Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Les clés KMS à code d'authentification des messages basé sur le hachage (HMAC) sont des clés symétriques que vous utilisez pour les générer et les vérifier. HMACs AWS KMS Les éléments de clé uniques associés à chaque clé KMS HMAC fournissent la clé secrète requise par les algorithmes HMAC. Vous pouvez utiliser une clé KMS HMAC avec les opérations GenerateMac
et VerifyMac
pour vérifier l'intégrité et l'authenticité des données dans AWS KMS.
Les algorithmes HMAC combinent une fonction de hachage cryptographique et une clé secrète partagée. Ils prennent un message et une clé secrète, comme les éléments de clé d'une clé KMS HMAC, et renvoient un code unique de taille fixe ou une balise. Si même un caractère du message change ou si la clé secrète n'est pas identique, la balise obtenue est entièrement différente. En exigeant une clé secrète, HMAC garantit également l'authenticité ; il est impossible de générer une étiquette HMAC identique sans la clé secrète. HMACs sont parfois appelées signatures symétriques, car elles fonctionnent comme des signatures numériques, mais utilisent une seule clé pour la signature et la vérification.
Les clés HMAC KMS et les algorithmes HMAC AWS KMS utilisés sont conformes aux normes industrielles définies dans la RFC
Vous pouvez utiliser les clés KMS HMAC pour déterminer l'authenticité d'un message, comme un jeton Web JSON (JWT), des informations de carte de crédit tokenisée ou un mot de passe envoyé. Elles peuvent également être utilisées comme fonctions de dérivation de clés sécurisées (KDFs), en particulier dans les applications qui nécessitent des clés déterministes.
Les clés HMAC KMS offrent un avantage par rapport aux logiciels HMACs d'application, car le contenu clé est généré et utilisé entièrement dans le logiciel AWS KMS, sous réserve des contrôles d'accès que vous définissez sur la clé.
Astuce
Les bonnes pratiques recommandent de limiter la durée pendant laquelle tout mécanisme de signature, y compris un HMAC, est effectif. Cela dissuade une attaque où l'acteur utilise un message signé pour établir la validité à plusieurs reprises ou longtemps après le remplacement du message. Les balises HMAC n'incluent pas d'horodatage, mais vous pouvez inclure un horodatage dans le jeton ou le message pour vous aider à détecter le moment où il convient d'actualiser le HMAC.
- Opérations cryptographiques prises en charge
-
Les clés HMAC KMS prennent uniquement en charge les opérations de chiffrement
GenerateMac
etVerifyMac
. Vous ne pouvez pas utiliser de clés KMS HMAC pour chiffrer des données ou signer des messages, ni pour utiliser tout autre type de clé KMS dans les opérations HMAC. Lorsque vous utilisez l'opérationGenerateMac
, vous fournissez un message pouvant atteindre 4 096 octets, une clé KMS HMAC et l'algorithme MAC compatible avec la spécification de clé HMAC, tandis queGenerateMac
calcule la balise HMAC. Pour vérifier une balise HMAC, vous devez fournir la balise HMAC, ainsi que le même message, la clé KMS HMAC et l'algorithme MAC queGenerateMac
a utilisé pour calculer la balise HMAC d'origine. L'opérationVerifyMac
calcule la balise HMAC et vérifie qu'elle est identique à la balise HMAC fournie. Si les balises HMAC en entrée et calculées ne sont pas identiques, la vérification échoue.Les clés KMS HMAC ne prennent pas en charge la rotation automatique des clés et vous ne pouvez pas créer de clé KMS HMAC dans un magasin de clés personnalisé.
Si vous créez une clé KMS pour chiffrer les données d'un AWS service, utilisez une clé de chiffrement symétrique. Vous ne pouvez pas utiliser de clé KMS HMAC.
- Régions
-
Les clés HMAC KMS sont prises en charge dans tous Régions AWS les AWS KMS supports.
En savoir plus
-
Pour créer des clés HMAC KMS, voirCréer une clé KMS HMAC.
-
Pour créer des clés HMAC KMS multirégionales, consultez. Clés multirégionales dans AWS KMS
-
Pour examiner la différence entre la politique de clé par défaut définie par la AWS KMS console pour les clés HMAC KMS, consultezPermet aux utilisateurs de clés d'utiliser une clé KMS pour les opérations de chiffrement.
-
Pour identifier et afficher les clés HMAC KMS, consultezIdentifier les clés HMAC KMS.
-
Pour en savoir plus sur l'utilisation HMACs de jetons Web JSON pour créer des jetons Web JSON, consultez la section Comment protéger HMACs l'intérieur AWS KMS
dans le blog sur la AWS sécurité. -
Écoutez un podcast : Présentation HMACs de AWS Key Management Service
on The Official AWS Podcast.