本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
初始金鑰 (KEK) 交換
在 AS2805 中,每一端都有自己的 KEK。KEK(s) 是指每當傳送端需要保護/包裝金鑰並將其傳送至 node2 時,將使用的傳送端金鑰。KEK(r) 是由 opposite(node2) 端建立的金鑰。
注意
這些術語是相對的 - 一端建立金鑰 (傳送端),另一端接收到金鑰。因此,指定 KEY1,它在節點 1 上稱為 KEK(s),在節點 2 上稱為 KEK(r)。
AS2805 的 KEK 始終是金鑰類型 = TR31_K0_KEY_ENCRYPTION_KEY,因為它們用於保護密碼編譯,而不是金鑰區塊。這對應至 AS2805 6.1 中定義的 TERMINAL_MAJOR_KEY_VARIANT_00
步驟:
- 1.建立金鑰
-
使用 CreateKey api 建立金鑰。您將建立 TR31_K0_KEY_ENCRYPTION_KEY 類型的金鑰
- 2.決定與 node2 交換金鑰的方法
-
決定如何與對手方交換 KEK。對於 AS2805,最常見的互通方法是 RSA Wrap。
- 3.匯出 KEKs
-
根據上述選擇,您將會從 node2 收到公有金鑰憑證。您將使用該憑證執行匯出以保護金鑰 (如果使用 ECDH,則衍生金鑰)。
- 4. 匯入 KEKr
-
根據上述選擇,您會將公有金鑰憑證傳送至 node2。您將使用該憑證執行匯入至 ,將節點 2 的 KEKr 載入服務。
