Claves

En la siguiente lista se definen las claves a las que se hace referencia en este documento.

HBK: Clave de backup de HSM: las claves de backup de HSM son claves raíz de 256 bits, de las cuales se derivan las claves de uso específico.
DK: Clave de dominio: una clave de dominio es una clave AES-GCM de 256 bits. Se comparte entre todos los miembros de un dominio y se utiliza para proteger el material de las claves de backup de HSM y las claves de sesión de anfitrión del servicio de HSM.
DKEK: Clave de cifrado de clave de dominio: una clave de cifrado de clave de dominio es una clave AES-256-GCM generada en un anfitrión que se utiliza para cifrar el conjunto actual de claves de dominio que sincronizan el estado de dominio en los anfitriones de HSM.
(dHAK,QHAK): Par de claves de acuerdo de HSM: cada HSM iniciado tiene un par de claves de acuerdo de curva elíptica de Diffie-Hellman generado de forma local en la curva secp384r1 (NIST-P384).
(dE, QE): Par de claves de acuerdo efímeras: el HSM y los anfitriones de servicio generan claves de acuerdo efímeras. Estas son las claves de la curva elíptica de Diffie-Hellman en la curva secp384r1 (NIST-P384). Se generan en dos casos de uso: para establecer una clave de host-to-host cifrado para transportar las claves de cifrado de claves de dominio en fichas de dominio y para establecer claves de sesión del host del servicio HSM para proteger las comunicaciones confidenciales.
(dHSK, QHSK): Par de claves de firma de HSM: cada HSM iniciado tiene un par de claves de firma digital de curva elíptica generado de forma local en la curva secp384r1 (NIST-P384).
(dOS, QOS): Par de claves de firma del operador: tanto los operadores del host del servicio como AWS KMS los operadores tienen una clave de firma de identidad que se utiliza para autenticarse ante otros participantes del dominio.
K: Clave de cifrado de datos: clave AES-GCM de 256 bits derivada de un HBK que utilizaba el NIST SP8 00-108 KDF en modo contador y utilizaba HMAC con. SHA256
SK: Clave de sesión: se crea una clave de sesión como resultado de una clave de curva elíptica de Diffie-Hellman autenticada que se intercambia entre un operador de anfitrión de servicio y un HSM. El propósito del intercambio es asegurar la comunicación entre el anfitrión de servicio y los miembros del dominio.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Abreviaturas

Colaboradores