Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kunci HMAC di AWS KMS
Kunci KMS Kode Otentikasi Pesan Berbasis Hash (HMAC) adalah kunci simetris yang Anda gunakan untuk membuat dan memverifikasi di dalamnya. HMACs AWS KMS Materi kunci unik yang terkait dengan setiap kunci HMAC KMS menyediakan kunci rahasia yang dibutuhkan algoritma HMAC. Anda dapat menggunakan kunci HMAC KMS dengan GenerateMac
dan VerifyMac
operasi untuk memverifikasi integritas dan keaslian data di dalamnya. AWS KMS
Algoritma HMAC menggabungkan fungsi hash kriptografi dan kunci rahasia bersama. Mereka mengambil pesan dan kunci rahasia, seperti materi kunci dalam kunci HMAC KMS, dan mengembalikan kode atau tag ukuran tetap yang unik. Jika bahkan satu karakter pesan berubah, atau jika kunci rahasia tidak identik, tag yang dihasilkan sama sekali berbeda. Dengan membutuhkan kunci rahasia, HMAC juga memberikan keaslian; tidak mungkin untuk menghasilkan tag HMAC identik tanpa kunci rahasia. HMACs Kadang-kadang disebut tanda tangan simetris, karena mereka bekerja seperti tanda tangan digital, tetapi menggunakan satu kunci untuk penandatanganan dan verifikasi.
Kunci HMAC KMS dan algoritma HMAC yang AWS KMS menggunakan sesuai dengan standar industri yang didefinisikan dalam RFC 2104.
Anda dapat menggunakan kunci HMAC KMS untuk menentukan keaslian pesan, seperti JSON Web Token (JWT), informasi kartu kredit token, atau kata sandi yang dikirimkan. Mereka juga dapat digunakan sebagai Secure Key Derivation Functions (KDFs), terutama dalam aplikasi yang membutuhkan kunci deterministik.
Kunci HMAC KMS memberikan keuntungan dibandingkan HMACs dari perangkat lunak aplikasi karena materi utama dihasilkan dan digunakan sepenuhnya di dalam AWS KMS, tunduk pada kontrol akses yang Anda tetapkan pada kunci.
Tip
Praktik terbaik merekomendasikan agar Anda membatasi waktu selama mekanisme penandatanganan apa pun, termasuk HMAC, efektif. Ini mencegah serangan di mana aktor menggunakan pesan yang ditandatangani untuk menetapkan validitas berulang kali atau lama setelah pesan digantikan. Tag HMAC tidak menyertakan stempel waktu, tetapi Anda dapat menyertakan stempel waktu dalam token atau pesan untuk membantu Anda mendeteksi kapan waktunya untuk menyegarkan HMAC.
- Operasi kriptografi yang didukung
-
Kunci HMAC KMS hanya mendukung operasi
GenerateMac
danVerifyMac
kriptografi. Anda tidak dapat menggunakan kunci HMAC KMS untuk mengenkripsi data atau menandatangani pesan, atau menggunakan jenis kunci KMS lainnya dalam operasi HMAC. Saat Anda menggunakanGenerateMac
operasi, Anda menyediakan pesan hingga 4.096 byte, kunci HMAC KMS, dan algoritma MAC yang kompatibel dengan spesifikasi kunci HMAC, dan menghitung tag HMAC.GenerateMac
Untuk memverifikasi tag HMAC, Anda harus menyediakan tag HMAC, dan pesan yang sama, kunci HMAC KMS, dan algoritma MAC yangGenerateMac
digunakan untuk menghitung tag HMAC asli.VerifyMac
Operasi menghitung tag HMAC dan memverifikasi bahwa itu identik dengan tag HMAC yang disediakan. Jika input dan tag HMAC yang dihitung tidak identik, verifikasi gagal.Jika Anda membuat kunci KMS untuk mengenkripsi data dalam suatu AWS layanan, gunakan kunci enkripsi simetris. Anda tidak dapat menggunakan kunci HMAC KMS.
- Daerah
-
Kunci HMAC KMS didukung di semua Wilayah AWS yang AWS KMS mendukung.
Pelajari selengkapnya
-
Untuk membuat kunci HMAC KMS, lihat. Buat kunci HMAC KMS
-
Untuk membuat kunci KMS HMAC Multi-wilayah, lihat. Kunci Multi-Region di AWS KMS
-
Untuk memeriksa perbedaan dalam kebijakan kunci default yang ditetapkan AWS KMS konsol untuk kunci HMAC KMS, lihat. Memungkinkan pengguna kunci untuk menggunakan kunci KMS untuk operasi kriptografi
-
Untuk mengidentifikasi dan melihat kunci HMAC KMS, lihat. Identifikasi kunci HMAC KMS
-
Untuk mempelajari cara menggunakan HMACs token web JSON, lihat Cara melindungi HMACs bagian dalam AWS KMS
di Blog AWS Keamanan. -
Dengarkan podcast: Memperkenalkan HMACs AWS Key Management Service
di The Official AWS Podcast.