи загружен на ваш компьютер. После тебя скачать ключевой файл, вы не можете скачать его повторно.

Загруженный ключ имеет следующий формат, где закрытый ключ – это закрытая часть общедоступного / частного пара ключей:

{
  "type": "service_account",
  "project_id": " идентификатор проекта ",
  "private_key_id": " идентификатор ключа ",
  "private_key": "----- BEGIN PRIVATE KEY ----- \ n  private-key  \ n ----- END PRIVATE KEY ----- \ n",
  "client_email": " service-account-email ",
  "client_id": " идентификатор клиента ",
  "auth_uri": "https: // account.google.com/o/oauth3/auth ",
  "token_uri": "https://accounts.google.com/o/oauth3/token",
  "auth_provider_x509_cert_url": "https://www.googleapis.com/oauth3/v1/certs",
  "client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/  service-account-email "
}
 

Убедитесь, что файл ключа надежно хранится, поскольку его можно использовать для аутентификации. в качестве учетной записи службы. Вы можете переместить и переименовать этот файл, как вы как.

Вы можете использовать файлы ключей служебных учетных записей для аутентификации приложения как сервисный аккаунт.

ОТДЫХ

В projects.serviceAccounts.keys.create создает ключ для учетной записи службы.

Прежде чем использовать какие-либо данные запроса, сделайте следующие замены:

  • PROJECT_ID : Ваш проект Google Cloud Я БЫ. Идентификаторы проекта представляют собой буквенно-цифровые строки, например my-project .
  • SA_NAME : имя учетной записи службы, для которой вы хотите создать ключ. за.
  • KEY_ALGORITHM : Необязательно. Ключевой алгоритм для использования ключ. Значение по умолчанию, которое может быть изменено, – это 2048-битный ключ RSA. Для списка всех возможных значений см. Ссылка на ServiceAccountKeyAlgorithm .

Метод HTTP и URL:

 POST https://iam.googleapis.com/v1/projects/  PROJECT_ID  / serviceAccounts /  SA_NAME  @  PROJECT_ID  .iam.gserviceaccount.com / keys 

Тело запроса JSON:

{
  "keyAlgorithm": " KEY_ALGORITHM "
}
 

Чтобы отправить запрос, разверните одну из следующих опций:

curl (Linux, macOS или Cloud Shell)
Примечание: Убедитесь, что вы установили GOOGLE_APPLICATION_CREDENTIALS переменную среды в путь к файлу закрытого ключа вашей учетной записи службы.

Сохраните тело запроса в файле с именем request.json , и выполните следующую команду:

 curl -X POST \ 
-H "Авторизация: предъявитель" $ (gcloud auth application-default print-access-token) \
-H "Content-Type: application / json; charset = utf-8" \
-d @ request.json \
"https://iam.googleapis.com/v1/projects/ PROJECT_ID / serviceAccounts / SA_NAME @ PROJECT_ID .iam.gserviceaccount.com/keys "
PowerShell (Windows)
Примечание: Убедитесь, что вы установили GOOGLE_APPLICATION_CREDENTIALS переменную среды в путь к файлу закрытого ключа вашей учетной записи службы.

Сохраните тело запроса в файле с именем request.json , и выполните следующую команду:

 $ cred = gcloud auth application-default print-access-token 
$ headers = @ {"Authorization" = "Bearer $ cred"}

Invoke-WebRequest `
-Method POST`
-Headers $ headers `
-ContentType: "application / json; charset = utf-8" `
-InFile запрос.json `
-Uri" https://iam.googleapis.com/v1/projects/ PROJECT_ID / serviceAccounts / SA_NAME @ PROJECT_ID .iam.gserviceaccount.com / keys "| Select-Object -Expand Content

API Explorer (браузер)

Скопируйте тело запроса и откройте справочная страница метода. Панель API Explorer открывается в правой части страницы. Вы можете взаимодействовать с этим инструментом для отправки запросов. Вставьте текст запроса в этот инструмент, заполните все остальные обязательные поля и нажмите Выполнить .

Ответ содержит ключ для вашей учетной записи службы. Возвращенный ключ имеет следующий формат: где ENCODED_PRIVATE_KEY – это закрытая часть открытого / закрытого ключа пара, закодированная в base64.

