HMACentrez les touches AWS KMS

Les KMS clés du code d'authentification des messages basé sur le hachage (HMAC) sont des clés symétriques que vous utilisez pour les générer et les vérifierHMACs. AWS KMS Le matériel clé unique associé à chaque HMAC KMS clé fournit la clé secrète dont les HMAC algorithmes ont besoin. Vous pouvez utiliser une HMAC KMS clé avec les VerifyMacopérations GenerateMac et pour vérifier l'intégrité et l'authenticité des données qu'elle contient AWS KMS.

HMACles algorithmes combinent une fonction de hachage cryptographique et une clé secrète partagée. Ils prennent un message et une clé secrète, tels que le contenu clé d'une HMAC KMS clé, et renvoient un code ou une étiquette unique de taille fixe. Si même un caractère du message change ou si la clé secrète n'est pas identique, la balise obtenue est entièrement différente. En exigeant une clé secrète, cela garantit HMAC également l'authenticité ; il est impossible de générer une HMAC étiquette identique sans la clé secrète. HMACssont parfois appelées signatures symétriques, car elles fonctionnent comme des signatures numériques, mais utilisent une seule clé pour la signature et la vérification.

HMACKMSles clés et les HMAC algorithmes AWS KMS utilisés sont conformes aux normes de l'industrie définies en RFC2104. L' AWS KMS GenerateMacopération génère des HMAC balises standard. HMACKMSles clés sont générées dans des modules de sécurité AWS KMS matériels certifiés dans le cadre du programme de validation des modules cryptographiques FIPS 140-2 (sauf dans les régions de Chine (Pékin) et de Chine (Ningxia)) et ne sont jamais non chiffrées. AWS KMS Pour utiliser une HMAC KMS clé, il faut appeler AWS KMS.

Vous pouvez utiliser des HMAC KMS clés pour déterminer l'authenticité d'un message, tel qu'un jeton JSON Web (JWT), des informations de carte de crédit tokenisées ou un mot de passe soumis. Elles peuvent également être utilisées comme fonctions de dérivation de clés sécurisées (KDFs), en particulier dans les applications qui nécessitent des clés déterministes.

HMACKMSles clés offrent un avantage par rapport aux logiciels HMACs d'application car le contenu clé est généré et utilisé entièrement dans le logiciel AWS KMS, sous réserve des contrôles d'accès que vous définissez sur la clé.

Astuce

Les meilleures pratiques recommandent de limiter la durée pendant laquelle tout mécanisme de signature, y compris unHMAC, est efficace. Cela dissuade une attaque où l'acteur utilise un message signé pour établir la validité à plusieurs reprises ou longtemps après le remplacement du message. HMACles balises n'incluent pas d'horodatage, mais vous pouvez inclure un horodatage dans le jeton ou le message pour vous aider à détecter le moment où il est temps d'actualiser le. HMAC

Opérations cryptographiques prises en charge

HMACKMSles clés ne prennent en charge que GenerateMacles opérations VerifyMaccryptographiques et. Vous ne pouvez pas utiliser de HMAC KMS clés pour chiffrer des données ou signer des messages, ni utiliser aucun autre type de KMS clé dans les HMAC opérations. Lorsque vous utilisez cette GenerateMac opération, vous fournissez un message de 4 096 octets maximum, une HMAC KMS clé et l'MACalgorithme compatible avec la spécification de la HMAC clé, puis vous calculez la baliseGenerateMac. HMAC Pour vérifier une HMAC balise, vous devez fournir la HMAC balise, ainsi que le même message, la même HMAC KMS clé et le même MAC algorithme que ceux GenerateMac utilisés pour calculer la HMAC balise d'origine. L'VerifyMacopération calcule le HMAC tag et vérifie qu'il est identique au tag fourniHMAC. Si les HMAC balises d'entrée et calculées ne sont pas identiques, la vérification échoue.

HMACKMSles clés ne prennent pas en charge la rotation automatique des clés et vous ne pouvez pas créer de HMAC KMS clé dans un magasin de clés personnalisé.

Si vous créez une KMS clé pour chiffrer les données d'un AWS service, utilisez une clé de chiffrement symétrique. Vous ne pouvez pas utiliser de HMAC KMS clé.

Régions

HMACKMSles touches sont prises en charge dans tous Régions AWS les AWS KMS supports.

En savoir plus

Pour créer des HMAC KMS clés, voirCréation d'une HMAC KMS clé.
Pour créer des HMAC KMS clés multirégionales, voirClés multirégionales dans AWS KMS.
Pour examiner la différence entre la politique de clé par défaut définie par la AWS KMS console pour HMAC KMS les clés, consultezPermet aux utilisateurs clés d'utiliser une KMS clé pour des opérations cryptographiques.
Pour identifier et afficher HMAC KMS les clés, voirIdentifier les HMAC KMS clés.
Pour en savoir plus sur l'utilisation HMACs de jetons JSON Web pour créer des jetons Web, consultez la section Comment protéger HMACs l'intérieur AWS KMS dans le blog sur la AWS sécurité.
Écoutez un podcast : Présentation HMACs de AWS Key Management Service on The Official AWS Podcast.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Clés asymétriques

Clés multi-région