AWS KMS elementos básicos de criptografía - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS KMS elementos básicos de criptografía

AWS KMS utiliza algoritmos criptográficos configurables para que el sistema pueda migrar rápidamente de un algoritmo o modo aprobado a otro. El conjunto inicial predeterminado de algoritmos criptográficos se seleccionó de entre los algoritmos del Estándar Federal de Procesamiento de Información (FIPSaprobados) por sus propiedades de seguridad y rendimiento.

Entropía y generación de números aleatorios

AWS KMS la generación de claves se realiza en. AWS KMS HSMs HSMsImplemente un generador híbrido de números aleatorios que utilice el NIST SP800-90A Deterministic Random Bit Generator (DRBG) CTR_DRBG using AES-256. Se encuentra sincronizado con un generador de bits aleatorio no determinista con 384 bits de entropía y actualizado con entropía adicional para proporcionar resistencia a la predicción en cada llamada de material criptográfico.

Operaciones de clave simétrica (solo cifrado)

Todos los comandos de cifrado con clave simétrica que se utilizan utilizan estándares de cifrado avanzados (AES), en el modo contador de Galois (GCM) y utilizan claves de 256 bits. HSMs Las llamadas análogas para descifrar utilizan la función inversa.

AES- GCM es un esquema de cifrado autenticado. Además de cifrar el texto sin formato para producir texto cifrado, calcula una etiqueta de autenticación sobre el texto cifrado y cualquier dato adicional para el que se requiera la autenticación (datos autenticados adicionales, o). AAD La etiqueta de autenticación ayuda a garantizar que los datos procedan de la supuesta fuente y que el texto cifrado no se haya modificado. AAD

Con frecuencia, AWS omite su inclusión AAD en nuestras descripciones, especialmente cuando se refiere al cifrado de las claves de datos. En estos casos, el texto circundante da a entender que la estructura que se va a cifrar se divide entre el texto simple que se va a cifrar y el texto no cifrado que se debe protegerAAD.

AWS KMS ofrece una opción para importar material clave a una, en AWS KMS key lugar de confiar en ella AWS KMS para generar el material clave. Este material clave importado se puede cifrar mediante RSAES: OAEP para proteger la clave durante el transporte al AWS KMS HSM. Los pares de RSA claves se generan el AWS KMS HSMs. El material clave importado se descifra en un AWS KMS HSM y se vuelve a cifrar en... GCM antes de que el servicio lo almacene. AES

Operaciones de clave asimétrica (cifrado, firma digital y verificación de firmas)

AWS KMS admite el uso de operaciones de clave asimétricas para las operaciones de cifrado, firma digital y acuerdo de claves. Las operaciones de clave asimétrica se basan en un par de claves privadas y públicas relacionadas de forma matemática que puede utilizar para el cifrado y descifrado, la firma y verificación de la firma o la obtención de secretos compartidos. La clave privada nunca sale AWS KMS sin cifrar. Puede usar la clave pública interna AWS KMS llamando a las AWS KMS API operaciones, o descargar la clave pública y usarla fuera de AWS KMS ella.

AWS KMS admite los siguientes cifrados asimétricos.

  • RSA- OAEP (para el cifrado) y RSA - PSS y - RSA PKCS - #1 -v1_5 (para la firma y la verificación): admite longitudes de RSA clave (en bits): 2048, 3072 y 4096 para diferentes requisitos de seguridad.

  • Elliptic Curve (ECC): se usa para firmar y verificar o para obtener secretos compartidos, pero no para ambas cosas. Soporta ECC curvas: NIST P256, P384, P521, 256k1. SECP

  • SM2(Solo en las regiones de China): se usa para cifrar y descifrar, firmar y verificar o para obtener secretos compartidos, pero debes elegir un uso de clave. Compatible con SM2PKE el cifrado y la firmaSM2DSA.

Funciones de derivación de claves

Se utiliza una función de derivación de claves para obtener claves adicionales a partir de un secreto o clave inicial. AWS KMS utiliza una función de derivación de claves (KDF) para obtener claves por llamada para cada cifrado de un. AWS KMS key Todas KDF las operaciones utilizan el KDFmodo contador utilizando HMAC [FIPS197] con SHA256 [FIPS180]. La clave derivada de 256 bits se utiliza con AES - GCM para cifrar o descifrar los datos y las claves de los clientes.

AWS KMS uso interno de firmas digitales

Las firmas digitales también se utilizan para autenticar comandos y comunicaciones entre entidades de AWS KMS . Todas las entidades de servicio tienen un par de claves del algoritmo de firma digital de curva elíptica (ECDSA). Funcionan ECDSA según lo definido en Uso de algoritmos de criptografía de curva elíptica (ECC) en la sintaxis de mensajes criptográficos (CMS) y X9.62-2005: Criptografía de clave pública para la industria de servicios financieros: algoritmo de firma digital de curva elíptica (). ECDSA Las entidades utilizan el algoritmo de hash seguro definido en las publicaciones sobre normas federales de procesamiento de la información, 180-4, conocido como. FIPS PUB SHA384 Las claves se generan en la curva secp384r1 (-P384). NIST

Cifrado de sobre

Al cifrar sus datos, los datos están protegidos, pero tiene que proteger su clave de cifrado. Una estrategia consiste en cifrarla. El cifrado de sobres es la práctica de cifrar los datos en texto no cifrado con una clave de datos y, a continuación, cifrar la clave de datos con otra clave.

