AWS KMS Dettagli tecnici del portachiavi gerarchico - AWS Encryption SDK

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS KMS Dettagli tecnici del portachiavi gerarchico

Il portachiavi AWS KMS gerarchico utilizza una chiave dati unica per crittografare ogni messaggio e crittografa ogni chiave dati con una chiave di avvolgimento unica derivata da una chiave branch attiva. Utilizza una derivazione della chiave in modalità contatore con una funzione pseudocasuale con HMAC SHA -256 per derivare la chiave di wrapping a 32 byte con i seguenti input.

  • Un sale casuale da 16 byte

  • La chiave branch attiva

  • Il valore codificato UTF -8 per l'identificatore del fornitore di chiavi "» aws-kms-hierarchy

Il portachiavi Hierarchical utilizza la chiave di wrapping derivata per crittografare una copia della chiave dati in chiaro utilizzando AES - GCM -256 con un tag di autenticazione a 16 byte e i seguenti input.

  • La chiave di wrapping derivata viene utilizzata come chiave di cifratura - AES GCM

  • La chiave data viene utilizzata come messaggio - AES GCM

  • Un vettore di inizializzazione casuale (IV) a 12 byte viene utilizzato come - IV AES GCM

  • Dati autenticati aggiuntivi (AAD) contenenti i seguenti valori serializzati.

    Valore Lunghezza in byte Interpretato come
    "aws-kms-hierarchy" 17 UTF-8 codificato
    L'identificatore della chiave di filiale Variabile UTF-8 codificato
    La versione Branch Key 16 UTF-8 codificato
    Contesto di crittografia Variabile UTF-8 coppie chiave-valore codificate