{
  "name": "projects /  PROJECT_ID  / serviceAccounts /  SERVICE_ACCOUNT_EMAIL  / keys /  KEY_ID ",
  "privateKeyType": "TYPE_GOOGLE_CREDENTIALS_FILE",
  "privateKeyData": " ENCODED_PRIVATE_KEY ",
  "validAfterTime": " ДАТА ",
  "validBeforeTime": " ДАТА ",
  «keyAlgorithm»: «KEY_ALG_RSA_2048»
}
 

Чтобы создать файл ключа, который можно использовать для аутентификации в качестве учетной записи службы, расшифровать данные закрытого ключа и сохранить их в файл:

Linux

Выполните следующую команду:

echo ' ENCODED_PRIVATE_KEY ' | base64 --decode>  ПУТЬ 
 

Замените PATH на путь к нужному файлу. для сохранения ключа.Используйте расширение файла .json .

macOS

Выполните следующую команду:

echo ' ENCODED_PRIVATE_KEY ' | base64 --decode>  ПУТЬ 
 

Замените PATH на путь к нужному файлу. для сохранения ключа. Используйте расширение файла .json .

PowerShell

  1. Сохранение закодированных данных закрытого ключа ( ENCODED_PRIVATE_KEY ) в файле.

  2. Используйте certutil для декодирования файла:

    certutil -decode  ENCODED_FILE   DECODED_FILE 
     

    Заменить следующие значения:

    • ENCODED_FILE : путь к файлу, содержащему закодированные данные закрытого ключа.
    • DECODED_FILE : путь к файлу, который вы хотите для сохранения ключа. Используйте расширение файла .json .

Обязательно храните ключевые данные в надежном месте, потому что они могут быть используется для аутентификации в качестве вашей учетной записи службы.

Вы можете использовать файлы ключей служебных учетных записей для аутентификации приложения как сервисный аккаунт.

C ++

Чтобы узнать, как установить и использовать клиентскую библиотеку для IAM, см. Клиентские библиотеки IAM. Для получения дополнительной информации см. Справочная документация по IAM C ++ API.

C #

Чтобы узнать, как установить и использовать клиентскую библиотеку для IAM, см. Клиентские библиотеки IAM.Для получения дополнительной информации см. Справочная документация по IAM C # API.

Перейти

Чтобы узнать, как установить и использовать клиентскую библиотеку для IAM, см. Клиентские библиотеки IAM. Для получения дополнительной информации см. Справочная документация по IAM Go API.

Ява

Чтобы узнать, как установить и использовать клиентскую библиотеку для IAM, см. Клиентские библиотеки IAM.Для получения дополнительной информации см. Справочная документация по IAM Java API.

Питон

Чтобы узнать, как установить и использовать клиентскую библиотеку для IAM, см. Клиентские библиотеки IAM. Для получения дополнительной информации см. Справочная документация по IAM Python API.

Листинг ключей учетной записи службы

Вы можете перечислить ключи учетной записи службы для учетной записи службы, используя Облачная консоль, инструмент gcloud , serviceAccount.keys.list () метод или одну из клиентских библиотек.

Метод serviceAccount.keys.list () обычно используется для аудита службы. учетные записи и ключи, или для создания настраиваемых инструментов для управления учетными записями служб.

Чтобы узнать, к какому проекту принадлежит ваш ключ, вы можете скачать ключ как JSON-файл и просмотрите его.

Вы можете увидеть в списке ключи, которые вы не создавали. Это ключи, созданные Google и используется API учетных данных службы.Чтобы узнать больше, см. Пары ключей, управляемые Google.

Консоль

  1. В облачной консоли перейдите на страницу Учетные записи служб .

    Перейти к счетам обслуживания

  2. Выберите проект. Облачная консоль перечисляет все сервисные аккаунты и соответствующие им ключи.

gcloud

Выполнить список ключей сервисных учетных записей gcloud iam команда для вывода списка ключей учетной записи службы.

Заменить следующие значения:

  • sa-name : имя учетной записи службы перечислить ключи для.
  • идентификатор проекта : идентификатор вашего проекта в Google Cloud.
Список ключей сервисных аккаунтов gcloud iam \
    --iam-account =  sa-name  @  идентификатор проекта  .iam.gserviceaccount.com
 

Выход:

KEY_ID CREATED_AT EXPIRES_AT ВЫКЛЮЧЕНО
8e6e3936d7024646f8ceb397c07f4a9760c 2021-01-01T21: 01: 42Z 9999-12-31T23: 59: 59Z
937c98f870f5c8db970af527aa3c12fd88b1c20a 2021-01-01T20: 55: 40Z 9999-12-31T23: 59: 59Z Истинно

ОТДЫХ

В проектов.serviceAccounts.keys.list Метод перечисляет все ключи учетной записи службы для учетной записи службы.

