Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Primitivas criptográficas
AWS KMS utiliza algoritmos criptográficos configurables para que el sistema pueda migrar rápidamente de un algoritmo o modo aprobado a otro. El conjunto inicial predeterminado de algoritmos criptográficos se ha seleccionado de algoritmos de los Estándares Federales de Procesamiento de la Información (aprobado por FIPS) para sus propiedades de seguridad y rendimiento.
Entropía y generación de números aleatorios
AWS KMS la generación de claves se realiza en. AWS KMS HSMs HSMs Implemente un generador híbrido de números aleatorios que utilice el NIST
SP800-90A Deterministic Random Bit Generator (DRBG) CTR_DRBG using AES-256
Operaciones de clave simétrica (solo cifrado)
Todos los comandos de cifrado con clave simétrica que se utilizan utilizan estándares de cifrado avanzados (AES)
AES-GCM es un esquema de cifrado autenticado. Además de cifrar texto sin formato a fin de producir texto cifrado, calcula una etiqueta de autenticación sobre el texto cifrado y los datos adicionales para los que se requiere autenticación (datos autenticados adicionales o AAD). La etiqueta de autenticación ayuda a garantizar que los datos provengan de la supuesta fuente y que el texto cifrado y los AAD no se hayan modificado.
Con frecuencia, AWS omite la inclusión del AAD en nuestras descripciones, especialmente cuando se refiere al cifrado de claves de datos. En estos casos, el texto circundante implica que la estructura que se cifrará se divide entre el texto sin formato que se cifrará y los AAD de texto sin cifrar que se protegerán.
AWS KMS ofrece una opción para importar el material clave a un, en AWS KMS key lugar de confiar en él AWS KMS para generar el material clave. Este material clave importado se puede cifrar mediante RSAES-OAEP o RSAES
Operaciones de clave asimétrica (cifrado, firma digital y verificación de firmas)
AWS KMS admite el uso de operaciones de clave asimétricas tanto para las operaciones de cifrado como para las de firma digital. Las operaciones de clave asimétrica se basan en un par de claves privadas y públicas relacionadas de forma matemática que puede utilizar para el cifrado y descifrado o la firma y verificación de la firma, pero no ambos. La clave privada nunca sale AWS KMS sin cifrar. Puedes usar la clave pública interna AWS KMS llamando a las operaciones de la AWS KMS API, o bien descargar la clave pública y usarla fuera de AWS KMS ella.
AWS KMS admite dos tipos de cifrados asimétricos.
-
RSA-OAEP (para el cifrado) y RSA-PSS y RSA-PKCS-#1-v1_5 (para la firma y verificación): es compatible con longitudes de clave de RSA (en bits): 2048, 3072 y 4096 para diferentes requisitos de seguridad.
-
Curva elíptica (ECC): se utiliza de forma exclusiva para la firma y la verificación. Es compatible con curvas ECC: NIST P256, P384, P521, SECP 256k1.
Funciones de derivación de claves
Una función de derivación de claves se utiliza para derivar claves adicionales de una clave o secreto inicial. AWS KMS utiliza una función de derivación de claves (KDF) a fin de derivar claves por llamada para cada cifrado bajo una AWS KMS key. Todas las operaciones de KDF utilizan el KDF en modo contador
AWS KMS uso interno de firmas digitales
Las firmas digitales también se utilizan para autenticar comandos y comunicaciones entre entidades de AWS KMS
. Todas las entidades de servicio tienen un par de claves de algoritmo de firma digital de curva elíptica (ECDSA). Emplean ECDSA como se define en el Uso de algoritmos de criptografía de curva elíptica (ECC) en la sintaxis de mensajes criptográficos (CMS)
Cifrado doble
Una construcción básica utilizada en muchos sistemas criptográficos es el cifrado doble. El cifrado doble utiliza dos o más claves criptográficas para proteger un mensaje. Por lo general, una clave se deriva de una clave estática K de plazo más largo y otra clave es una clave por mensaje, msgKey, que se genera para cifrar el mensaje. El doble cifrado se forma al cifrar el mensaje: ciphertext = Encrypt(msgKey, message). A continuación, la clave del mensaje se cifra con la clave estática a largo plazo: encKey = Encrypt(k, msgKey). Por último, los dos valores (encKey, ciphertext) se empaquetan en una sola estructura, o mensaje con cifrado doble.
El destinatario, con acceso a la K, puede abrir el mensaje con doble cifrado al descifrar primero la clave cifrada y, a continuación, al descifrar el mensaje.
AWS KMS ofrece la posibilidad de gestionar estas claves estáticas a largo plazo y automatizar el proceso de cifrado de sobres de sus datos.
Además de las funciones de cifrado incluidas en el AWS KMS servicio, el SDK de cifrado proporciona bibliotecas de AWS cifrado de sobres para el lado del cliente. Puede utilizar estas bibliotecas para proteger sus datos y las claves de cifrado que se utilizan a fin de cifrar esos datos.