Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bei KMS-Schlüsseln (Hash-Based Message Authentication Code, HMAC) handelt es sich um symmetrische Schlüssel, die Sie zur Generierung und Überprüfung innerhalb von KMS-Schlüsseln verwenden. HMACs AWS KMS Das eindeutige Schlüsselmaterial, das mit jedem HMAC-KMS-Schlüssel verbunden ist, liefert den geheimen Schlüssel, den HMAC-Algorithmen benötigen. Sie können einen HMAC-KMS-Schlüssel mit GenerateMac- und VerifyMac-Operationen verwenden, um die Integrität und Authentizität von Daten in AWS KMS zu überprüfen.
HMAC-Algorithmen kombinieren eine kryptografische Hash-Funktion und einen gemeinsamen geheimen Schlüssel. Sie nehmen eine Nachricht und einen geheimen Schlüssel wie das Schlüsselmaterial in einem HMAC-KMS-Schlüssel und geben einen eindeutigen Code mit fester Größe oder Tag zurück. Wenn sich nur ein Zeichen der Nachricht ändert oder wenn der geheime Schlüssel nicht identisch ist, ist das resultierende Tag völlig anders. Durch die Anforderung eines geheimen Schlüssels bietet HMAC auch Authentizität. Ohne den geheimen Schlüssel ist es unmöglich, ein identisches HMAC-Tag zu generieren. HMACs werden manchmal als symmetrische Signaturen bezeichnet, weil sie wie digitale Signaturen funktionieren, aber einen einzigen Schlüssel sowohl für das Signieren als auch für die Überprüfung verwenden.
HMAC-KMS-Schlüssel und die AWS KMS verwendeten HMAC-Algorithmen entsprechen den in RFC 2104 definierten Industriestandards.
Sie können HMACs verwenden, um die Echtheit einer Nachricht zu ermitteln, z. B. eines JSON-Web-Token (JWT), tokenisierter Kreditkarteninformationen oder eines übermittelten Passworts. Sie können auch als sichere Funktionen zur Schlüsselableitung (KDFs) verwendet werden, insbesondere in Anwendungen, die deterministische Schlüssel benötigen.
HMAC-KMS-Schlüssel bieten einen Vorteil gegenüber Anwendungssoftware, da das Schlüsselmaterial ausschließlich innerhalb HMACs von Software generiert und verwendet wird AWS KMS, vorbehaltlich der Zugriffskontrollen, die Sie für den Schlüssel festlegen.
Tipp
Bewährte Methoden empfehlen, die Zeit zu beschränken, in der ein Signiermechanismus, einschließlich eines HMAC, wirksam ist. Dies schreckt einen Angriff ab, bei dem der Akteur eine signierte Nachricht verwendet, um die Gültigkeit wiederholt oder lange nach dem Ersetzen der Nachricht festzustellen. HMAC-Tags enthalten keinen Zeitstempel, aber Sie können einen Zeitstempel in das Token oder die Nachricht aufnehmen, um zu erkennen, wann es Zeit ist, den HMAC zu aktualisieren.
- Unterstützte kryptografische Operationen
-
HMAC-KMS-Schlüssel unterstützen nur die kryptografischen Operationen
GenerateMacundVerifyMac. Sie können keine HMAC-KMS-Schlüssel verwenden, um Daten zu verschlüsseln oder Nachrichten zu signieren, oder eine andere Art von KMS-Schlüssel in HMAC-Operationen zu verwenden. Wenn Sie dieGenerateMac-Operation verwenden, können Sie eine Meldung von bis zu 4 096 Bytes, einen HMAC-KMS-Schlüssel und den MAC-Algorithmus, der mit der HMAC-Schlüsselspezifikation kompatibel ist, bereitstellen undGenerateMacberechnet das HMAC-Tag. Um ein HMAC-Tag zu überprüfen, müssen Sie das HMAC-Tag und dieselbe Nachricht, den HMAC-KMS-Schlüssel und den MAC-Algorithmus angeben, der vonGenerateMacverwendet wurde, um das ursprüngliche HMAC-Tag zu berechnen. DieVerifyMac-Operation berechnet das HMAC-Tag und überprüft, ob es mit dem bereitgestellten HMAC-Tag identisch ist. Wenn die eingegebenen und berechneten HMAC-Tags nicht identisch sind, schlägt die Überprüfung fehl.HMAC-KMS-Schlüssel unterstützen kein(e) automatische Schlüsseldrehung und Sie können keinen HMAC-KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher erstellen.
Wenn Sie einen KMS-Schlüssel zum Verschlüsseln von Daten in einem AWS Dienst erstellen, verwenden Sie einen symmetrischen Verschlüsselungsschlüssel. Sie können keinen HMAC-KMS-Schlüssel verwenden.
- Regionen
-
HMAC-KMS-Schlüssel werden in allen AWS-Regionen unterstützten Versionen AWS KMS unterstützt.
Weitere Informationen
-
Informationen zum Erstellen von HMAC-KMS-Schlüsseln finden Sie unter. Erstellen Sie einen HMAC-KMS-Schlüssel
-
Informationen zum Erstellen von HMAC-KMS-Schlüsseln für mehrere Regionen finden Sie unter. Schlüssel für mehrere Regionen eingeben AWS KMS
-
Informationen zum Unterschied in der Standardschlüsselrichtlinie, die die AWS KMS Konsole für HMAC-KMS-Schlüssel festlegt, finden Sie unter. Erlaubt Schlüsselbenutzern die Verwendung eines KMS-Schlüssels für kryptografische Operationen
-
Informationen zum Identifizieren und Anzeigen von HMAC-KMS-Schlüsseln finden Sie unter. Identifizieren Sie HMAC-KMS-Schlüssel
-
Weitere Informationen HMACs zur Erstellung von JSON-Web-Tokens finden Sie AWS KMS im AWS Sicherheits-Blog unter How to protect HMACs inside
. -
Hören Sie sich einen Podcast: Introducing HMACs for AWS Key Management Service
auf The Official AWS Podcast an.