Прежде чем использовать какие-либо данные запроса, сделайте следующие замены:

  • PROJECT_ID : Ваш проект Google Cloud Я БЫ. Идентификаторы проекта представляют собой буквенно-цифровые строки, например my-project .
  • SA_NAME : имя учетной записи службы, ключи которой вы хотите перечислить.
  • KEY_TYPES : необязательно. Список типов ключей, разделенных запятыми, которые вы хотите включить в ответ. Тип ключа указывает, управляется ли ключ пользователем. ( USER_MANAGED ) или управляемый системой ( SYSTEM_MANAGED ). Если оставить пустым, все ключи возвращены.

Метод HTTP и URL:

 ПОЛУЧИТЬ https://iam.googleapis.com/v1/projects/  PROJECT_ID  / serviceAccounts /  SA_NAME  @  PROJECT_ID .iam.gserviceaccount.com/keys?keyTypes=  KEY_TYPES  

Чтобы отправить запрос, разверните одну из следующих опций:

curl (Linux, macOS или Cloud Shell)
Примечание: Убедитесь, что вы установили GOOGLE_APPLICATION_CREDENTIALS переменную среды в путь к файлу закрытого ключа вашей учетной записи службы.

Выполните следующую команду:

 curl -X GET \ 
-H "Авторизация: предъявитель" $ (gcloud auth application-default print-access-token) \
"https: // iam.googleapis.com/v1/projects/ PROJECT_ID / serviceAccounts / SA_NAME @ PROJECT_ID .iam.gserviceaccount.com / keys? keyTypes = KEY_TYPES "
PowerShell (Windows)
Примечание: Убедитесь, что вы установили GOOGLE_APPLICATION_CREDENTIALS переменную среды в путь к файлу закрытого ключа вашей учетной записи службы.

Выполните следующую команду:

 $ cred = gcloud auth application-default print-access-token 
$ headers = @ {"Authorization" = "Bearer $ cred"}

Invoke-WebRequest `
-Method GET`
-Headers $ headers `
-Uri" https: // iam.googleapis.com/v1/projects/ PROJECT_ID / serviceAccounts / SA_NAME @ PROJECT_ID .iam.gserviceaccount.com / keys? keyTypes = KEY_TYPES "| Select-Object -Expand Content

API браузера (
браузера) )

Открыть справочная страница метода. Панель API Explorer открывается в правой части страницы. Вы можете взаимодействовать с этим инструментом для отправки запросов. Заполните все обязательные поля и нажмите Выполнить .

Вы должны получить ответ JSON, подобный следующему:

{
  "ключи": [
    {
      "name": "projects/my-project/serviceAccounts/[email protected]/keys/90c48f61c65cd56224a12ab18e6ee9ca9c3aee7c",
      "validAfterTime": "2020-03-04T17: 39: 47Z",
      "validBeforeTime": "9999-12-31T23: 59: 59Z",
      "keyAlgorithm": "KEY_ALG_RSA_2048",
      "keyOrigin": "GOOGLE_PROVIDED",
      "keyType": "USER_MANAGED"
    },
    {
      "name": "projects / my-project / serviceAccounts / my-service-account @ my-project.iam.gserviceaccount.com/keys/e5e3800831ac1adc8a5849da7d827b4724b1fce8 ",
      "validAfterTime": "2020-03-31T23: 50: 09Z",
      "validBeforeTime": "9999-12-31T23: 59: 59Z",
      "keyAlgorithm": "KEY_ALG_RSA_2048",
      "keyOrigin": "GOOGLE_PROVIDED",
      "keyType": "USER_MANAGED"
    },
    {
      "имя": "projects/my-project/serviceAccounts/[email protected]/keys/b97699f042b8eee6a846f4f96259fbcd13e2682e",
      "validAfterTime": "2020-05-17T18: 58: 13Z",
      "validBeforeTime": "9999-12-31T23: 59: 59Z",
      "keyAlgorithm": "KEY_ALG_RSA_2048",
      "keyOrigin": "GOOGLE_PROVIDED",
      "keyType": "USER_MANAGED",
      "disabled": true
    }
  ]
}
 

C ++

Чтобы узнать, как установить и использовать клиентскую библиотеку для IAM, см. Клиентские библиотеки IAM.Для получения дополнительной информации см. Справочная документация по IAM C ++ API.

