Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Algoritmos criptográficos compatibles
Algoritmos criptográficos
En las siguientes tablas se resumen los algoritmos criptográficos, los cifrados, los modos y los tamaños de clave que se utilizan en sus servicios AWS para proteger sus datos. No deben considerarse una lista exhaustiva de todas las opciones de criptografía disponibles en AWS. Los algoritmos se dividen en dos categorías:
-
Los algoritmos preferidos cumplen con los estándares de AWS seguridad y rendimiento.
-
Se pueden usar algoritmos aceptables para garantizar la compatibilidad en algunas aplicaciones, pero no se prefieren.
Criptografía asimétrica
En la siguiente tabla se enumeran los algoritmos asimétricos compatibles para el cifrado, la concordancia de claves y las firmas digitales.
| Tipo | Algoritmo | Status |
|---|---|---|
| Cifrado | RSA-OAEP (módulo de 2048 o 3072 bits) | Aceptable |
| Cifrado | HPKE (P-256 o P-384, HKDF y AES-GCM) | Aceptable |
| Acuerdo de claves | ML-KEM-768 o ML-KEM-1024 | Preferido (resistente a la información cuántica) |
| Acuerdo de claves | ECDH(E) con P-384 | Aceptable |
| Acuerdo de claves | ECDH(E) con P-256, P-521 o X25519 | Aceptable |
| Acuerdo de claves | ECDH(E) con Brainpool P256R1, Brainpool P384R1 o Brainpool P512R1 | Aceptable |
| Firmas | ML-DSA-65 o ML-DSA-87 | Preferido (resistente a la información cuántica) |
| Firmas | SLH-DSA | Preferido (firma con resistencia cuántica) software/firmware |
| Firmas | ECDSA con P-384 | Aceptable |
| Firmas | ECDSA con P-256, P-521 o Ed25519 | Aceptable |
| Firmas | RSA-2048 o RSA-3072 | Aceptable |
Criptografía simétrica
En la siguiente tabla se enumeran los algoritmos simétricos compatibles para el cifrado, el cifrado autenticado y el encapsulamiento de claves.
| Tipo | Algoritmo | Status |
|---|---|---|
| Cifrado autenticado | AES-GCM-256 | Preferido |
| Cifrado autenticado | AES-GCM-128 | Aceptable |
| Cifrado autenticado | ChaCha20/Poly1305 | Aceptable |
| Modos de cifrado | AES-XTS-256 (para almacenamiento en bloques) | Preferido |
| Modos de cifrado | AES-CBC/ CTR (modos no autenticados) | Aceptable |
| Encapsulamiento de claves | AES-GCM-256 | Preferido |
| Encapsulamiento de claves | AES-KW o AES-KWP con claves de 256 bits | Aceptable |
Funciones criptográficas
En la siguiente tabla se enumeran los algoritmos compatibles para el hash, la derivación de claves, la autenticación de mensajes y el hash de contraseñas.
| Tipo | Algoritmo | Status |
|---|---|---|
| Hashing | SHA2-384 | Preferido |
| Hashing | SHA2-256 | Aceptable |
| Hashing | SHA3 | Aceptable |
| Derivación de claves | HKDF_Expand o HKDF con -256 SHA2 | Preferido |
| Derivación de claves | Modo contador KDF con HMAC- -256 SHA2 | Aceptable |
| Código de autenticación de mensajes | HMAC- -384 SHA2 | Preferido |
| Código de autenticación de mensajes | HMAC- -256 SHA2 | Aceptable |
| Código de autenticación de mensajes | KMAC | Aceptable |
| Hash de contraseñas | escriptar con SHA384 | Preferido |
| Hash de contraseñas | PBKDF2 | Aceptable |
Para obtener más información sobre los algoritmos criptográficos implementados en AWS, consulte Algoritmos criptográficos y. Servicios de AWS
