HMACSchlüssel rein AWS KMS

KMSSchlüssel mit dem Hash-Based Message Authentication Code (HMAC) sind symmetrische Schlüssel, die Sie verwenden, um darin zu generieren und zu verifizierenHMACs. AWS KMS Das jedem Schlüssel zugeordnete eindeutige Schlüsselmaterial liefert den geheimen HMAC KMS Schlüssel, den HMAC Algorithmen benötigen. Sie können einen HMAC KMS Schlüssel zusammen mit den VerifyMacOperationen GenerateMac und verwenden, um die Integrität und Authentizität der darin enthaltenen Daten zu überprüfen AWS KMS.

HMACAlgorithmen kombinieren eine kryptografische Hash-Funktion und einen gemeinsamen geheimen Schlüssel. Sie nehmen eine Nachricht und einen geheimen Schlüssel, z. B. das Schlüsselmaterial eines HMAC KMS Schlüssels, und geben einen eindeutigen Code oder ein Etikett mit fester Größe zurück. Wenn sich nur ein Zeichen der Nachricht ändert oder wenn der geheime Schlüssel nicht identisch ist, ist das resultierende Tag völlig anders. Durch die Anforderung eines geheimen Schlüssels wird HMAC auch Authentizität gewährleistet. Ohne den geheimen Schlüssel ist es unmöglich, ein identisches HMAC Tag zu generieren. HMACswerden manchmal als symmetrische Signaturen bezeichnet, weil sie wie digitale Signaturen funktionieren, aber einen einzigen Schlüssel sowohl für das Signieren als auch für die Überprüfung verwenden.

HMACKMSDie Schlüssel und die AWS KMS verwendeten HMAC Algorithmen entsprechen den im RFC Jahr 2014 definierten Industriestandards. Der AWS KMS GenerateMacVorgang generiert HMAC Standardtags. HMACKMSSchlüssel werden in AWS KMS Hardware-Sicherheitsmodulen generiert, die im Rahmen des FIPS140-2 Cryptographic Module Validation Program zertifiziert sind (außer in den Regionen China (Peking) und China (Ningxia)) und werden niemals unverschlüsselt gespeichert. AWS KMS Um einen HMAC KMS Schlüssel zu verwenden, müssen Sie anrufen. AWS KMS

Sie können HMAC KMS Schlüssel verwenden, um die Echtheit einer Nachricht zu ermitteln, z. B. eines JSON Web-Tokens (JWT), tokenisierte Kreditkarteninformationen oder ein übermitteltes Passwort. Sie können auch als sichere Funktionen zur Schlüsselableitung (KDFs) verwendet werden, insbesondere in Anwendungen, die deterministische Schlüssel benötigen.

HMACKMSSchlüssel bieten einen Vorteil gegenüber Anwendungssoftware, da das Schlüsselmaterial ausschließlich innerhalb HMACs von Software generiert und verwendet wird AWS KMS, abhängig von den Zugriffskontrollen, die Sie für den Schlüssel festlegen.

Tipp

Bewährte Methoden empfehlen, die Zeit zu begrenzen, in der alle Signaturmechanismen, einschließlich einesHMAC, wirksam sind. Dies schreckt einen Angriff ab, bei dem der Akteur eine signierte Nachricht verwendet, um die Gültigkeit wiederholt oder lange nach dem Ersetzen der Nachricht festzustellen. HMACTags enthalten keinen Zeitstempel, aber Sie können einen Zeitstempel in das Token oder die Nachricht aufnehmen, damit Sie erkennen können, wann es Zeit ist, das zu aktualisieren. HMAC

Unterstützte kryptografische Operationen

HMACKMSSchlüssel unterstützen nur die GenerateMacund VerifyMackryptografische Operationen. Sie können HMAC KMS Schlüssel nicht verwenden, um Daten zu verschlüsseln oder Nachrichten zu signieren, und Sie können auch keine anderen KMS Schlüsseltypen für Operationen verwenden. HMAC Wenn Sie den GenerateMac Vorgang verwenden, geben Sie eine Nachricht mit bis zu 4.096 Byte, einen HMAC KMS Schlüssel und den MAC Algorithmus an, der mit der HMAC Schlüsselspezifikation kompatibel ist, und GenerateMac berechnen das Tag. HMAC Um ein HMAC Tag zu verifizieren, müssen Sie das HMAC Tag und dieselbe Nachricht, denselben HMAC KMS Schlüssel und denselben MAC Algorithmus angeben, mit GenerateMac denen das ursprüngliche Tag berechnet wurde. HMAC Der VerifyMac Vorgang berechnet das HMAC Tag und überprüft, ob es mit dem angegebenen HMAC Tag identisch ist. Wenn die eingegebenen und berechneten HMAC Tags nicht identisch sind, schlägt die Überprüfung fehl.

HMACKMSSchlüssel unterstützen keine automatische Schlüsselrotation und Sie können keinen HMAC KMS Schlüssel in einem benutzerdefinierten Schlüsselspeicher erstellen.

Wenn Sie einen KMS Schlüssel zum Verschlüsseln von Daten in einem AWS Dienst erstellen, verwenden Sie einen symmetrischen Verschlüsselungsschlüssel. Sie können keinen Schlüssel verwenden. HMAC KMS

Regionen

HMACKMSSchlüssel werden in allem unterstützt AWS-Regionen , was AWS KMS unterstützt wird.

Weitere Informationen

Informationen zum Erstellen von HMAC KMS Schlüsseln finden Sie unterEinen HMAC KMS Schlüssel erstellen.
Informationen zum Erstellen von HMAC KMS Schlüsseln für mehrere Regionen finden Sie unterSchlüssel für mehrere Regionen eingeben AWS KMS.
Informationen zu den Unterschieden in der Standardschlüsselrichtlinie, die die AWS KMS Konsole für HMAC KMS Schlüssel festlegt, finden Sie unterErmöglicht Schlüsselbenutzern, einen KMS Schlüssel für kryptografische Operationen zu verwenden.
Informationen zum Identifizieren und Anzeigen von HMAC KMS Schlüsseln finden Sie unterIdentifizieren Sie Schlüssel HMAC KMS.
Weitere Informationen HMACs zur Erstellung von JSON Web-Token finden Sie unter How to protect HMACs inside AWS KMS im AWS Sicherheits-Blog.
Hören Sie sich einen Podcast: Introducing HMACs for AWS Key Management Service auf The Official AWS Podcast an.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Asymmetrische Schlüssel

Multiregionale Schlüssel