C #

Чтобы узнать, как установить и использовать клиентскую библиотеку для IAM, см. Клиентские библиотеки IAM. Для получения дополнительной информации см. Справочная документация по IAM C # API.

Перейти

Чтобы узнать, как установить и использовать клиентскую библиотеку для IAM, см. Клиентские библиотеки IAM.Для получения дополнительной информации см. Справочная документация по IAM Go API.

Ява

Чтобы узнать, как установить и использовать клиентскую библиотеку для IAM, см. Клиентские библиотеки IAM. Для получения дополнительной информации см. Справочная документация по IAM Java API.

Питон

Чтобы узнать, как установить и использовать клиентскую библиотеку для IAM, см. Клиентские библиотеки IAM.Для получения дополнительной информации см. Справочная документация по IAM Python API.

Получение ключа сервисного аккаунта

Вы можете получить данные закрытого ключа для ключа учетной записи службы, только если ключ первый создан.

Вы можете получить основную информацию о ключе, такую ​​как его идентификатор, алгоритм и общедоступный ключевые данные с projects.serviceAccounts.keys.get () Метод REST API.Использование облачной консоли или инструмента командной строки gcloud нельзя поддерживается.

Выгрузка публичных ключей для сервисных аккаунтов

Вы можете загрузить часть открытого ключа управляемая пользователем пара ключей, чтобы связать ее со службой Счет. После загрузки открытого ключа вы можете использовать закрытый ключ из пара ключей в качестве ключа учетной записи службы.

Загружаемый ключ должен быть открытым ключом RSA, заключенным в Сертификат X.509 v3 в кодировке base64. Ты сможешь использовать такие инструменты, как OpenSSL, для генерации ключа и сертификат в этом формате.

Важно: Не включайте личную информацию в сертификат X.509. В частности, используйте общую тему и не добавляйте никаких дополнительных атрибутов. Сертификаты общедоступны; любая личная информация в сертификате виден всем, кто получит сертификат.

Например, следующая команда генерирует 2048-битную пару ключей RSA и обертывает открытый ключ в самозаверяющем сертификате, действительный в течение 365 дней:

  openssl req -x509 -nodes -newkey rsa: 2048 -дней 365 \
    -keyout / путь / к / частному_ ключу.pem \
    -out /path/to/public_key.pem \
    -subj "/ CN = не используется"
  

Затем вы можете загрузить файл public_key.pem в качестве открытого ключа для службы. Счет.

Чтобы отключить возможность загрузки ключей для вашего проекта, см. Ограничение загрузки ключа сервисного аккаунта.

Консоль

  1. В облачной консоли перейдите на страницу Учетные записи служб .

    Перейти к счетам обслуживания

  2. Выберите проект.

  3. Щелкните адрес электронной почты учетной записи службы, в которую вы хотите загрузить ключ за.

  4. Щелкните вкладку Ключи .

  5. Щелкните раскрывающееся меню Добавить ключ , затем выберите Загрузить существующий ключ .

  6. Щелкните Обзор , затем найдите и выберите файл открытого ключа. В качестве альтернативы, вы можете скопировать и вставить содержимое вашего файла открытого ключа в Вставить существующее поле ключа .

  7. Щелкните Загрузить .

gcloud

Выполнить загрузка ключей сервисных аккаунтов gcloud iam команда для загрузки открытого ключа для подписи ключей учетной записи службы.

Заменить следующие значения:

  • файл ключа : путь к файлу, содержащему данные ключа для загрузки – например, ./public_key.pem .
  • sa-name : имя учетной записи службы. для загрузки ключа.
  • идентификатор проекта : идентификатор вашего проекта в Google Cloud.
загрузка ключей сервисных аккаунтов gcloud iam  файл ключей  \
    --iam-account =  sa-name  @  идентификатор проекта  .iam.gserviceaccount.com
 

Вывод содержит уникальный идентификатор загруженного ключа:

Имя: projects /  идентификатор проекта  / serviceAccounts /  sa-name  @  идентификатор проекта  .iam.gserviceaccount.com / keys / c7b74879da78e4cdcbe7e1bf5e129375c0bfa8d0
 

Чтобы определить, была ли команда успешной, выполните команду Список ключей сервисных аккаунтов gcloud iam команда:

