AWS KMS 階層式 keyring 技術詳細資訊 - AWS Encryption SDK

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS KMS 階層式 keyring 技術詳細資訊

AWS KMS 階層式 keyring 使用不適當的資料金鑰來加密每個訊息,並使用衍生自作用中分支金鑰的唯一包裝金鑰來加密每個資料金鑰。它會在計數器模式中使用金鑰衍生,並使用 HMACSHA-256 的虛擬隨機函數來衍生具有下列輸入的 32 位元組包裝金鑰。

  • 16 位元組隨機鹽

  • 作用中分支金鑰

  • 金鑰提供者識別符 "aws-kms-hierarchy" 的 UTF-8 編碼

階層式 keyring 使用衍生的包裝金鑰,使用 AES-GCM-256 搭配 16 位元組身分驗證標籤和下列輸入來加密純文字資料金鑰的複本。

  • 衍生的包裝金鑰用作 AES-GCM 密碼金鑰

  • 資料金鑰用作 AES-GCM 訊息

  • 12 位元組隨機初始化向量 (IV) 用作 AES-GCM IV

  • 包含下列序列化值的其他已驗證資料 (AAD)。

    Value 位元組長度 解譯為
    "aws-kms-hierarchy" 17 UTF-8 編碼
    分支金鑰識別符 變數 UTF-8 編碼
    分支金鑰版本 16 UTF-8 編碼
    加密內容 變數 UTF-8 個編碼金鑰值對