As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Chaves
A lista a seguir define as chaves mencionadas neste documento.
- HBK
Chave de reserva HSM: as chaves de reserva HSM são chaves raiz de 256 bits, das quais as chaves de uso específicas são derivadas.
- DK
Chave de domínio: uma chave de domínio é uma chave AES-GCM de 256 bits. Ela é compartilhada entre todos os membros de um domínio e é usada para proteger o material de chaves de reserva HSM e as chaves de sessão do host do serviço HSM.
- DKEK
Chave de criptografia de chave de domínio: uma chave de criptografia de chave de domínio é uma chave AES-256-GCM gerada em um host e usada para criptografar o conjunto atual de chaves de domínio sincronizando o estado do domínio entre os hosts HSM.
- (dHAK,QHAK)
Par de chaves de acordo HSM: cada HSM iniciado tem um par de chaves de acordo de curva elíptica Diffie-Hellman gerado localmente na curva secp384r1 (NIST-P384).
- (dE, QE)
Par de chaves de acordo efêmero: HSM e hosts de serviço geram chaves de acordo efêmeras. Estas são as chaves de curva elíptica Diffie-Hellman na curva secp384r1 (NIST-P384). Eles são gerados em dois casos de uso: estabelecer uma chave de host-to-host criptografia para transportar chaves de criptografia de chave de domínio em tokens de domínio e estabelecer chaves de sessão de host de serviços HSM para proteger comunicações confidenciais.
- (dHSK,QHSK)
Par de chaves de assinatura HSM: cada HSM iniciado tem um par de chaves de assinatura digital de curva elíptica gerado localmente na curva secp384r1 (NIST-P384).
- (dOS,QOS)
Par de chaves de assinatura do operador: tanto os operadores do host de serviços quanto AWS KMS os operadores têm uma chave de assinatura de identidade usada para se autenticar para outros participantes do domínio.
- K
Chave de criptografia de dados: uma chave AES-GCM de 256 bits derivada de um HBK usando o NIST SP8 00-108 KDF no modo contador usando HMAC com. SHA256
- SK
Chave de sessão: uma chave de sessão é criada como resultado de uma chave de curva elíptica de Diffie-Hellman autenticada trocada entre um operador do host de serviço e um HSM. O objetivo da troca é proteger a comunicação entre o host de serviço e os membros do domínio.
