鍵管理サービス

Question

Amazon Key Management Servicesの背後で使用されているアルゴリズムまたは暗号化方式は？

私はそれを探しましたが、統合情報の代わりに構成関連情報しか見つかりませんでした。

Answer 1

あなたが本当に興味があるなら、KMS Cryptographic Details documentが本当に良くて細かいと言って、この回答を前にします。私はそれを読むことをお勧めします。

KMSキーには、Customer Master Keys（CMK）とData Keys（DK）の2種類があります。顧客マスタ鍵はAWSインフラストラクチャから離れることはなく、API callによって生成されます。警告はあります：thisとthis APIコールを介して、AWSの顧客（別名あなた）が提供することができます。データキーはAPI callによって生成されます。このAPIは、キーの「プレーン」バージョンと暗号化バージョンの両方を返します。この暗号化はCMKを使用して行われます。

KMSは、developer guideのように対称暗号化のみを使用します。

だから、（どのようなアルゴリズムKMSを使用しない）、あなたの質問に答えるために、（hereから取られた）この図を見てみましょう：画像の下部に

暗号化アルゴリズムは、に使用されるアルゴリズムでありますDKを暗号化する。暗号詳細は上記のリンク先のドキュメントから：システム はすぐに別のものに、1つのアルゴリズム、またはモードから移行することができるように

AWS KMSは、設定可能な暗号化アルゴリズムを使用しています。 初期のデフォルトの暗号アルゴリズムセットは、 連邦情報処理標準（FIPS認定アルゴリズム） のセキュリティプロパティとパフォーマンスから選択されています。

とも：

HSA内で使用されるすべての対称鍵暗号化コマンドは、256ビットキーを使用してガロアカウンタモード（GCM） で、 高度暗号化標準（AES）を使用します。類似の復号化の呼び出しは逆の 関数を使用します。

DKを生成したら、必要なアルゴリズムと標準を使用して、暗号化と復号化を自分で実行します（これは上の画像の上にある暗号化アルゴリズムです）。しかし、今日生成できる唯一のタイプのDKはAESで、128ビットか256ビット（docs）のどちらかを選択することしかできません。

マスターキーをインポートするときは、RSA（2048ビット）を使用して通常wrap your key materialとします。

Answer 2

AWS KMSはガロア/カウンタモード（GCM）、AES-GCMとして知られている中でのAdvanced Encryption Standard （AES）アルゴリズムを使用し、それが256ビットの秘密鍵と、このアルゴリズムを使用しています（KMSからコピーdocument）。