AWS KMS Dettagli tecnici del portachiavi gerarchico - AWS Encryption SDK

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS KMS Dettagli tecnici del portachiavi gerarchico

Il portachiavi AWS KMS Hierarchical utilizza una chiave dati univoca per crittografare ogni campo e crittografa ogni chiave di dati con una chiave di avvolgimento unica derivata da una chiave branch attiva. Utilizza una derivazione della chiave in modalità contatore con una funzione pseudocasuale con HMAC SHA-256 per derivare la chiave di wrapping a 32 byte con i seguenti input.

  • Un sale casuale da 16 byte

  • La chiave branch attiva

  • Il valore codificato UTF-8 per l'identificatore del provider di chiavi "» aws-kms-hierarchy

Il portachiavi Hierarchical utilizza la chiave di wrapping derivata per crittografare una copia della chiave dati in chiaro utilizzando AES-GCM-256 con un tag di autenticazione a 16 byte e i seguenti input.

  • La chiave di wrapping derivata viene utilizzata come chiave di crittografia AES-GCM

  • La chiave dati viene utilizzata come messaggio AES-GCM

  • Un vettore di inizializzazione casuale (IV) a 12 byte viene utilizzato come AES-GCM IV

  • Dati autenticati aggiuntivi (AAD) contenenti i seguenti valori serializzati.

    Valore Lunghezza in byte Interpretato come
    "aws-kms-hierarchy" 17 codificato UTF-8
    L'identificatore della chiave di filiale Variabile codificato UTF-8
    La versione Branch Key 16 codificato UTF-8
    Contesto di crittografia Variabile coppie chiave-valore codificate in UTF-8