키

다음은 이 문서에서 참조하는 키를 정의하는 목록입니다.

HBK

HSM 백업 키: HSM 백업 키는 특정 사용 키가 파생되는 256비트 루트 키입니다.

DK

도메인 키: 도메인 키는 256비트 AES-GCM 키입니다. 도메인의 모든 멤버 간에 공유되며 HSM 백업 키 자료 및 HSM 서비스 호스트 세션 키를 보호하는 데 사용됩니다.

DKEK

도메인 키 암호화 키: 도메인 키 암호화 키는 호스트에서 생성된 AES-256-GCM 키이며 HSM 호스트에서 도메인 상태를 동기화하는 현재 도메인 키 세트를 암호화하는 데 사용됩니다.

(dHAK,QHAK)

HSM 계약 키 페어: 시작된 모든 HSM에는 secp384r1(NIST-P384) 곡선에 로컬로 생성된 타원 곡선 Diffie-Hellman 계약 키 페어가 있습니다.

(dE, QE)

임시 계약 키 페어: HSM 및 서비스 호스트는 임시 계약 키를 생성합니다. 이 키는 secp384r1(NIST-P384) 곡선에 있는 타원 곡선 Diffie-Hellman 키입니다. 이 키는 도메인 토큰에서 도메인 키 암호화 키를 전송하기 위해 호스트 간 암호화 키를 설정하는 경우와 민감한 통신을 보호하기 위해 HSM 서비스 호스트 세션 키를 설정하는 경우의 두 가지 사용 사례에서 생성됩니다.

(dHSK,QHSK)

HSM 서명 키 페어: 시작된 모든 HSM에는 secp384r1(NIST-P384) 곡선에 로컬로 생성된 타원 곡선 디지털 서명 키 페어가 있습니다.

(dOS,QOS)

운영자 서명 키 페어: 서비스 호스트 운영자와 AWS KMS 운영자에는 다른 도메인 참가자에게 자신을 인증하는 데 사용되는 ID 서명 키가 있습니다.

K

데이터 암호화 키: SHA256 기반 HMAC를 사용하는 카운터 모드에서 NIST SP800-108 KDF를 사용하는 HBK에서 파생된 256비트 AES-GCM 키입니다.

SK

세션 키: 서비스 호스트 운영자와 HSM 간에 교환된 인증된 타원 곡선 Diffie-Hellman 키의 결과로 생성된 세션 키입니다. 교환의 목적은 서비스 호스트와 도메인 멤버 간의 통신을 보호하는 것입니다.