Список ключей сервисных аккаунтов gcloud iam \
    --iam-account =  sa-name  @  идентификатор проекта .iam.gserviceaccount.com
 

Вывод будет содержать тот же уникальный идентификатор, который был возвращен после ключ был создан:

KEY_ID CREATED_AT EXPIRES_AT ВЫКЛЮЧЕНО
c7b74879da78e4cdcbe7e1bf5e129375c0bfa8d0 2019-06-26T21: 01: 42Z 9999-12-31T23: 59: 59Z

ОТДЫХ

В проектов.serviceAccounts.keys.upload загружает открытый ключ из пары ключей, управляемой пользователем, и добавляет этот ключ в учетная запись службы.

Прежде чем использовать какие-либо данные запроса, сделайте следующие замены:

  • PROJECT_ID : Ваш проект Google Cloud Я БЫ. Идентификаторы проекта представляют собой буквенно-цифровые строки, например my-project .
  • SA_NAME : имя учетной записи службы, с которой будет связан ключ.
  • PUBLIC_KEY_DATA : данные открытого ключа для пары ключей. Должен быть RSA открытый ключ, заключенный в сертификат X.509 v3. Закодируйте данные открытого ключа в base64, включая первую строку, ----- BEGIN CERTIFICATE ----- , и последнюю строку, ----- КОНЕЦ СВИДЕТЕЛЬСТВА ----- .

Метод HTTP и URL:

 POST https://iam.googleapis.com/v1/projects/  PROJECT_ID  / serviceAccounts /  SA_NAME  @  PROJECT_ID .iam.gserviceaccount.com/keys:upload 

Тело запроса JSON:

{
  "publicKeyData": " PUBLIC_KEY_DATA "
}
 

Чтобы отправить запрос, разверните одну из следующих опций:

curl (Linux, macOS или Cloud Shell)
Примечание: Убедитесь, что вы установили GOOGLE_APPLICATION_CREDENTIALS переменную среды в путь к файлу закрытого ключа вашей учетной записи службы.

Сохраните тело запроса в файле с именем request.JSON , и выполните следующую команду:

 curl -X POST \ 
-H "Авторизация: предъявитель" $ (gcloud auth application-default print-access-token) \
-H "Content-Type: application / json; charset = utf-8" \
-d @ request.json \
"https://iam.googleapis.com/v1/projects/ PROJECT_ID / serviceAccounts / SA_NAME @ PROJECT_ID .iam.gserviceaccount.com / keys: upload"
PowerShell (Windows )
Примечание: Убедитесь, что вы установили GOOGLE_APPLICATION_CREDENTIALS переменную среды в путь к файлу закрытого ключа вашей учетной записи службы.

Сохраните тело запроса в файле с именем request.json , и выполните следующую команду:

 $ cred = gcloud auth application-default print-access-token 
$ headers = @ {"Authorization" = "Bearer $ cred"}

Invoke-WebRequest `
-Method POST`
-Headers $ headers `
-ContentType: "application / json; charset = utf-8" `
-InFile запрос.json `
-Uri" https://iam.googleapis.com/v1/projects/ PROJECT_ID / serviceAccounts / SA_NAME @ PROJECT_ID .iam.gserviceaccount.com / keys: upload "| Select-Object -Expand Content

API Explorer (браузер)

Скопируйте тело запроса и откройте справочная страница метода. Панель API Explorer открывается в правой части страницы. Вы можете взаимодействовать с этим инструментом для отправки запросов. Вставьте текст запроса в этот инструмент, заполните все остальные обязательные поля и нажмите Выполнить .

Вы должны получить ответ JSON, подобный следующему:

{
  "имя": "projects/my-project/serviceAccounts/[email protected]/keys/c7b74879da78e4cdcbe7e1bf5e129375c0bfa8d0",
  "validAfterTime": "2020-05-17T19: 31: 19Z",
  "validBeforeTime": "2021-05-17T19: 31: 19Z",
  "keyAlgorithm": "KEY_ALG_RSA_2048",
  "keyOrigin": "USER_PROVIDED",
  "keyType": "USER_MANAGED"
}
 

Отключение ключей сервисного аккаунта

Отключение ключа учетной записи службы не позволяет использовать этот ключ для аутентификации. с API Google.Вы можете включить отключенный ключ в любое время.

