Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS KMS elementos básicos de criptografía
AWS KMS utiliza algoritmos criptográficos configurables para que el sistema pueda migrar rápidamente de un algoritmo o modo aprobado a otro. El conjunto inicial predeterminado de algoritmos criptográficos se seleccionó de entre los algoritmos del Estándar Federal de Procesamiento de Información (FIPSaprobados) por sus propiedades de seguridad y rendimiento.
Entropía y generación de números aleatorios
AWS KMS la generación de claves se realiza en. AWS KMS HSMs HSMsImplemente un generador híbrido de números aleatorios que utilice el NIST
SP800-90A Deterministic Random Bit Generator (DRBG) CTR_DRBG using AES-256
Operaciones de clave simétrica (solo cifrado)
Todos los comandos de cifrado con clave simétrica que se utilizan utilizan estándares de cifrado avanzados (AES)
AES- GCM es un esquema de cifrado autenticado. Además de cifrar el texto sin formato para producir texto cifrado, calcula una etiqueta de autenticación sobre el texto cifrado y cualquier dato adicional para el que se requiera la autenticación (datos autenticados adicionales, o). AAD La etiqueta de autenticación ayuda a garantizar que los datos procedan de la supuesta fuente y que el texto cifrado no se haya modificado. AAD
Con frecuencia, AWS omite su inclusión AAD en nuestras descripciones, especialmente cuando se refiere al cifrado de las claves de datos. En estos casos, el texto circundante da a entender que la estructura que se va a cifrar se divide entre el texto simple que se va a cifrar y el texto no cifrado que se debe protegerAAD.
AWS KMS ofrece una opción para importar material clave a una, en AWS KMS key lugar de confiar en ella AWS KMS para generar el material clave. Este material clave importado se puede cifrar mediante RSAES: OAEP
Operaciones de clave asimétrica (cifrado, firma digital y verificación de firmas)
AWS KMS admite el uso de operaciones de clave asimétricas para las operaciones de cifrado, firma digital y acuerdo de claves. Las operaciones de clave asimétrica se basan en un par de claves privadas y públicas relacionadas de forma matemática que puede utilizar para el cifrado y descifrado, la firma y verificación de la firma o la obtención de secretos compartidos. La clave privada nunca sale AWS KMS sin cifrar. Puede usar la clave pública interna AWS KMS llamando a las AWS KMS API operaciones, o descargar la clave pública y usarla fuera de AWS KMS ella.
AWS KMS admite los siguientes cifrados asimétricos.
-
RSA- OAEP (para el cifrado) y RSA - PSS y - RSA PKCS - #1 -v1_5 (para la firma y la verificación): admite longitudes de RSA clave (en bits): 2048, 3072 y 4096 para diferentes requisitos de seguridad.
-
Elliptic Curve (ECC): se usa para firmar y verificar o para obtener secretos compartidos, pero no para ambas cosas. Soporta ECC curvas: NIST P256, P384, P521, 256k1. SECP
-
SM2(Solo en las regiones de China): se usa para cifrar y descifrar, firmar y verificar o para obtener secretos compartidos, pero debes elegir un uso de clave. Compatible con SM2PKE el cifrado y la firmaSM2DSA.
Funciones de derivación de claves
Se utiliza una función de derivación de claves para obtener claves adicionales a partir de un secreto o clave inicial. AWS KMS utiliza una función de derivación de claves (KDF) para obtener claves por llamada para cada cifrado de un. AWS KMS key Todas KDF las operaciones utilizan el KDFmodo contador
AWS KMS uso interno de firmas digitales
Las firmas digitales también se utilizan para autenticar comandos y comunicaciones entre entidades de AWS KMS . Todas las entidades de servicio tienen un par de claves del algoritmo de firma digital de curva elíptica (ECDSA). Funcionan ECDSA según lo definido en Uso de algoritmos de criptografía de curva elíptica (ECC) en la sintaxis de mensajes criptográficos (CMS)
Cifrado de sobre
Al cifrar sus datos, los datos están protegidos, pero tiene que proteger su clave de cifrado. Una estrategia consiste en cifrarla. El cifrado de sobres es la práctica de cifrar los datos en texto no cifrado con una clave de datos y, a continuación, cifrar la clave de datos con otra clave.
Incluso puede cifrar la clave de cifrado de datos con otra clave de cifrado y cifrar dicha clave de cifrado con otra clave de cifrado. Sin embargo, finalmente, una clave debe permanecer en texto no cifrado para que pueda descifrar las claves y los datos. Esta clave de cifrado de clave de texto no cifrado de nivel superior se conoce como clave raíz.
