AWS KMS Detalles técnicos del llavero jerárquico

El conjunto de claves AWS KMS jerárquico utiliza una clave de datos única para cifrar cada mensaje y cifra cada clave de datos con una clave de empaquetado única derivada de una clave de rama activa. Utiliza una derivación de claves en modo contador con una función pseudoaleatoria con HMAC SHA-256 para obtener la clave de empaquetado de 32 bytes con las siguientes entradas.

Una sal de asignación al azar de 16 bytes
La clave de rama activa
El valor UTF-8 codificado del identificador del proveedor de claves es «aws-kms-hierarchy»

El conjunto de claves jerárquico utiliza la clave de empaquetado derivada para cifrar una copia de la clave de datos en texto plano mediante una etiqueta de autenticación de 16 bytes y AES-GCM-256 las siguientes entradas.

La clave de empaquetado derivada se utiliza como clave de cifrado AES-GCM
La clave de datos se utiliza como mensaje AES-GCM
Como IV se utiliza un vector de inicialización aleatoria (IV) de AES-GCM 12 bytes

Datos autenticados adicionales (AAD) que contienen los siguientes valores serializados.

Valor	Longitud en bytes	Interpretado como
"aws-kms-hierarchy"	17	UTF-8 codificado
El identificador de la clave de la rama	Variable	UTF-8 codificado
La versión de clave de la rama	16	UTF-8 codificado
Contexto de cifrado	Variable	UTF-8 pares de valores clave codificados

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Referencia de vectores de inicialización

Historial de revisión