Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # AWS KMS Détails techniques du porte-clés hiérarchique Le trousseau de [clés AWS KMS hiérarchique](use-hierarchical-keyring.md) utilise une clé de données unique pour chiffrer chaque message et chiffre chaque clé de données avec une clé d'encapsulation unique dérivée d'une clé de branche active. Il utilise une [dérivation de clé](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-108r1.pdf) en mode compteur avec une fonction pseudo-aléatoire avec HMAC SHA-256 pour dériver la clé d'encapsulation de 32 octets avec les entrées suivantes. + Un sel aléatoire de 16 octets + La clé de branche active + La valeur [UTF-8 codée](https://en.wikipedia.org/wiki/UTF-8) pour l'identifiant du fournisseur de clés « aws-kms-hierarchy » Le trousseau de clés hiérarchique utilise la clé d'encapsulation dérivée pour chiffrer une copie de la clé de données en texte brut à l' AES-GCM-256 aide d'une balise d'authentification de 16 octets et des entrées suivantes. + La clé d'encapsulation dérivée est utilisée comme clé de AES-GCM chiffrement + La clé de données est utilisée comme AES-GCM message + Un vecteur d'initialisation aléatoire (IV) de 12 octets est utilisé comme IV AES-GCM + Données authentifiées supplémentaires (AAD) contenant les valeurs sérialisées suivantes. [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/encryption-sdk/latest/developer-guide/hierarchical-keyring-details.html)