Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Chaves HMAC em AWS KMS

PDF
RSS
Modo de foco
Chaves HMAC em AWS KMS - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As chaves KMS do Código de Autenticação de Mensagens Baseado em Hash (HMAC) são chaves simétricas que você usa para gerar e verificar dentro delas. HMACs AWS KMS O material exclusivo de chave associado a cada chave do KMS de HMAC fornece a chave secreta exigida pelos algoritmos de HMAC. Você pode usar uma chave do KMS de HMAC com as operações GenerateMac e VerifyMac para verificar a integridade e a autenticidade dos dados no AWS KMS.

Os algoritmos de HMAC combinam uma função de hash criptográfica e uma chave secreta compartilhada. Eles pegam uma mensagem e uma chave secreta, como o material da chave em uma chave do KMS de HMAC, e retornam um código ou etiqueta exclusiva e de tamanho fixo. Se até mesmo um caractere da mensagem mudar, ou se a chave secreta não for idêntica, a etiqueta resultante será totalmente diferente. Ao exigir uma chave secreta, o HMAC também fornece autenticidade; é impossível gerar uma tag HMAC idêntica sem a chave secreta. HMACs às vezes são chamadas de assinaturas simétricas, porque funcionam como assinaturas digitais, mas usam uma única chave para assinatura e verificação.

As chaves HMAC KMS e os algoritmos HMAC AWS KMS usados estão em conformidade com os padrões do setor definidos na RFC 2104. A AWS KMS GenerateMacoperação gera tags HMAC padrão. As chaves HMAC KMS são geradas em módulos de segurança de AWS KMS hardware certificados pelo Programa de Validação de Módulos Criptográficos FIPS 140-3 (exceto nas regiões da China (Pequim) e China (Ningxia)) e nunca saem sem criptografia. AWS KMS Para usar uma chave do KMS de HMAC, é necessário chamar o AWS KMS.

Você pode usar chaves do KMS de HMAC para determinar a autenticidade de uma mensagem, como um JSON Web Token (JWT), informações tokenizadas de cartão de crédito ou uma senha enviada. Eles também podem ser usados como Funções de Derivação de Chave (KDFs) seguras, especialmente em aplicativos que exigem chaves determinísticas.

As chaves HMAC KMS oferecem uma vantagem em relação ao HMACs software aplicativo porque o material da chave é gerado e usado inteiramente internamente AWS KMS, sujeito aos controles de acesso que você define na chave.

dica

As práticas recomendadas sugerem que você limite o tempo durante o qual qualquer mecanismo de assinatura, inclusive um HMAC, permanece vigente. Isso dissuade um ataque no qual o protagonista usa uma mensagem assinada para estabelecer a validade repetidamente ou muito depois que a mensagem é substituída. As etiquetas de HMAC não incluem um carimbo de data/hora, mas você pode incluir um carimbo de data/hora no token ou na mensagem para ajudar você a detectar quando está na hora de atualizar o HMAC.

Operações criptográficas compatíveis

As chaves do KMS de HMAC só são compatíveis com as operações criptográficas GenerateMac e VerifyMac. Você não pode usar chaves do KMS de HMAC para criptografar dados ou assinar mensagens, nem usar nenhum outro tipo de chave do KMS em operações de HMAC. Ao usar a operação GenerateMac, você fornece uma mensagem de até 4.096 bytes, uma chave do KMS de HMAC e o algoritmo de Message authentication code (MAC – Código de autenticação de mensagem) compatível com a especificação de chave de HMAC, e GenerateMac calcula a etiqueta de HMAC. Para verificar uma etiqueta de HMAC, você deve fornecer a etiqueta de HMAC e a mesma mensagem, a chave do KMS de HMAC e o algoritmo de MAC que GenerateMac usou para calcular a etiqueta original de HMAC. A operação VerifyMac calcula a etiqueta de HMAC e verifica se ela é idêntica à etiqueta de HMAC fornecida. Se as etiquetas de HMAC recebidas e calculadas não forem idênticas, a verificação falhará.

As chaves do KMS de HMAC não são compatíveis com alternância automática de chaves e não é possível criar uma chave do KMS de HMAC em um armazenamento personalizado de chaves.

Se você estiver criando uma chave KMS para criptografar dados em um AWS serviço, use uma chave de criptografia simétrica. Não é possível usar uma chave do KMS de HMAC.

Regiões

As chaves HMAC KMS são suportadas em todos os Regiões da AWS suportes. AWS KMS

Saiba mais

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.