Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS KMS penting kriptografi

AWS KMS menggunakan algoritma kriptografi yang dapat dikonfigurasi sehingga sistem dapat dengan cepat bermigrasi dari satu algoritma yang disetujui, atau mode, ke yang lain. Set default awal algoritma kriptografi telah dipilih dari algoritma Federal Information Processing Standard (FIPS-approved) untuk properti keamanan dan kinerjanya.

Entropi dan pembangkitan bilangan acak

AWS KMS Generasi kunci dilakukan di AWS KMS HSMs. HSMsImplementasi generator bilangan acak hibrida yang menggunakan NIST SP800-90A Deterministic Random Bit Generator (DRBG) CTR_DRBG using AES-256. Pembangkit tersebut ditempatkan dengan generator bit acak nondeterministik dengan 384-bit entropi dan diperbarui dengan entropi tambahan untuk memberikan prediksi resistansi pada setiap panggilan untuk bahan kriptografi.

Operasi kunci simetris (enkripsi saja)

Semua perintah enkripsi kunci simetris yang digunakan dalam HSMs menggunakan Advanced Encryption Standards (AES), dalam Galois Counter Mode (GCM) menggunakan kunci 256-bit. Panggilan analog untuk mendekripsi menggunakan fungsi invers.

AES- GCM adalah skema enkripsi yang diautentikasi. Selain mengenkripsi plaintext untuk menghasilkan ciphertext, ia menghitung tag otentikasi atas ciphertext dan data tambahan yang otentikasi diperlukan (tambahan data yang diautentikasi, atau). AAD Tag otentikasi membantu memastikan bahwa data berasal dari sumber yang diakui dan bahwa ciphertext dan AAD belum dimodifikasi.

Seringkali, AWS menghilangkan dimasukkannya AAD dalam deskripsi kami, terutama ketika mengacu pada enkripsi kunci data. Hal ini tersirat oleh teks sekitarnya dalam kasus ini bahwa struktur yang akan dienkripsi dipartisi antara plaintext yang akan dienkripsi dan cleartext yang akan dilindungi. AAD

AWS KMS menyediakan opsi bagi Anda untuk mengimpor materi kunci ke dalam AWS KMS key alih-alih mengandalkan AWS KMS untuk menghasilkan materi utama. Bahan kunci impor ini dapat dienkripsi menggunakan RSAES- OAEP untuk melindungi kunci selama transportasi ke. AWS KMS HSM Pasangan RSA kunci dihasilkan pada AWS KMS HSMs. Materi kunci yang diimpor didekripsi pada AWS KMS HSM dan dienkripsi ulang di bawah AES - GCM sebelum disimpan oleh layanan.

Operasi kunci asimetris (enkripsi, penandatanganan digital dan verifikasi tanda tangan)

AWS KMS mendukung penggunaan operasi kunci asimetris untuk enkripsi, tanda tangan digital, dan operasi perjanjian kunci. Operasi kunci asimetris bergantung pada kunci publik dan private key pair terkait matematis yang dapat Anda gunakan untuk enkripsi dan dekripsi, penandatanganan dan verifikasi tanda tangan, atau memperoleh rahasia bersama. Kunci pribadi tidak pernah meninggalkan yang tidak AWS KMS terenkripsi. Anda dapat menggunakan kunci publik di dalam AWS KMS dengan memanggil AWS KMS API operasi, atau mengunduh kunci publik dan menggunakannya di luar AWS KMS.

AWS KMS mendukung cipher asimetris berikut.

Fungsi derivasi kunci

Fungsi derivasi kunci digunakan untuk mendapatkan kunci tambahan dari rahasia awal atau kunci. AWS KMS menggunakan fungsi derivasi kunci (KDF) untuk mendapatkan kunci per panggilan untuk setiap enkripsi di bawah file. AWS KMS key Semua KDF operasi menggunakan mode KDF in counter menggunakan HMAC [FIPS197] dengan SHA256 [FIPS180]. Kunci turunan 256-bit digunakan dengan AES - GCM untuk mengenkripsi atau mendekripsi data dan kunci pelanggan.

