Primitivas criptográficas - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Primitivas criptográficas

AWS KMS utiliza algoritmos criptográficos configurables para que el sistema pueda migrar rápidamente de un algoritmo o modo aprobado a otro. El conjunto inicial predeterminado de algoritmos criptográficos se ha seleccionado de algoritmos de los Estándares Federales de Procesamiento de la Información (aprobado por FIPS) para sus propiedades de seguridad y rendimiento.

Entropía y generación de números aleatorios

AWS KMS la generación de claves se realiza en. AWS KMS HSMs HSMs Implemente un generador híbrido de números aleatorios que utilice el NIST SP800-90A Deterministic Random Bit Generator (DRBG) CTR_DRBG using AES-256. Se encuentra sincronizado con un generador de bits aleatorio no determinista con 384 bits de entropía y actualizado con entropía adicional para proporcionar resistencia a la predicción en cada llamada de material criptográfico.

Operaciones de clave simétrica (solo cifrado)

Todos los comandos de cifrado con clave simétrica que se utilizan utilizan estándares de cifrado avanzados (AES) y, en el modo contador de Galois (GCM), utilizan claves de 256 bits. HSMs Las llamadas análogas para descifrar utilizan la función inversa.

AES-GCM es un esquema de cifrado autenticado. Además de cifrar texto sin formato a fin de producir texto cifrado, calcula una etiqueta de autenticación sobre el texto cifrado y los datos adicionales para los que se requiere autenticación (datos autenticados adicionales o AAD). La etiqueta de autenticación ayuda a garantizar que los datos provengan de la supuesta fuente y que el texto cifrado y los AAD no se hayan modificado.

Con frecuencia, AWS omite la inclusión del AAD en nuestras descripciones, especialmente cuando se refiere al cifrado de claves de datos. En estos casos, el texto circundante implica que la estructura que se cifrará se divide entre el texto sin formato que se cifrará y los AAD de texto sin cifrar que se protegerán.

AWS KMS ofrece una opción para importar el material clave a un, en AWS KMS key lugar de confiar en él AWS KMS para generar el material clave. Este material clave importado se puede cifrar mediante RSAES-OAEP o RSAES - PKCS1 -v1_5 para proteger la clave durante su transporte al HSM. AWS KMS Los AWS KMS HSMs pares de claves RSA se generan el. El material clave importado se descifra en un AWS KMS HSM y se vuelve a cifrar con el AES-GCM antes de que el servicio lo almacene.

Operaciones de clave asimétrica (cifrado, firma digital y verificación de firmas)

AWS KMS admite el uso de operaciones de clave asimétricas tanto para las operaciones de cifrado como para las de firma digital. Las operaciones de clave asimétrica se basan en un par de claves privadas y públicas relacionadas de forma matemática que puede utilizar para el cifrado y descifrado o la firma y verificación de la firma, pero no ambos. La clave privada nunca sale AWS KMS sin cifrar. Puedes usar la clave pública interna AWS KMS llamando a las operaciones de la AWS KMS API, o bien descargar la clave pública y usarla fuera de AWS KMS ella.

AWS KMS admite dos tipos de cifrados asimétricos.

  • RSA-OAEP (para el cifrado) y RSA-PSS y RSA-PKCS-#1-v1_5 (para la firma y verificación): es compatible con longitudes de clave de RSA (en bits): 2048, 3072 y 4096 para diferentes requisitos de seguridad.

  • Curva elíptica (ECC): se utiliza de forma exclusiva para la firma y la verificación. Es compatible con curvas ECC: NIST P256, P384, P521, SECP 256k1.

Funciones de derivación de claves

Una función de derivación de claves se utiliza para derivar claves adicionales de una clave o secreto inicial. AWS KMS utiliza una función de derivación de claves (KDF) a fin de derivar claves por llamada para cada cifrado bajo una AWS KMS key. Todas las operaciones de KDF utilizan el KDF en modo contador utilizando HMAC [FIPS197] con [0]. SHA256 FIPS18 La clave derivada de 256 bits se utiliza con AES-GCM para cifrar o descifrar datos y claves del cliente.

AWS KMS uso interno de firmas digitales

Las firmas digitales también se utilizan para autenticar comandos y comunicaciones entre entidades de AWS KMS . Todas las entidades de servicio tienen un par de claves de algoritmo de firma digital de curva elíptica (ECDSA). Emplean ECDSA como se define en el Uso de algoritmos de criptografía de curva elíptica (ECC) en la sintaxis de mensajes criptográficos (CMS) y X9.62-2005: Criptografía de clave pública para el sector de servicios financieros: el Algoritmo de firma digital de curva elíptica (ECDSA). Las entidades utilizan el algoritmo de hash seguro definido en las publicaciones sobre normas federales de procesamiento de la información, FIPS PUB 180-4, conocido como. SHA384 Las claves se generan en la curva secp384r1 (NIST-P384).

Cifrado doble

Una construcción básica utilizada en muchos sistemas criptográficos es el cifrado doble. El cifrado doble utiliza dos o más claves criptográficas para proteger un mensaje. Por lo general, una clave se deriva de una clave estática K de plazo más largo y otra clave es una clave por mensaje, msgKey, que se genera para cifrar el mensaje. El doble cifrado se forma al cifrar el mensaje: ciphertext = Encrypt(msgKey, message). A continuación, la clave del mensaje se cifra con la clave estática a largo plazo: encKey = Encrypt(k, msgKey). Por último, los dos valores (encKey, ciphertext) se empaquetan en una sola estructura, o mensaje con cifrado doble.

El destinatario, con acceso a la K, puede abrir el mensaje con doble cifrado al descifrar primero la clave cifrada y, a continuación, al descifrar el mensaje.

AWS KMS ofrece la posibilidad de gestionar estas claves estáticas a largo plazo y automatizar el proceso de cifrado de sobres de sus datos.

Además de las funciones de cifrado incluidas en el AWS KMS servicio, el SDK de cifrado proporciona bibliotecas de AWS cifrado de sobres para el lado del cliente. Puede utilizar estas bibliotecas para proteger sus datos y las claves de cifrado que se utilizan a fin de cifrar esos datos.