HMACchiavi dentro AWS KMS

Le chiavi Hash Based Message Authentication Code (HMAC) sono KMS chiavi simmetriche utilizzate per generare e verificare all'interno. HMACs AWS KMS Il materiale chiave unico associato a ciascuna HMAC KMS chiave fornisce la chiave segreta richiesta dagli algoritmiHMAC. È possibile utilizzare una HMAC KMS chiave con le VerifyMacoperazioni GenerateMac and per verificare l'integrità e l'autenticità dei dati all'interno. AWS KMS

HMACgli algoritmi combinano una funzione hash crittografica e una chiave segreta condivisa. Accettano un messaggio e una chiave segreta, ad esempio il materiale chiave contenuto in una HMAC KMS chiave, e restituiscono un codice o un tag univoco a dimensione fissa. Se un solo carattere del messaggio cambia o se la chiave segreta non è identica, il tag risultante è completamente diverso. Richiedendo una chiave segreta, garantisce HMAC anche l'autenticità; è impossibile generare un HMAC tag identico senza la chiave segreta. HMACsa volte vengono chiamate firme simmetriche, perché funzionano come le firme digitali, ma utilizzano un'unica chiave sia per la firma che per la verifica.

HMACKMSle chiavi e gli HMAC algoritmi utilizzati sono conformi agli standard di AWS KMS settore definiti nel 2104. RFC L' AWS KMS GenerateMacoperazione genera tag standard. HMAC HMACKMSle chiavi vengono generate in moduli di sicurezza AWS KMS hardware certificati nell'ambito del programma di convalida dei moduli crittografici FIPS 140-2 (tranne nelle regioni di Cina (Pechino) e Cina (Ningxia)) e non vengono mai lasciate non crittografate. AWS KMS Per utilizzare una chiave, è necessario chiamare HMACKMS. AWS KMS

È possibile utilizzare HMAC KMS le chiavi per determinare l'autenticità di un messaggio, ad esempio un JSON Web Token (JWT), informazioni tokenizzate sulla carta di credito o una password inviata. Possono anche essere utilizzate come funzioni sicure di derivazione delle chiavi (KDFs), specialmente nelle applicazioni che richiedono chiavi deterministiche.

HMACKMSle chiavi offrono un vantaggio HMACs rispetto al software applicativo perché il materiale chiave viene generato e utilizzato interamente all'interno AWS KMS, in base ai controlli di accesso impostati sulla chiave.

Suggerimento

Le migliori pratiche consigliano di limitare il periodo durante il quale qualsiasi meccanismo di firma, incluso unHMAC, è efficace. Ciò scoraggia un attacco in cui l'attore utilizza un messaggio firmato per stabilire la validità ripetutamente o molto tempo dopo la sostituzione del messaggio. HMACi tag non includono un timestamp, ma puoi includerlo nel token o nel messaggio per aiutarti a rilevare quando è il momento di aggiornare il. HMAC

Operazioni crittografiche supportate

HMACKMSle chiavi supportano solo le GenerateMacoperazioni VerifyMaccrittografiche. Non è possibile utilizzare HMAC KMS le chiavi per crittografare dati o firmare messaggi o utilizzare qualsiasi altro tipo di KMS chiave nelle HMAC operazioni. Quando si utilizza l'GenerateMacoperazione, si fornisce un messaggio di massimo 4.096 byte, una HMAC KMS chiave e un MAC algoritmo compatibile con le specifiche della HMAC chiave e si calcola il tag. GenerateMac HMAC Per verificare un HMAC tag, è necessario fornire il HMAC tag e lo stesso messaggio, HMAC KMS chiave e MAC algoritmo GenerateMac utilizzati per calcolare il tag originale. HMAC L'VerifyMacoperazione calcola il HMAC tag e verifica che sia identico al tag fornito. HMAC Se i HMAC tag di input e quelli calcolati non sono identici, la verifica ha esito negativo.

HMACKMSle chiavi non supportano la rotazione automatica delle chiavi e non è possibile creare una HMAC KMS chiave in un archivio chiavi personalizzato.

Se state creando una KMS chiave per crittografare i dati in un AWS servizio, utilizzate una chiave di crittografia simmetrica. Non è possibile utilizzare alcuna chiave. HMAC KMS

Regioni

HMACKMSle chiavi sono supportate in tutto Regioni AWS ciò che AWS KMS supporta.

Ulteriori informazioni

Per creare HMAC KMS chiavi, vediCrea una HMAC KMS chiave.
Per creare HMAC KMS chiavi multiregionali, vedereChiavi multiregionali in ingresso AWS KMS.
Per esaminare la differenza nella politica dei tasti predefinita impostata dalla AWS KMS console per HMAC KMS le chiavi, consultaConsente agli utenti chiave di utilizzare una KMS chiave per operazioni crittografiche.
Per identificare e visualizzare HMAC KMS le chiavi, vedereIdentifica le chiavi HMAC KMS.
Per ulteriori informazioni sull'utilizzo HMACs per creare token JSON Web, consulta How to protect HMACs inside AWS KMS nel AWS Security Blog.
Ascolta un podcast: Introduzione HMACs a The AWS Key Management Service AWS Official Podcast.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Chiavi asimmetriche

Chiavi multi-regione