キー

次のリストは、このドキュメントで参照されているキーの定義を示しています。

HBK

HSM バッキングキー: HSM バッキングキーは 256 ビットのルートキーで、そこから特定の用途のキーが派生します。

DK

ドメインキー: ドメインキーは、256 ビット AES-GCM キーです。これは、ドメインのすべてのメンバー間で共有され、HSM バッキングキーマテリアルと HSM サービスホストセッションキーを保護するために使用されます。

DKEK

ドメインキー暗号化キー: ドメインキー暗号化キーは、ホスト上で生成された AES-256-GCM キーで、HSM ホスト間でドメイン状態を同期するドメインキーの現在のセットを暗号化するために使用されます。

(dHAK,QHAK)

HSM 共有キーペア: 開始された HSM はすべて、secp384r1 (NIST-P384) 曲線上にローカルに生成された楕円曲線 Diffie-Hellman 共有キーペアを持ちます。

(dE, QE)

一時的共有キーペア: HSM とサービスホストは、一時的共有キーを生成します。これらは、secp384r1 (NIST-P384) 曲線上の楕円曲線 Diffie-Hellman キーです。これらは、次の 2 つのユースケースにおいて生成されます。ドメイントークンでドメインキーの暗号化キーを転送するホストからホストへの暗号化キーを確立する場合と、機密性の高い通信を保護するための HSM サービスホストセッションキーを確立する場合です。

(dHSK,QHSK)

HSM 署名キーペア: 開始された HSM はすべて、secp384r1 (NIST-P384) 曲線上にローカルに生成された楕円曲線デジタル署名キーペアを持ちます。

(dOS,QOS)

オペレータ署名キーペア: サービスホストオペレータと AWS KMS オペレータの両方に、他のドメイン参加者に対して自身を認証するために使用される ID 署名キーがあります。

K

データ暗号化キー: SHA256 で HMAC を使用したカウンタモードで NIST SP800-108 KDF を使用して HBK から派生した 256 ビットの AES-GCM キー。

SK

セッションキー: セッションキーは、認証済み 楕円曲線 Diffie-Hellman キーがサービスホストオペレーターと HSM の間で交換された結果として作成されます。交換の目的は、サービスホストとドメインのメンバー間の通信を保護することです。