翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # キー 次のリストは、このドキュメントで参照されているキーの定義を示しています。 **HBK** HSM バッキングキー: HSM バッキングキーは 256 ビットのルートキーで、そこから特定の用途のキーが派生します。 **DK** ドメインキー: ドメインキーは、256 ビット AES-GCM キーです。これは、ドメインのすべてのメンバー間で共有され、HSM バッキングキーマテリアルと HSM サービスホストセッションキーを保護するために使用されます。 **DKEK** ドメインキー暗号化キー: ドメインキー暗号化キーは、ホスト上で生成された AES-256-GCM キーで、HSM ホスト間でドメイン状態を同期するドメインキーの現在のセットを暗号化するために使用されます。 ** (dHAK,QHAK) ** HSM 共有キーペア: 開始された HSM はすべて、secp384r1 (NIST-P384) 曲線上にローカルに生成された楕円曲線 Diffie-Hellman 共有キーペアを持ちます。 ** (dE, QE)** 一時的共有キーペア: HSM とサービスホストは、一時的共有キーを生成します。これらは、secp384r1 (NIST-P384) 曲線上の楕円曲線 Diffie-Hellman キーです。これらは、次の 2 つのユースケースにおいて生成されます。ドメイントークンでドメインキーの暗号化キーを転送するホストからホストへの暗号化キーを確立する場合と、機密性の高い通信を保護するための HSM サービスホストセッションキーを確立する場合です。 **(dHSK,QHSK) ** HSM 署名キーペア: 開始された HSM はすべて、secp384r1 (NIST-P384) 曲線上にローカルに生成された楕円曲線デジタル署名キーペアを持ちます。 ** (dOS,QOS) ** 演算子署名キーペア: サービスホスト演算子と AWS KMS 演算子の両方に、他のドメイン参加者に対して自身を認証するために使用される ID 署名キーがあります。 **K** データ暗号化キー: SHA256 で HMAC を使用したカウンタモードで NIST SP800-108 KDF を使用して HBK から派生した 256 ビットの AES-GCM キー。 **SK** セッションキー: セッションキーは、認証済み 楕円曲線 Diffie-Hellman キーがサービスホストオペレーターと HSM の間で交換された結果として作成されます。交換の目的は、サービスホストとドメインのメンバー間の通信を保護することです。