Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Algoritmos criptográficos compatibles
Algoritmos criptográficos
En las siguientes tablas se resumen los algoritmos criptográficos, los cifrados, los modos y los tamaños de clave que AWS utiliza en sus servicios para proteger sus datos. No deben considerarse una lista exhaustiva de todas las opciones de criptografía disponibles en AWS. Los algoritmos se dividen en dos categorías:
-
Los algoritmos preferidos cumplen con los estándares de seguridad y rendimiento de AWS.
-
Se pueden usar algoritmos aceptables para garantizar la compatibilidad en algunas aplicaciones, pero no se prefieren.
Criptografía asimétrica
En la siguiente tabla se enumeran los algoritmos asimétricos compatibles para el cifrado, la concordancia de claves y las firmas digitales.
| Tipo | Algoritmo | Estado |
|---|---|---|
| Cifrado | RSA-OAEP (módulo de 2048 o 3072 bits) | Aceptable |
| Cifrado | HPKE (P-256 o P-384, HKDF y AES-GCM) | Aceptable |
| Acuerdo de claves | ML-KEM-768 o ML-KEM-1024 | Preferido (resistente a la información cuántica) |
| Acuerdo de claves | ECDH(E) con P-384 | Aceptable |
| Acuerdo de claves | ECDH(E) con P-256, P-521 o X25519 | Aceptable |
| Acuerdo de claves | ECDH(E) con Brainpool P256R1, Brainpool P384R1 o Brainpool P512R1 | Aceptable |
| Firmas | ML-DSA-65 o ML-DSA-87 | Preferido (resistente a la información cuántica) |
| Firmas | SLH-DSA | Preferido (firma de software/firmware con resistencia cuántica) |
| Firmas | ECDSA con P-384 | Aceptable |
| Firmas | ECDSA con P-256, P-521 o Ed25519 | Aceptable |
| Firmas | RSA-2048 o RSA-3072 | Aceptable |
Criptografía simétrica
En la siguiente tabla se enumeran los algoritmos simétricos compatibles para el cifrado, el cifrado autenticado y el encapsulamiento de claves.
| Tipo | Algoritmo | Estado |
|---|---|---|
| Cifrado autenticado | AES-GCM-256 | Preferido |
| Cifrado autenticado | AES-GCM-128 | Aceptable |
| Cifrado autenticado | ChaCha20/Poly1305 | Aceptable |
| Modos de cifrado | AES-XTS-256 (para almacenamiento en bloques) | Preferido |
| Modos de cifrado | AES-CBC/ CTR (modos no autenticados) | Aceptable |
| Encapsulamiento de claves | AES-GCM-256 | Preferido |
| Encapsulamiento de claves | AES-KW o AES-KWP con claves de 256 bits | Aceptable |
Funciones criptográficas
En la siguiente tabla se enumeran los algoritmos compatibles para el hash, la derivación de claves, la autenticación de mensajes y el hash de contraseñas.
| Tipo | Algoritmo | Estado |
|---|---|---|
| Hashing | SHA2-384 | Preferido |
| Hashing | SHA2-256 | Aceptable |
| Hashing | SHA3 | Aceptable |
| Derivación de claves | HKDF_Expand o HKDF con SHA2-256 | Preferido |
| Derivación de claves | Modo de contador KDF con HMAC-SHA2-256 | Aceptable |
| Código de autenticación de mensajes | HMAC-SHA2-384 | Preferido |
| Código de autenticación de mensajes | HMAC-SHA2-256 | Aceptable |
| Código de autenticación de mensajes | KMAC | Aceptable |
| Hash de contraseñas | cifrar con SHA384 | Preferido |
| Hash de contraseñas | PBKDF2 | Aceptable |