AWS KMS le ayuda a proteger sus claves de cifrado almacenándolas y administrándolas de forma segura. La clave raíz almacenada AWS KMS, conocida como AWS KMS keys, nunca deja los módulos de seguridad de hardware AWS KMS FIPS validados
Una construcción básica utilizada en muchos sistemas criptográficos es el cifrado doble. El cifrado doble utiliza dos o más claves criptográficas para proteger un mensaje. Normalmente, una clave se deriva de una clave estática de largo plazo k y otra clave es una clave por mensaje msgKey, que se genera para cifrar el mensaje. El sobre se forma cifrando el mensaje: ciphertext = Encrypt (, message). msgKey A continuación, la clave del mensaje se cifra con la clave estática a largo plazo: encKey = Cifrar (k,). msgKey Por último, los dos valores (encKey, texto cifrado) se empaquetan en una sola estructura o mensaje cifrado en un sobre.
El destinatario, con acceso a la K, puede abrir el mensaje con doble cifrado al descifrar primero la clave cifrada y, a continuación, al descifrar el mensaje.
AWS KMS ofrece la posibilidad de gestionar estas claves estáticas de larga duración y automatizar el proceso de cifrado de sobres de los datos.
Además de las capacidades de cifrado incluidas en el AWS KMS servicio, Encryption SDK proporciona bibliotecas de AWS cifrado de sobres para el lado del cliente. Puede utilizar estas bibliotecas para proteger sus datos y las claves de cifrado que se utilizan a fin de cifrar esos datos.
El cifrado de sobre ofrece varios beneficios:
-
Protección de las claves de datos
Al cifrar una clave de datos, no tiene que preocuparse del almacenamiento la clave de datos cifrada, porque la clave de datos está intrínsecamente protegida por el cifrado. Puede almacenar de forma segura la clave de datos cifrada junto con los datos cifrados.
-
Cifrado de los mismos datos con varias claves múltiples
Las operaciones de cifrado pueden tardar mucho tiempo, en concreto cuando los datos que se cifran son objetos grandes. En vez de volver a cifrar los datos sin procesar varias veces con claves distintas, puede volver a cifrar solo las claves de datos que protegen los datos sin procesar.
-
Combinación de los puntos fuertes de varios algoritmos
En general, los algoritmos de clave simétrica son más rápidos y producen textos cifrados más pequeños que los algoritmos de clave pública. Sin embargo, los algoritmos de clave pública proporcionan una separación inherente entre las funciones y facilitan la administración de las claves. El cifrado de sobre le permite combinar los puntos fuertes de cada estrategia.
Operaciones criptográficas
En AWS KMS, las operaciones criptográficas son API operaciones que utilizan KMS claves para proteger los datos. Como KMS las claves permanecen dentro AWS KMS, debe llamar AWS KMS para usar una KMS clave en una operación criptográfica.
Para realizar operaciones criptográficas con KMS claves, utilice AWS SDKs, AWS Command Line Interface (AWS CLI) o. AWS Tools for PowerShell No puede realizar operaciones criptográficas en la consola de AWS KMS . Para ver ejemplos de cómo llamar a las operaciones criptográficas en varios lenguajes de programación, consulte Ejemplos de código para AWS KMS usar AWS SDKs.
En la siguiente tabla se enumeran las operaciones AWS KMS criptográficas. También muestra el tipo de clave y los requisitos de uso de KMS claves para las claves utilizadas en la operación.
Operación | Tipo de clave | Uso de clave |
---|---|---|
Decrypt | Simétrico o asimétrico | ENCRYPT_DECRYPT |
DeriveSharedSecret | Asimétrica | KEY_AGREEMENT |
Encrypt | Simétrico o asimétrico | ENCRYPT_DECRYPT |
GenerateDataKey | Simétrica | ENCRYPT_DECRYPT |
GenerateDataKeyPair | Simétrica [1] No se admite en KMS las claves de los almacenes de claves personalizadas. |
ENCRYPT_DECRYPT |
GenerateDataKeyPairWithoutPlaintext | Simétrica [1] No se admite en KMS las claves de los almacenes de claves personalizadas. |
ENCRYPT_DECRYPT |
GenerateDataKeyWithoutPlaintext | Simétrica | ENCRYPT_DECRYPT |
GenerateMac | HMAC | GENERATE_VERIFY_MAC |
GenerateRandom | N/A. En esta operación no se utiliza ninguna KMS clave. | N/A |
ReEncrypt | Simétrico o asimétrico | ENCRYPT_DECRYPT |
Sign | Asimétrica | SIGN_VERIFY |
Verificar | Asimétrica | SIGN_VERIFY |
VerifyMac | HMAC | GENERATE_VERIFY_MAC |
[1] Genera un par de claves de datos asimétricas que está protegido por una clave de cifrado KMS simétrica.
Para obtener información acerca de los permisos para operaciones criptográficas, consulte AWS KMS permisos.
Para que todos los usuarios puedan AWS KMS responder a sus necesidades y ofrecer un alto nivel de funcionalidad, AWS KMS establece cuotas en el número de operaciones criptográficas llamadas por segundo. Para obtener más información, consulte Cuotas compartidas para operaciones criptográficas.