翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 参照資料
****
| |
| --- |
| クライアント側の暗号化ライブラリの名前が AWS Database Encryption SDK に変更されました。このデベロッパーガイドでは、引き続き [DynamoDB Encryption Client](legacy-dynamodb-encryption-client.md) に関する情報を提供します。 |
以下のトピックでは、 AWS Database Encryption SDK の技術的な詳細について説明します。
## マテリアルの説明の形式
[マテリアルの説明](concepts.md#material-description)は、暗号化されたレコードのヘッダーとして機能します。 AWS Database Encryption SDK を使用してフィールドを暗号化して署名すると、エンクリプタは暗号化マテリアルをアセンブルするときにマテリアルの説明を記録し、エンクリプタがレコードに追加する新しいフィールド (`aws_dbe_head`) にマテリアルの説明を保存します。マテリアルの説明は、暗号化されたデータキーと、レコードがどのように暗号化および署名されたかに関する情報を含む、ポータブルな形式のデータ構造です。次の表には、マテリアルの説明を構成する値が記載されています。バイトは示されている順に追加されます。
| 値 | 長さ (バイト) |
| --- | --- |
| [Version](#format-version) | 1 |
| [Signatures Enabled](#format-signatures) | 1 |
| [Record ID](#format-recordID) | 32 |
| [Encrypt Legend](#format-encrypt-legend) | 変数 |
| [Encryption Context Length](#format-encrypt-context-length) | 2 |
| [Encryption Context](#format-encrypt-context) | 可変 |
| [Encrypted Data Key Count](#format-data-key-count) | 1 |
| [Encrypted Data Keys](#format-data-keys) | 可変 |
| [Record Commitment](#format-commitment) | 1 |
**バージョン**
`aws_dbe_head` フィールドの形式のバージョン。
**署名が有効**
このレコードで ECDSA デジタル署名が有効になっているかどうかをエンコードします。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/database-encryption-sdk/latest/devguide/reference.html)
**レコード ID**
レコードを識別するランダムに生成された 256 ビットの値。レコード ID:
+ 暗号化されたレコードを一意に識別します。
+ マテリアルの説明を暗号化されたレコードにバインドします。
**暗号化の凡例**
どの認証済みフィールドが暗号化されたのかを示すシリアル化された説明。[暗号化の凡例] は、復号メソッドがどのフィールドの復号を試行するかを決定するために使用されます。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/database-encryption-sdk/latest/devguide/reference.html)
[暗号化の凡例] は次のようにシリアル化されます。
1. 辞書順 (正規パスを表すバイトシーケンスの順番)。
1. 各フィールドに、上記で指定したバイト値の 1 つを順番に付加して、そのフィールドを暗号化するかどうかを示します。
**暗号化コンテキストの長さ**
暗号化コンテキストの長さ。これは 16 ビットの符号なし整数として解釈される 2 バイトの値です。最大長は 65,535 バイトです。
**暗号化コンテキスト**
任意のシークレットではない追加認証データを含む名前と値のペアのセット。
[ECDSA デジタル署名](concepts.md#digital-sigs)を有効にすると、暗号化コンテキストにはキーと値のペア が含まれます`{"aws-crypto-footer-ecdsa-key": Qtxt}`。 `Qtxt`は、[SEC 1 バージョン 2.0](https://www.secg.org/sec1-v2.pdf) に従って`Q`圧縮された楕円曲線ポイントを表し、base64 でエンコードされます。
**暗号化されたデータキーの数**
暗号化されたデータキーの数。これは、暗号化されたデータキーの数を指定する 8 ビットの符号なし整数として解釈される 1 バイトの値です。各レコード内の暗号化されたデータキーの最大数は 255 です。
**暗号化されたデータキー**
暗号化されたデータキーのシーケンス。シーケンスの長さは暗号化されたデータキーの数とそれぞれの長さによって決まります。シーケンスには、少なくとも 1 つの暗号化されたデータキーが含まれています。
以下の表では、暗号化された各データキーを形成するフィールドについて説明します。バイトは示されている順に追加されます。
**暗号化されたデータキーの構造**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/database-encryption-sdk/latest/devguide/reference.html)
**キープロバイダー ID の長さ**
キープロバイダー ID の長さ。これは、キープロバイダー ID を含むバイト数を指定する 16 ビットの符号なし整数として解釈される 2 バイトの値です。
**キープロバイダー ID**
キープロバイダー ID。これは、暗号化されたデータキーのプロバイダーを示すために使用され、拡張することを目的としています。
**キープロバイダー情報の長さ**
キープロバイダー情報の長さ。これは、キープロバイダー情報を含むバイト数を指定する 16 ビットの符号なし整数として解釈される 2 バイトの値です。
**キープロバイダー情報**
キープロバイダー情報 これはキープロバイダーによって決定されます。
AWS KMS キーリングを使用している場合、この値には の Amazon リソースネーム (ARN) が含まれます AWS KMS key。
**暗号化されたデータキーの長さ**
暗号化されたデータキーの長さ。これは、暗号化されたデータキーを含むバイト数を指定する 16 ビットの符号なし整数として解釈される 2 バイトの値です。
**暗号化されたデータキー**
暗号化されたデータキー これは、キープロバイダーによって暗号化されたデータキーです。
**コミットメントを記録する**
コミットキーを使用して、前述のすべてのマテリアル説明バイトで計算された個別の 256 ビットハッシュベースのメッセージ認証コード (HMAC) ハッシュ。
## AWS KMS 階層キーリングの技術的な詳細
[AWS KMS 階層キーリング](use-hierarchical-keyring.md)は、一意のデータキーを使用して各フィールドを暗号化し、アクティブなブランチキーから導出した一意のラッピングキーを使用して各データキーを暗号化します。HMAC SHA-256 の擬似ランダム関数を使用したカウンターモードで[鍵導出](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-108r1.pdf)を使用して、次の入力で 32 バイトのラッピングキーを導出します。
+ 16 バイトのランダムソルト
+ アクティブなブランチキー
+ キープロバイダー識別子「aws-kms-hierarchy」の [UTF-8 でエンコードされた](https://en.wikipedia.org/wiki/UTF-8)値
階層キーリングは、導出されたラッピングキーと、16 バイトの認証タグと次の入力を含む AES-GCM-256 を使用して、プレーンテキストデータキーのコピーを暗号化します。
+ 導出されたラッピングキーは AES-GCM 暗号キーとして使用されます
+ データキーは AES-GCM メッセージとして使用されます
+ 12 バイトのランダム初期化ベクトル (IV) が AES-GCM IV として使用されます
+ 次のシリアル化された値を含む追加認証データ (AAD)。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/database-encryption-sdk/latest/devguide/reference.html)