Incluso puede cifrar la clave de cifrado de datos con otra clave de cifrado y cifrar dicha clave de cifrado con otra clave de cifrado. Sin embargo, finalmente, una clave debe permanecer en texto no cifrado para que pueda descifrar las claves y los datos. Esta clave de cifrado de clave de texto no cifrado de nivel superior se conoce como clave raíz.

Cifrado de sobre

AWS KMS le ayuda a proteger sus claves de cifrado almacenándolas y administrándolas de forma segura. La clave raíz almacenada AWS KMS, conocida como AWS KMS keys, nunca deja los módulos de seguridad de hardware AWS KMS FIPS validados sin cifrar. Para usar una KMS clave, debe llamar AWS KMS.

Una construcción básica utilizada en muchos sistemas criptográficos es el cifrado doble. El cifrado doble utiliza dos o más claves criptográficas para proteger un mensaje. Normalmente, una clave se deriva de una clave estática de largo plazo k y otra clave es una clave por mensaje msgKey, que se genera para cifrar el mensaje. El sobre se forma cifrando el mensaje: ciphertext = Encrypt (, message). msgKey A continuación, la clave del mensaje se cifra con la clave estática a largo plazo: encKey = Cifrar (k,). msgKey Por último, los dos valores (encKey, texto cifrado) se empaquetan en una sola estructura o mensaje cifrado en un sobre.

El destinatario, con acceso a la K, puede abrir el mensaje con doble cifrado al descifrar primero la clave cifrada y, a continuación, al descifrar el mensaje.

AWS KMS ofrece la posibilidad de gestionar estas claves estáticas de larga duración y automatizar el proceso de cifrado de sobres de los datos.

Además de las capacidades de cifrado incluidas en el AWS KMS servicio, Encryption SDK proporciona bibliotecas de AWS cifrado de sobres para el lado del cliente. Puede utilizar estas bibliotecas para proteger sus datos y las claves de cifrado que se utilizan a fin de cifrar esos datos.

Cifrado de sobres con varias claves de cifrado de claves

El cifrado de sobre ofrece varios beneficios:

  • Protección de las claves de datos

    Al cifrar una clave de datos, no tiene que preocuparse del almacenamiento la clave de datos cifrada, porque la clave de datos está intrínsecamente protegida por el cifrado. Puede almacenar de forma segura la clave de datos cifrada junto con los datos cifrados.

  • Cifrado de los mismos datos con varias claves múltiples

    Las operaciones de cifrado pueden tardar mucho tiempo, en concreto cuando los datos que se cifran son objetos grandes. En vez de volver a cifrar los datos sin procesar varias veces con claves distintas, puede volver a cifrar solo las claves de datos que protegen los datos sin procesar.

  • Combinación de los puntos fuertes de varios algoritmos

    En general, los algoritmos de clave simétrica son más rápidos y producen textos cifrados más pequeños que los algoritmos de clave pública. Sin embargo, los algoritmos de clave pública proporcionan una separación inherente entre las funciones y facilitan la administración de las claves. El cifrado de sobre le permite combinar los puntos fuertes de cada estrategia.

Operaciones criptográficas

En AWS KMS, las operaciones criptográficas son API operaciones que utilizan KMS claves para proteger los datos. Como KMS las claves permanecen dentro AWS KMS, debe llamar AWS KMS para usar una KMS clave en una operación criptográfica.

Para realizar operaciones criptográficas con KMS claves, utilice AWS SDKs, AWS Command Line Interface (AWS CLI) o. AWS Tools for PowerShell No puede realizar operaciones criptográficas en la consola de AWS KMS . Para ver ejemplos de cómo llamar a las operaciones criptográficas en varios lenguajes de programación, consulte Ejemplos de código para AWS KMS usar AWS SDKs.

En la siguiente tabla se enumeran las operaciones AWS KMS criptográficas. También muestra el tipo de clave y los requisitos de uso de KMS claves para las claves utilizadas en la operación.

Operación Tipo de clave Uso de clave
Decrypt Simétrico o asimétrico ENCRYPT_DECRYPT
DeriveSharedSecret Asimétrica KEY_AGREEMENT
Encrypt Simétrico o asimétrico ENCRYPT_DECRYPT
GenerateDataKey Simétrica ENCRYPT_DECRYPT
GenerateDataKeyPair Simétrica [1]

No se admite en KMS las claves de los almacenes de claves personalizadas.

ENCRYPT_DECRYPT
GenerateDataKeyPairWithoutPlaintext Simétrica [1]

No se admite en KMS las claves de los almacenes de claves personalizadas.

ENCRYPT_DECRYPT
GenerateDataKeyWithoutPlaintext Simétrica ENCRYPT_DECRYPT
GenerateMac HMAC GENERATE_VERIFY_MAC
GenerateRandom N/A. En esta operación no se utiliza ninguna KMS clave. N/A
ReEncrypt Simétrico o asimétrico ENCRYPT_DECRYPT
Sign Asimétrica SIGN_VERIFY
Verificar Asimétrica SIGN_VERIFY
VerifyMac HMAC GENERATE_VERIFY_MAC

[1] Genera un par de claves de datos asimétricas que está protegido por una clave de cifrado KMS simétrica.

Para obtener información acerca de los permisos para operaciones criptográficas, consulte AWS KMS permisos.

Para que todos los usuarios puedan AWS KMS responder a sus necesidades y ofrecer un alto nivel de funcionalidad, AWS KMS establece cuotas en el número de operaciones criptográficas llamadas por segundo. Para obtener más información, consulte Cuotas compartidas para operaciones criptográficas.