Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Referenz
****
| |
| --- |
| Unsere clientseitige Verschlüsselungsbibliothek wurde in AWS Database Encryption SDK umbenannt. Dieses Entwicklerhandbuch enthält weiterhin Informationen zum [DynamoDB Encryption Client](legacy-dynamodb-encryption-client.md). |
Die folgenden Themen enthalten technische Details zum AWS Database Encryption SDK.
## Format der Materialbeschreibung
Die [Materialbeschreibung](concepts.md#material-description) dient als Header für einen verschlüsselten Datensatz. Wenn Sie Felder mit dem AWS Database Encryption SDK verschlüsseln und signieren, zeichnet der Verschlüsseler die Materialbeschreibung auf, während er die kryptografischen Materialien zusammenstellt, und speichert die Materialbeschreibung in einem neuen Feld (`aws_dbe_head`), das der Verschlüsseler Ihrem Datensatz hinzufügt. Die Materialbeschreibung ist eine übertragbare, formatierte Datenstruktur, die den verschlüsselten Datenschlüssel und Informationen darüber enthält, wie der Datensatz verschlüsselt und signiert wurde. In der folgenden Tabelle werden die Werte beschrieben, aus denen sich die Materialbeschreibung zusammensetzt. Die Byte werden in der angegebenen Reihenfolge angehängt.
| Wert | Länge in Byte |
| --- | --- |
| [Version](#format-version) | 1 |
| [Signatures Enabled](#format-signatures) | 1 |
| [Record ID](#format-recordID) | 32 |
| [Encrypt Legend](#format-encrypt-legend) | Variable |
| [Encryption Context Length](#format-encrypt-context-length) | 2 |
| [Encryption Context](#format-encrypt-context) | Variable |
| [Encrypted Data Key Count](#format-data-key-count) | 1 |
| [Encrypted Data Keys](#format-data-keys) | Variable |
| [Record Commitment](#format-commitment) | 1 |
**Version**
Die Version des Formats dieses `aws_dbe_head` Felds.
**Signaturen aktiviert**
Kodiert, ob digitale ECDSA-Signaturen für diesen Datensatz aktiviert sind.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/database-encryption-sdk/latest/devguide/reference.html)
**Datensatz-ID**
Ein zufällig generierter 256-Bit-Wert, der den Datensatz identifiziert. Die Datensatz-ID:
+ Identifiziert den verschlüsselten Datensatz eindeutig.
+ Bindet die Materialbeschreibung an den verschlüsselten Datensatz.
**Legende verschlüsseln**
Eine serialisierte Beschreibung, welche authentifizierten Felder verschlüsselt wurden. Die Verschlüsselungslegende wird verwendet, um zu bestimmen, welche Felder die Entschlüsselungsmethode zu entschlüsseln versuchen soll.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/database-encryption-sdk/latest/devguide/reference.html)
Die Encrypt-Legende ist wie folgt serialisiert:
1. Lexikographisch nach der Bytefolge, die ihren kanonischen Pfad darstellt.
1. Hängen Sie für jedes Feld der Reihe nach einen der oben angegebenen Bytewerte an, um anzugeben, ob das Feld verschlüsselt werden soll.
**Länge des Verschlüsselungskontextes**
Die Länge des Verschlüsselungskontextes. Dies ist ein 2-Byte-Wert, interpretiert als vorzeichenlose 16-Bit-Ganzzahl. Die maximale Länge beträgt 65.535 Byte.
**Verschlüsselungskontext**
Ein Satz von Name-Wert-Paaren, die beliebige, nicht geheime zusätzliche authentifizierte Daten enthalten.
Wenn [digitale ECDSA-Signaturen](concepts.md#digital-sigs) aktiviert sind, enthält der Verschlüsselungskontext das Schlüssel-Wert-Paar. `{"aws-crypto-footer-ecdsa-key": Qtxt}` `Qtxt`stellt den elliptischen Kurvenpunkt dar, der gemäß [SEC 1 Version `Q`](https://www.secg.org/sec1-v2.pdf) 2.0 komprimiert und dann Base64-kodiert wurde.
**Anzahl verschlüsselter Datenschlüssel**
Die Anzahl der verschlüsselten Datenschlüssel. Es handelt sich um einen 1-Byte-Wert, der als 8-Bit-Ganzzahl ohne Vorzeichen interpretiert wird und die Anzahl der verschlüsselten Datenschlüssel angibt. Die maximale Anzahl verschlüsselter Datenschlüssel in jedem Datensatz beträgt 255.
