AWS KMS Dettagli tecnici del portachiavi gerarchico

Il portachiavi AWS KMS Hierarchical utilizza una chiave dati univoca per crittografare ogni messaggio e crittografa ogni chiave dati con una chiave di avvolgimento unica derivata da una chiave branch attiva. Utilizza una derivazione della chiave in modalità contatore con una funzione pseudocasuale con HMAC per derivare la chiave di wrapping a 32 byte con i seguenti input SHA-256 .

Un sale casuale da 16 byte
La chiave branch attiva
Il valore UTF-8 codificato per l'identificatore del fornitore di chiavi «aws-kms-hierarchy»

Il portachiavi Hierarchical utilizza la chiave di wrapping derivata per crittografare una copia della chiave di dati in testo semplice utilizzando un tag di autenticazione a 16 byte e i seguenti input. AES-GCM-256

La chiave di wrapping derivata viene utilizzata come chiave di cifratura AES-GCM
La chiave dati viene utilizzata come messaggio AES-GCM
Come IV viene utilizzato un vettore di inizializzazione casuale (IV) a 12 byte AES-GCM

Dati autenticati aggiuntivi (AAD) contenenti i seguenti valori serializzati.

Valore	Lunghezza in byte	Interpretato come
«aws-kms-hierarchy»	17	UTF-8 codificato
L'identificatore della chiave di filiale	Variabile	UTF-8 codificato
La versione branch key	16	UTF-8 codificato
Contesto di crittografia	Variabile	UTF-8 coppie chiave-valore codificate

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Riferimento al vettore di inizializzazione

Cronologia dei documenti