Clés

La liste suivante définit les clés référencées dans le présent document.

HBK: Clé de sauvegarde HSM : les clés de sauvegarde HSM sont des clés racine de 256 bits, à partir desquelles des clés d'utilisation spécifiques sont dérivées.
DK: Clé de domaine : une clé de domaine est une clé AES-GCM de 256 bits. Elle est partagée entre tous les membres d'un domaine et utilisée pour protéger les éléments des clés de sauvegarde HSM et les clés de session hôte de service HSM.
DKEK: Clé de chiffrement de clé de domaine : une clé de chiffrement de clé de domaine est une clé AES-256-GCM générée sur un hôte et utilisée pour chiffrer l'ensemble actuel des clés de domaine qui synchronisent l'état du domaine sur les hôtes HSM.
(dHAK,QHAK): Paire de clés d'accord HSM : chaque clé HSM initiée dispose d'une paire de clés d'accord Diffie-Hellman à courbe elliptique générée localement sur la courbe secp384r1 (NIST-P384).
(dE, QE): Paire de clés d'accord éphémère : les clés HSM et les hôtes de service génèrent des clés d'accord éphémères. Ce sont des clés Diffie-Hellman à courbe elliptique sur la courbe secp384r1 (NIST-P384). Elles sont générées dans deux cas d'utilisation : pour établir une clé de host-to-host chiffrement pour transporter les clés de chiffrement de clé de domaine sous forme de jetons de domaine et pour établir des clés de session hôte du service HSM afin de protéger les communications sensibles.
(dHSK,QHSK): Paire de clés de signature HSM : chaque clé HSM initiée dispose d'une paire de clés de signature numérique à courbe elliptique générée localement sur la courbe secp384r1 (NIST-P384).
(dOS, QOS): Paire de clés de signature de l'opérateur : les opérateurs de l'hôte de service et AWS KMS les opérateurs disposent d'une clé de signature d'identité utilisée pour s'authentifier auprès d'autres participants du domaine.
K: Clé de chiffrement des données : clé AES-GCM 256 bits dérivée d'une clé HBK utilisant la courbe NIST SP800-108 KDF en mode compteur utilisant HMAC avec SHA256.
SK: Clé de session : une clé de session est créée à la suite d'une clé Diffie-Hellman à courbe elliptique authentifiée échangée entre un opérateur hôte de service et une clé HSM. Le but de l'échange est de sécuriser les communicatiosn entre l'hôte de service et les membres du domaine.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Abréviations

Collaborateurs