Kunci

Daftar berikut mendefinisikan kunci yang direferensikan dalam dokumen ini.

HBK

Kunci dukungan HSM: Kunci dukungan HSM adalah kunci root 256-bit, dari mana kunci penggunaan khusus diturunkan.

DK

Kunci domain: Kunci domain adalah kunci AES-GCM 256-bit. Hal ini dibagi di antara semua anggota domain dan digunakan untuk melindungi bahan kunci cadangan HSM dan kunci sesi host layanan HSM.

DKEK

Kunci enkripsi kunci domain: Kunci enkripsi kunci domain adalah kunci AES-256-GCM yang dihasilkan pada host dan digunakan untuk mengenkripsi rangkaian kunci domain saat ini yang menyinkronkan status domain di seluruh host HSM.

(dHAK, QHAK)

Pasangan kunci perjanjian HSM: Setiap HSM yang diinisiasi memiliki pasangan kunci perjanjian Kurva Eliptik Diffie-Hellman yang dihasilkan secara lokal pada secp384r1 kurva (NIST-P384).

(dE, QE)

Pasangan kunci perjanjian efemeral: HSM dan host layanan menghasilkan kunci perjanjian efemeral. Ini adalah kunci Kurva Eliptik Diffie-Hellman pada secp384r1 kurva (NIST-P384). Ini dihasilkan dalam dua kasus penggunaan: untuk membuat kunci host-to-host enkripsi untuk mengangkut kunci enkripsi kunci domain dalam token domain dan untuk membuat kunci sesi host layanan HSM untuk melindungi komunikasi sensitif.

(dHSK, QHSK)

Pasangan kunci tanda tangan HSM: Setiap HSM yang diinisiasi memiliki pasangan kunci Tanda Tangan Digital Kurva Eliptik yang dihasilkan secara lokal pada secp384r1 kurva (NIST-P384).

(dOS, QOS)

Operator signature key pair: Baik operator host layanan dan AWS KMS operator memiliki kunci penandatanganan identitas yang digunakan untuk mengautentikasi dirinya ke peserta domain lain.

K

Kunci enkripsi data: Kunci AES-GCM 256-bit yang berasal dari HBK menggunakan NIST SP8 00-108 KDF dalam mode penghitung menggunakan HMAC dengan. SHA256

SK

Kunci sesi: Kunci sesi dibuat sebagai hasil dari kunci Kurva Eliptik Diffie-Hellman yang dipertukarkan antara operator host layanan dan HSM. Tujuan pertukaran adalah untuk mengamankan komunikasi antara host layanan dan anggota domain.