Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Schlüssel
In der folgenden Liste werden die Schlüssel definiert, auf die in diesem Dokument verwiesen wird.
- HBK
HSM-Unterstützungsschlüssel: HSM-Unterstützungsschlüssel sind 256-Bit-Stamm-Schlüssel, von denen spezifische Verwendungsschlüssel abgeleitet werden.
- DK
Domänenschlüssel: Ein Domänenschlüssel ist ein 256-Bit-AES-GCM-Schlüssel. Sie wird von allen Mitgliedern einer Domäne gemeinsam genutzt und zum Schutz des HSM-Unterstützungsschlüssel-Materials und der HSM-Service-Host-Sitzungsschlüssel verwendet.
- DKEK
Verschlüsselungsschlüssel für Domänenschlüssel: Ein Domänenschlüsselverschlüsselungsschlüssel ist ein AES-256-GCM-Schlüssel, der auf einem Host generiert und zum Verschlüsseln des aktuellen Domänenschlüssels verwendet wird, der den Domänenstatus über die HSM-Hosts hinweg synchronisiert.
- (dHAK,QHAK)
HSM-Vereinbarungsschlüsselpaar: Jedes initiierte HSM hat ein lokal generiertes elliptische Kurven-Diffie-Hellman-Vereinbarungsschlüsselpaar auf der Kurve secp384r1 (NIST-P384).
- (dE, QE)
Schlüsselpaar für kurzlebige Vereinbarungen: HSM und Diensthosts generieren kurzlebige Vereinbarungsschlüssel. Dies sind elliptische Kurven-Diffie-Hellman–Schlüssel auf der Kurve secp384r1 (NIST-P384). Diese werden in zwei Anwendungsfällen generiert: zur Einrichtung eines host-to-host Verschlüsselungsschlüssels für den Transport von Domänenschlüssel-Verschlüsselungsschlüsseln in Domänentokens und zur Einrichtung von HSM-Service-Host-Sitzungsschlüsseln zum Schutz vertraulicher Kommunikation.
- (dHSK, QHSK)
HSM-Signatur-Schlüsselpaar: Jedes initiierte HSM hat ein lokal generiertes elliptische Kurven-Digital-Signatur-Schlüsselpaar auf der Kurve secp384r1 (NIST-P384).
- (dOS, QOS)
Operatorsignatur-Schlüsselpaar: Sowohl die Service-Host-Betreiber als auch die AWS KMS Betreiber verfügen über einen Identitätssignaturschlüssel, mit dem sie sich gegenüber anderen Domänenteilnehmern authentifizieren.
- K
Datenverschlüsselungsschlüssel: Ein 256-Bit-AES-GCM-Schlüssel, der von einem HBK abgeleitet wurde, der den NIST SP8 00-108 KDF im Gegenmodus unter Verwendung von HMAC mit verwendet. SHA256
- SK
Sitzungsschlüssel: Ein Sitzungsschlüssel wird als Ergebnis eines authentifizierten elliptischen Kurven-Diffie-Hellman-Schlüssels erstellt, der zwischen einem Service-Host-Operator und einem HSM ausgetauscht wird. Der Zweck des Austauschs besteht darin, die Kommunikation zwischen dem Diensthost und den Mitgliedern der Domäne zu sichern.