AWS KMS penggunaan internal tanda tangan digital

Tanda tangan digital juga digunakan untuk mengautentikasi perintah dan komunikasi antara entitas AWS KMS . Semua entitas layanan memiliki elliptic curve digital signature algorithm (ECDSA) key pair. Mereka tampil ECDSA seperti yang didefinisikan dalam Penggunaan Algoritma Kriptografi Kurva Elliptik (ECC) dalam Sintaks Pesan Kriptografi (CMS) dan X9.62-2005: Kriptografi Kunci Publik untuk Industri Jasa Keuangan: Algoritma Tanda Tangan Digital Kurva Elliptik (). ECDSA Entitas menggunakan algoritma hash aman yang didefinisikan dalam Federal Information Processing Standards Publications, FIPS PUB 180-4, yang dikenal sebagai. SHA384 Kunci dihasilkan pada kurva secp384r1 (-P384). NIST

Enkripsi amplop

Saat Anda mengenkripsi data, data Anda terlindungi, tetapi Anda harus melindungi kunci enkripsi. Salah satu strateginya adalah dengan mengenkripsikannya. Enkripsi amplop adalah praktik mengenkripsi data plaintext dengan kunci data, kemudian mengenkripsi kunci data di bawah kunci lain.

Anda bahkan dapat mengenkripsi kunci enkripsi data di bawah kunci enkripsi lain, dan mengenkripsi kunci enkripsi tersebut di bawah kunci enkripsi lain. Namun pada akhirnya, satu kunci harus tetap dalam plaintext sehingga Anda dapat mendekripsi kunci dan data Anda. Kunci enkripsi kunci plaintext tingkat atas ini dikenal sebagai kunci root.

AWS KMS membantu Anda melindungi kunci enkripsi Anda dengan menyimpan dan mengelolanya dengan aman. Kunci root yang disimpan di AWS KMS, dikenal sebagai AWS KMS keys, tidak pernah membiarkan modul keamanan perangkat keras yang AWS KMS FIPS divalidasi tidak terenkripsi. Untuk menggunakan KMS kunci, Anda harus menelepon AWS KMS.

Konstruksi basic yang digunakan dalam banyak sistem kriptografi adalah enkripsi amplop. Enkripsi amplop menggunakan dua kunci kriptografi atau lebih untuk mengamankan pesan. Biasanya, satu kunci berasal dari kunci statis jangka panjang k, dan kunci lainnya adalah kunci per-pesan msgKey, yang dihasilkan untuk mengenkripsi pesan. Amplop dibentuk dengan mengenkripsi pesan: ciphertext = Encrypt (, message). msgKey Kemudian kunci pesan dienkripsi dengan kunci statis jangka panjang: encKey = Enkripsi (k,). msgKey Akhirnya, dua nilai (encKey, ciphertext) dikemas ke dalam struktur tunggal, atau pesan terenkripsi amplop.

Penerima, dengan akses ke k, dapat membuka pesan yang diselimuti dengan terlebih dahulu mendekripsi kunci terenkripsi dan kemudian mendekripsi pesan.

AWS KMS menyediakan kemampuan untuk mengelola kunci statis jangka panjang ini dan mengotomatiskan proses enkripsi amplop data Anda.

Selain kemampuan enkripsi yang disediakan dalam AWS KMS layanan, AWS Enkripsi SDK menyediakan pustaka enkripsi amplop sisi klien. Anda dapat menggunakan perpustakaan ini untuk melindungi data Anda dan kunci enkripsi yang digunakan untuk mengenkripsi data tersebut.

Enkripsi amplop menawarkan beberapa manfaat:

Operasi kriptografi

Dalam AWS KMS, operasi kriptografi adalah API operasi yang menggunakan KMS kunci untuk melindungi data. Karena KMS kunci tetap berada di dalam AWS KMS, Anda harus memanggil AWS KMS untuk menggunakan KMS kunci dalam operasi kriptografi.

Untuk melakukan operasi kriptografi dengan KMS kunci, gunakan AWS SDKs, AWS Command Line Interface (AWS CLI), atau. AWS Tools for PowerShell Anda tidak dapat melakukan operasi kriptografi di konsol AWS KMS . Untuk contoh memanggil operasi kriptografi dalam beberapa bahasa pemrograman, lihat Contoh kode untuk AWS KMS menggunakan AWS SDKs.

Tabel berikut mencantumkan operasi AWS KMS kriptografi. Ini juga menunjukkan jenis kunci dan persyaratan penggunaan kunci untuk KMS kunci yang digunakan dalam operasi.

[1] Menghasilkan data key pair asimetris yang dilindungi oleh kunci enkripsi KMS simetris.

Untuk informasi tentang izin untuk operasi kriptografi, lihat AWS KMS izin.

Untuk membuat AWS KMS responsif dan sangat fungsional untuk semua pengguna, AWS KMS menetapkan kuota pada jumlah operasi kriptografi yang disebut dalam setiap detik. Untuk detailnya, lihat Kuota bersama untuk operasi kriptografis.