Важно: Отключение ключа учетной записи службы не отменяет недолговечный учетные данные, выданные на основе ключа. Чтобы отозвать скомпрометированный недолговечные учетные данные, вы должны отключить или удалить учетную запись службы, в которой используются учетные данные. представляет собой. Если вы это сделаете, любая рабочая нагрузка, использующая учетную запись службы, будет сразу потеряете доступ к своим ресурсам.

Перед тем, как удалить ключ сервисной учетной записи, мы рекомендуем вам отключите ключ, затем подождите, пока вы не убедитесь, что ключ больше не нужен.Затем вы можете удалить ключ.

Вы можете просмотреть отключенные ключи в Cloud Console, но вы не можете использовать Облачная консоль для отключения ключа. Используйте инструмент gcloud или Вместо этого REST API.

gcloud

Execute the gcloud iam service-accounts keys disable команда для отключения ключа учетной записи службы.

Заменить следующие значения:

  • идентификатор ключа : ID ключа, который нужно отключить.
  • sa-name : имя учетной записи службы, для которой используется ключ принадлежит.
  • идентификатор проекта : идентификатор вашего проекта в Google Cloud.
gcloud iam service-accounts keys disable  key-id  \
    --iam-account =  sa-name  @  идентификатор проекта  .iam.gserviceaccount.com
 

Выход:

Отключен ключ [ key-id ] для служебного аккаунта
[ sa-name  @  идентификатор проекта .iam.gserviceaccount.com]
 

ОТДЫХ

В projects.serviceAccounts.keys.disable отключает ключ учетной записи службы.

Прежде чем использовать какие-либо данные запроса, сделайте следующие замены:

  • PROJECT_ID : Ваш проект Google Cloud Я БЫ. Идентификаторы проекта представляют собой буквенно-цифровые строки, например my-project .
  • SA_NAME : имя учетной записи службы, ключ которой вы хотите отключить.
  • KEY_ID : идентификатор ключа, который вы хотите отключить.

Метод HTTP и URL:

 POST https://iam.googleapis.com/v1/projects/  PROJECT_ID  / serviceAccounts /  SA_NAME  @  PROJECT_ID  .iam.gserviceaccount.com / keys /  KEY_ID : отключить 

Чтобы отправить запрос, разверните одну из следующих опций:

curl (Linux, macOS или Cloud Shell)
Примечание: Убедитесь, что вы установили GOOGLE_APPLICATION_CREDENTIALS переменную среды в путь к файлу закрытого ключа вашей учетной записи службы.

Выполните следующую команду:

 curl -X POST \ 
-H "Авторизация: предъявитель" $ (gcloud auth application-default print-access-token) \
-H "Content-Type: application / json; charset = utf-8" \
-d "" \
"https://iam.googleapis.com/v1/projects/ PROJECT_ID / serviceAccounts / SA_NAME @ PROJECT_ID .iam.gserviceaccount.com / keys / KEY_ID : отключить"
PowerShell (Windows)
Примечание: Убедитесь, что вы установили GOOGLE_APPLICATION_CREDENTIALS переменную среды в путь к файлу закрытого ключа вашей учетной записи службы.

Выполните следующую команду:

 $ cred = gcloud auth application-default print-access-token 
$ headers = @ {"Authorization" = "Bearer $ cred"}

Invoke-WebRequest `
-Method POST`
-Headers $ headers `
-Uri" https://iam.googleapis.com/v1/projects/ PROJECT_ID / serviceAccounts / SA_NAME @ PROJECT_ID .iam.gserviceaccount.com / keys / KEY_ID : disable "| Select-Object -Expand Content

API Explorer (браузер)

Открыть справочная страница метода. Панель API Explorer открывается в правой части страницы. Вы можете взаимодействовать с этим инструментом для отправки запросов. Заполните все обязательные поля и нажмите Выполнить .

Вы должны получить ответ JSON, подобный следующему:

{
}
 

Включение ключей сервисного аккаунта

После отключения ключа учетной записи службы вы можете включить ключ в любое время, затем используйте ключ для аутентификации с помощью API Google.

Вы не можете использовать Cloud Console для включения ключей учетной записи службы. Использовать вместо этого используйте инструмент gcloud или REST API.

gcloud

Выполнить gcloud iam service-accounts keys enable команда для включения ключа учетной записи службы.

