金鑰

下列清單定義了本文件中引用的金鑰。

HBK

HSM 備份金鑰：HSM 備份金鑰是 256 位元根金鑰，從中衍生特定使用金鑰。

DK

網域金鑰：網域金鑰是 256 位元 AES-GCM 金鑰。它會在網域的所有成員之間共用，並用來保護 HSM 備份金鑰材料和 HSM 服務主機工作階段金鑰。

DKEK

網域金鑰加密金鑰：網域金鑰加密金鑰是在主機上產生的 AES-256-GCM 金鑰，用於加密目前在 HSM 主機上同步網域狀態的一組網域金鑰。

(dHAK,QHAK)

HSM 協定金鑰對：每個起始的 HSM 在曲線 secp384r1 (NIST-P384) 上都有一個本機產生的橢圓曲線 Diffie-Hellman 協定金鑰對。

(dE, QE)

暫時協定金鑰對：HSM 和服務主機會產生暫時協定金鑰。這些是曲線 secp384r1 (NIST-P384) 上的橢圓曲線 Diffie-Hellman 金鑰。在兩個使用案例中產生：建立主機對主機加密金鑰，以便在網域字符中傳輸網域金鑰加密金鑰，以及建立 HSM 服務主機工作階段金鑰以保護敏感通訊。

(dHSK,QHSK)

HSM 簽章金鑰對：每個起始的 HSM 在曲線 secp384r1 (NIST-P384) 上都有一個本機產生的橢圓曲線數位簽署金鑰對。

(dOS,QOS)

運算子簽章金鑰對：服務主機運算子和 AWS KMS 運算子都有用於向其他網域參與者驗證身分的身分簽署金鑰。

K

資料加密金鑰：256 位元 AES-GCM 金鑰衍生自搭配 SHA256 使用 HMAC 之計數器模式 NIST SP800-108 KDF 的 HBK。

SK

工作階段金鑰：工作階段金鑰是由於服務主機電信業者和 HSM 之間交換的經驗證橢圓曲線 Diffie-Hellman 金鑰而建立的。交換的目的是保護服務主機與網域成員之間的通訊。