Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Teclas HMAC en AWS KMS

PDF
RSS
Modo de enfoque
Teclas HMAC en AWS KMS - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las claves KMS del código de autenticación de mensajes basado en hash (HMAC) son claves simétricas que se utilizan para generar y verificar su contenido. HMACs AWS KMS El material de claves exclusivo de cada clave HMAC de KMS proporciona la clave secreta que requieren los algoritmos HMAC. Puede utilizar una clave KMS HMAC con las operaciones GenerateMac y VerifyMac para verificar la integridad y autenticidad de los datos dentro de AWS KMS.

Los algoritmos HMAC combinan una función hash criptográfica y una clave secreta compartida. Toman un mensaje y una clave secreta, como el material clave de una clave KMS HMAC, y devuelven un código o una etiquetaúnicos de tamaño fijo. Si cambia incluso un carácter del mensaje, o si la clave secreta no es idéntica, la etiqueta resultante es totalmente diferente. Al requerir una clave secreta, el HMAC también proporciona autenticidad; es imposible generar una etiqueta HMAC idéntica sin la clave secreta. HMACs a veces se denominan firmas simétricas porque funcionan como firmas digitales, pero utilizan una sola clave tanto para la firma como para la verificación.

Las claves HMAC KMS y los algoritmos HMAC que se AWS KMS utilizan cumplen con los estándares del sector definidos en el RFC 2104. La AWS KMS GenerateMacoperación genera etiquetas HMAC estándar. Las claves HMAC KMS se generan en módulos de seguridad de AWS KMS hardware que están certificados según el Programa de validación de módulos criptográficos FIPS 140-3 (excepto en las regiones de China (Beijing) y China (Ningxia)) y nunca se dejan sin cifrar. AWS KMS Para utilizar una clave KMS HMAC, tiene que llamar a AWS KMS.

Puede utilizar claves KMS HMAC para determinar la autenticidad de un mensaje, como un token web JSON (JWT), información de tarjeta de crédito tokenizada o una contraseña enviada. También se pueden utilizar como funciones de derivación de claves seguras (KDFs), especialmente en aplicaciones que requieren claves deterministas.

Las claves HMAC KMS ofrecen una ventaja respecto HMACs a las del software de aplicación, ya que el material de claves se genera y se utiliza íntegramente desde dentro AWS KMS, sujeto a los controles de acceso que se establezcan en la clave.

sugerencia

Las prácticas recomendadas indican limitar el tiempo durante el cual cualquier mecanismo de firma, incluido un HMAC, es efectivo. Esto impide un ataque en el que el actor utiliza un mensaje firmado para establecer la validez repetidamente o mucho después de que se sustituya el mensaje. Las etiquetas del HMAC no incluyen una marca de hora, pero puede incluir una marca de hora en el token o mensaje para ayudarlo a detectar cuándo es hora de actualizar el HMAC.

Operaciones criptográficas admitidas

Las claves KMS HMAC solo admiten las operaciones criptográficas GenerateMac y VerifyMac. No puede utilizar claves KMS HMAC para cifrar datos o firmar mensajes, ni utilizar ningún otro tipo de clave KMS en las operaciones de HMAC. Cuando utiliza la operación GenerateMac, proporciona un mensaje de hasta 4096 bytes, una clave KMS HMAC y el algoritmo MAC compatible con la especificación de clave HMAC, y GenerateMac computa la etiqueta HMAC. Para verificar una etiqueta HMAC, debe proporcionar la etiqueta HMAC y el mismo mensaje, clave KMS HMAC y algoritmo MAC que GenerateMac utilizó para computar la etiqueta HMAC original. La operación VerifyMac computa la etiqueta HMAC y verifica que es idéntica a la etiqueta HMAC suministrada. Si la entrada y las etiquetas HMAC calculadas no son idénticas, la verificación falla.

Las claves HMAC de KMS no admiten rotación automática de claves y no se puede crear una clave de KMS HMAC en un almacén de claves personalizado.

Si va a crear una clave KMS para cifrar los datos de un AWS servicio, utilice una clave de cifrado simétrica. No puede utilizar una clave KMS HMAC.

Regiones

Las claves HMAC KMS son compatibles con todos Regiones de AWS los soportes. AWS KMS

Más información

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.