Заменить следующие значения:

  • идентификатор ключа : идентификатор ключа для включения.
  • sa-name : имя учетной записи службы, для которой используется ключ принадлежит.
  • идентификатор проекта : идентификатор вашего проекта в Google Cloud.
gcloud iam service-accounts keys enable  key-id  \
    --iam-account =  sa-name  @  идентификатор проекта  .iam.gserviceaccount.com
 

Выход:

Включенный ключ [ key-id ] для служебного аккаунта
[ sa-name  @  id-проекта  .iam.gserviceaccount.com]
 

ОТДЫХ

В проектов.serviceAccounts.keys.enable метод включает ключ учетной записи службы.

Прежде чем использовать какие-либо данные запроса, сделайте следующие замены:

  • PROJECT_ID : Ваш проект Google Cloud Я БЫ. Идентификаторы проекта представляют собой буквенно-цифровые строки, например my-project .
  • SA_NAME : имя учетной записи службы, ключ которой вы хотите активировать.
  • KEY_ID : идентификатор ключа, который вы хотите включить.

Метод HTTP и URL:

 POST https://iam.googleapis.com/v1/projects/  PROJECT_ID  / serviceAccounts /  SA_NAME  @  PROJECT_ID  .iam.gserviceaccount.com / keys /  KEY_ID : включить 

Чтобы отправить запрос, разверните одну из следующих опций:

curl (Linux, macOS или Cloud Shell)
Примечание: Убедитесь, что вы установили GOOGLE_APPLICATION_CREDENTIALS переменную среды в путь к файлу закрытого ключа вашей учетной записи службы.

Выполните следующую команду:

 curl -X POST \ 
-H "Авторизация: предъявитель" $ (gcloud auth application-default print-access-token) \
-H "Content-Type: application / json; charset = utf-8" \
-d "" \
"https://iam.googleapis.com/v1/projects/ PROJECT_ID / serviceAccounts / SA_NAME @ PROJECT_ID .iam.gserviceaccount.com / keys / KEY_ID : включить"
PowerShell (Windows)
Примечание: Убедитесь, что вы установили GOOGLE_APPLICATION_CREDENTIALS переменную среды в путь к файлу закрытого ключа вашей учетной записи службы.

Выполните следующую команду:

 $ cred = gcloud auth application-default print-access-token 
$ headers = @ {"Authorization" = "Bearer $ cred"}

Invoke-WebRequest `
-Method POST`
-Headers $ headers `
-Uri" https://iam.googleapis.com/v1/projects/ PROJECT_ID / serviceAccounts / SA_NAME @ PROJECT_ID .iam.gserviceaccount.com / keys / KEY_ID : enable "| Select-Object -Expand Content

API Explorer (браузер)

Открыть справочная страница метода. Панель API Explorer открывается в правой части страницы. Вы можете взаимодействовать с этим инструментом для отправки запросов. Заполните все обязательные поля и нажмите Выполнить .

Вы должны получить ответ JSON, подобный следующему:

{
}
 

Удаление ключей сервисного счета

Удаление ключа учетной записи службы навсегда препятствует использованию ключа для пройти аутентификацию с помощью API Google.

Невозможно восстановить удаленный ключ. Перед удалением ключа мы рекомендуем вы отключаете ключ, а затем ждете, пока не убедитесь, что ключ больше не нужен. Затем вы можете удалить ключ.

Рекомендуется регулярно менять ключи учетной записи службы. Вы можете повернуть key, выполнив следующие действия:

  1. Создайте новый ключ.
  2. Обновите свои приложения, чтобы использовать новый ключ.
  3. Отключить старый ключ.
  4. Подождите достаточно долго, чтобы убедиться, что старый ключ больше не используется.
  5. Удалите старый ключ.
Важно: Удаление ключа учетной записи службы не отменяет недолговечный учетные данные, выданные на основе ключа. Чтобы отозвать скомпрометированный недолговечные учетные данные, вы должны отключить или удалить учетную запись службы, в которой используются учетные данные. представляет собой. Если вы это сделаете, любая рабочая нагрузка, использующая учетную запись службы, будет сразу потеряете доступ к своим ресурсам.

Консоль

  1. В облачной консоли перейдите на страницу Учетные записи служб .

    Перейти к счетам обслуживания

  2. Выберите проект.

  3. Щелкните адрес электронной почты учетной записи службы, ключ которой вы хотите удалить.

  4. Щелкните вкладку Ключи .

  5. В списке ключей щелкните Удалить удалить для каждого ключа вы хотите удалить.

gcloud

Выполнить gcloud iam service-accounts keys удалить команда для удаления ключей сервисного аккаунта.

