AWS KMS Detalles técnicos del llavero jerárquico

El conjunto de claves jerárquico AWS KMS utiliza una clave de datos única para cifrar cada campo y cifra cada clave de datos con una clave de encapsulamiento única derivada de una clave de rama activa. Utiliza una derivación de clave en modo contador con una función pseudoaleatoria con HMAC SHA -256 para obtener la clave de empaquetado de 32 bytes con las siguientes entradas.

Una sal de asignación al azar de 16 bytes
La clave de rama activa
El valor codificado en UTF -8 para el identificador del proveedor de claves "» aws-kms-hierarchy

El conjunto de claves jerárquico utiliza la clave de empaquetado derivada para cifrar una copia de la clave de datos en texto plano mediante el número AES GCM -256 con una etiqueta de autenticación de 16 bytes y las siguientes entradas.

La clave de empaquetado derivada se utiliza como clave de cifrado AES GCM
La clave de datos se utiliza como mensaje AES - GCM
Se utiliza un vector de inicialización aleatoria (IV) de 12 bytes como AES - GCM IV

Datos autenticados adicionales (AAD) que contienen los siguientes valores serializados.

Valor	Longitud en bytes	Interpretado como
"aws-kms-hierarchy"	17	UTF-8 codificados
El identificador de la clave de la rama	Variable	UTF-8 codificado
La versión de clave de la rama	16	UTF-8 codificado
Contexto de cifrado	Variable	UTF-8 pares de valores clave codificados

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Referencia de vectores de inicialización

Historial de documentos