**Verschlüsselte Datenschlüssel**
Eine Folge von verschlüsselten Datenschlüsseln. Die Länge der Folge wird durch die Anzahl der verschlüsselten Datenschlüssel und ihre jeweilige Länge bestimmt. Die Folge enthält mindestens einen verschlüsselten Datenschlüssel.
In der folgenden Tabelle sind die Felder beschrieben, die die verschlüsselten Datenschlüssel bilden. Die Byte werden in der angegebenen Reihenfolge angehängt.
**Struktur der verschlüsselten Datenschlüssel**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/database-encryption-sdk/latest/devguide/reference.html)
**Länge der Schlüsselanbieter-ID**
Die Länge der Schlüsselanbieter-ID. Es handelt sich um einen 2-Byte-Wert, interpretiert als vorzeichenlose 16-Bit-Ganzzahl, die die Anzahl der Bytes angibt, die die Schlüsselanbieter-ID enthalten.
**ID des Schlüsselanbieters**
Die Schlüsselanbieter-ID. Wird verwendet, um den Anbieter des verschlüsselten Datenschlüssels anzugeben, und ist auf Erweiterbarkeit ausgelegt.
**Länge der Informationen zum Schlüsselanbieter**
Die Länge der Schlüsselanbieterinformation. Es handelt sich um einen 2-Byte-Wert, interpretiert als vorzeichenlose 16-Bit-Ganzzahl, die die Anzahl der Bytes angibt, die die Schlüsselanbieterinformation enthalten.
**Informationen zu den wichtigsten Anbietern**
Die Schlüsselanbieterinformation. Wird durch den Schlüsselanbieter bestimmt.
Wenn Sie einen AWS KMS Schlüsselbund verwenden, enthält dieser Wert den Amazon-Ressourcennamen (ARN) von. AWS KMS key
**Länge des verschlüsselten Datenschlüssels**
Die Länge des verschlüsselten Datenschlüssels. Es handelt sich um einen 2-Byte-Wert, interpretiert als vorzeichenlose 16-Bit-Ganzzahl, die die Anzahl der Bytes angibt, die den verschlüsselten Datenschlüssel enthalten.
**Verschlüsselter Datenschlüssel**
Der verschlüsselte Datenschlüssel. Es ist der vom Schlüsselanbieter verschlüsselte Datenschlüssel.
**Engagement in Rekordhöhe**
Ein eindeutiger 256-Bit-HMAC-Hash (Hash-Based Message Authentication Code), der mithilfe des Commit-Schlüssels für alle vorherigen Materialbeschreibungs-Bytes berechnet wurde.
## AWS KMS Technische Details zum hierarchischen Schlüsselbund
Der [AWS KMS hierarchische Schlüsselbund](use-hierarchical-keyring.md) verwendet einen eindeutigen Datenschlüssel, um jedes Feld zu verschlüsseln, und verschlüsselt jeden Datenschlüssel mit einem eindeutigen Umschließungsschlüssel, der von einem aktiven Zweigschlüssel abgeleitet wird. Er verwendet eine [Schlüsselableitung](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-108r1.pdf) im Zählermodus mit einer Pseudozufallsfunktion mit HMAC SHA-256, um den 32-Byte-Wrapping-Schlüssel mit den folgenden Eingaben abzuleiten.
+ Ein zufälliges 16-Byte-Salz
+ Der aktive Zweigschlüssel
+ Der [UTF-8-kodierte](https://en.wikipedia.org/wiki/UTF-8) Wert für die Schlüsselanbieter-ID "“ aws-kms-hierarchy
Der hierarchische Schlüsselbund verwendet den abgeleiteten Wrapping-Schlüssel, um eine Kopie des Klartext-Datenschlüssels mithilfe von AES-GCM-256 mit einem 16-Byte-Authentifizierungs-Tag und den folgenden Eingaben zu verschlüsseln.
+ Der abgeleitete Wrapping-Schlüssel wird als AES-GCM-Verschlüsselungsschlüssel verwendet
+ Der Datenschlüssel wird als AES-GCM-Nachricht verwendet
+ Ein zufälliger 12-Byte-Initialisierungsvektor (IV) wird als AES-GCM IV verwendet
+ Zusätzliche authentifizierte Daten (AAD), die die folgenden serialisierten Werte enthalten.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/database-encryption-sdk/latest/devguide/reference.html)