Заменить следующие значения:

  • идентификатор ключа : идентификатор ключа для удаления.
  • sa-name : имя учетной записи службы, для которой используется ключ принадлежит.
  • идентификатор проекта : идентификатор вашего проекта в Google Cloud.
gcloud iam service-accounts ключи удалить  идентификатор ключа  \
    --iam-account =  sa-name  @  идентификатор проекта  .iam.gserviceaccount.com
 

Выход:

Удален ключ [ key-id ] для служебного аккаунта.
[ sa-name  @  идентификатор проекта .iam.gserviceaccount.com]
 

ОТДЫХ

В projects.serviceAccounts.keys.delete удаляет ключ учетной записи службы.

Прежде чем использовать какие-либо данные запроса, сделайте следующие замены:

  • PROJECT_ID : Ваш проект Google Cloud Я БЫ. Идентификаторы проекта представляют собой буквенно-цифровые строки, например my-project .
  • SA_NAME : имя учетной записи службы, ключ которой вы хотите удалить.
  • KEY_ID : идентификатор ключа, который вы хотите удалить.

Метод HTTP и URL:

 УДАЛИТЬ https://iam.googleapis.com/v1/projects/  PROJECT_ID  / serviceAccounts /  SA_NAME  @  PROJECT_ID  .iam.gserviceaccount.com / keys /  KEY_ID  

Чтобы отправить запрос, разверните одну из следующих опций:

curl (Linux, macOS или Cloud Shell)
Примечание: Убедитесь, что вы установили GOOGLE_APPLICATION_CREDENTIALS переменную среды в путь к файлу закрытого ключа вашей учетной записи службы.

Выполните следующую команду:

 curl -X DELETE \ 
-H "Авторизация: предъявитель" $ (gcloud auth application-default print-access-token) \
"https://iam.googleapis.com/v1/projects/ PROJECT_ID / serviceAccounts / SA_NAME @ PROJECT_ID .iam.gserviceaccount.com / keys / KEY_ID "
PowerShell (Windows)
Примечание: Убедитесь, что вы установили GOOGLE_APPLICATION_CREDENTIALS переменную среды в путь к файлу закрытого ключа вашей учетной записи службы.

Выполните следующую команду:

 $ cred = gcloud auth application-default print-access-token 
$ headers = @ {"Authorization" = "Bearer $ cred"}

Invoke-WebRequest `
-Method DELETE`
-Headers $ headers `
-Uri" https://iam.googleapis.com/v1/projects/ PROJECT_ID / serviceAccounts / SA_NAME @ PROJECT_ID .iam.gserviceaccount.com/keys/ KEY_ID "| Select-Object -Expand Content

API Explorer (браузер)

Открыть справочная страница метода. Панель API Explorer открывается в правой части страницы. Вы можете взаимодействовать с этим инструментом для отправки запросов. Заполните все обязательные поля и нажмите Выполнить .

Вы должны получить ответ JSON, подобный следующему:

{
}
 

C ++

Чтобы узнать, как установить и использовать клиентскую библиотеку для IAM, см. Клиентские библиотеки IAM.Для получения дополнительной информации см. Справочная документация по IAM C ++ API.

C #

Чтобы узнать, как установить и использовать клиентскую библиотеку для IAM, см. Клиентские библиотеки IAM. Для получения дополнительной информации см. Справочная документация по IAM C # API.

Перейти

Чтобы узнать, как установить и использовать клиентскую библиотеку для IAM, см. Клиентские библиотеки IAM.Для получения дополнительной информации см. Справочная документация по IAM Go API.

Ява

Чтобы узнать, как установить и использовать клиентскую библиотеку для IAM, см. Клиентские библиотеки IAM. Для получения дополнительной информации см. Справочная документация по IAM Java API.

Питон

Чтобы узнать, как установить и использовать клиентскую библиотеку для IAM, см. Клиентские библиотеки IAM.Для получения дополнительной информации см. Справочная документация по IAM Python API.

Попробуйте сами

Если вы новичок в Google Cloud, создайте учетную запись, чтобы оценить, насколько продукты работают в реальных сценариях. Новые клиенты также получают 300 долларов США в бесплатные кредиты для запуска, тестирования и развертывания рабочих нагрузок.

Начни бесплатно .

Автор: alexxlab

Добавить комментарий

Ваш адрес email не будет опубликован.