AWS KMS Detalhes técnicos do chaveiro hierárquico

O token de autenticação hierárquico do AWS KMS usa uma chave de dados exclusiva para criptografar cada campo e criptografa cada chave de dados com uma chave de empacotamento exclusiva derivada de uma chave de ramificação ativa. Ele usa uma derivação de chave no modo contador com uma função pseudoaleatória com HMAC SHA -256 para derivar a chave de encapsulamento de 32 bytes com as seguintes entradas.

Um sal aleatório de 16 bytes
A chave de ramificação ativa
O valor codificado em UTF -8 para o identificador do provedor de chaves "” aws-kms-hierarchy

O chaveiro hierárquico usa a chave de empacotamento derivada para criptografar uma cópia da chave de dados em texto simples usando AES - GCM -256 com uma tag de autenticação de 16 bytes e as seguintes entradas.

A chave de empacotamento derivada é usada como a chave AES GCM cifrada -
A chave de dados é usada como a GCM mensagem AES -
Um vetor de inicialização aleatória de 12 bytes (IV) é usado como - IV AES GCM

Dados autenticados adicionais (AAD) contendo os seguintes valores serializados.

Valor	Tamanho em bytes	Interpretada como
"aws-kms-hierarchy"	17	UTF-8 codificado
O identificador de chave de ramificação	Variável	UTF-8 codificado
A versão da chave de ramificação	16	UTF-8 codificado
Contexto de criptografia	Variável	UTF-8 pares de valores-chave codificados

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Referência do vetor de inicialização

Histórico do documento