AWS KMS 階層式鍵控技術詳細資訊 - AWS Encryption SDK

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS KMS 階層式鍵控技術詳細資訊

AWS KMS 階層式鍵控使用不必要資料金鑰來加密每個訊息,並使用衍生自作用中分支金鑰的唯一包裝金鑰來加密每個資料金鑰。它使用計數器模式中的金鑰衍生,搭配 HMACSHA-256 的虛擬隨機函數,以下列輸入衍生 32 位元組包裝金鑰。

  • 16 位元組隨機鹽

  • 作用中分支金鑰

  • 金鑰提供者識別碼 "aws-kms-hierarchy" 的 UTF-8 編碼

階層式鍵控使用衍生的包裝金鑰,使用具有 16 位元組身分驗證標籤和下列輸入的 AES-GCM-256 來加密純文字資料金鑰的複本。

  • 衍生的包裝金鑰會用作 AES-GCM 密碼金鑰

  • 資料金鑰用作 AES-GCM 訊息

  • 12 位元組隨機初始化向量 (IV) 用作 AES-GCM IV

  • 包含下列序列化值的其他已驗證資料 (AAD)。

    Value 位元組長度 解讀為
    "aws-kms-hierarchy" 17 UTF-8 編碼
    分支金鑰識別符 變數 UTF-8 編碼
    分支金鑰版本 16 UTF-8 編碼
    加密內容 變數 UTF-8 個編碼金鑰值對