Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Teclas asimétricas en AWS KMS Una *clave KMS asimétrica* representa un par de claves privadas y públicas relacionadas matemáticamente. Puede entregar la clave pública a cualquiera, aunque no sea de confianza, pero la clave privada debe ser secreta. En una clave KMS asimétrica, la clave privada se crea AWS KMS y nunca se queda AWS KMS sin cifrar. Para usar la clave privada, debe llamar. AWS KMS Puedes usar la clave pública que contiene AWS KMS llamando a las operaciones de la AWS KMS API. O bien, puedes [descargar la clave pública](download-public-key.md) y utilizarla fuera de ella AWS KMS. Si tu caso de uso requiere que los usuarios que no puedan llamar AWS los cifren fuera del sistema AWS KMS, las claves KMS asimétricas son una buena opción. Sin embargo, si va a crear una clave KMS para cifrar los datos que almacena o administra en un AWS servicio, utilice una clave KMS de cifrado simétrico. [AWS los servicios integrados AWS KMS utilizan](https://aws.amazon.com/kms/features/#AWS_Service_Integration) únicamente claves KMS de cifrado simétrico para cifrar los datos. Estos servicios no admiten cifrado con claves de KMS asimétricas. Al firmar mensajes de más de 4 KB AWS KMS, debe aplicar un hash al mensaje AWS KMS antes de firmarlo. AWS KMS ofrece tres `MessageType` opciones para gestionar la introducción de mensajes: `RAW` para los mensajes de texto simple (donde se AWS KMS realiza el hash), `DIGEST` para los mensajes precodificados (donde se AWS KMS omite el paso de la codificación) y, `EXTERNAL_MU` específicamente, para las especificaciones clave del KMS de ML-DSA, en las que la entrada es un valor μm representativo de 64 bytes. [https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) AWS KMS admite varios tipos de claves KMS asimétricas. **Claves KMS de RSA** Una clave KMS con un par de claves RSA para el cifrado y el descifrado o para la firma y la verificación (pero no ambos). AWS KMS admite varias longitudes de clave para distintos requisitos de seguridad. Para obtener información técnica sobre los algoritmos de cifrado y firma AWS KMS compatibles con las claves KMS de RSA, consulte las especificaciones de las claves de [RSA](symm-asymm-choose-key-spec.md#key-spec-rsa). **Claves KMS de curva elíptica (ECC)** Una clave KMS con un par de claves de curva elíptica para firmar y verificar o derivar secretos compartidos (pero no ambos). AWS KMS admite varias curvas de uso común. Para obtener información técnica sobre los algoritmos de firma AWS KMS compatibles con las claves KMS de ECC, consulte las especificaciones de las claves de curva [elíptica](symm-asymm-choose-key-spec.md#key-spec-ecc). **Claves de KMS de ML-DSA** Una clave de KMS con un par de claves de ML-DSA para firma y verificación. El ML-DSA es un estándar de criptografía poscuántica desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. para proteger contra las amenazas a la seguridad que plantea la computación cuántica. El ML-DSA es el algoritmo de firma digital recomendado para las organizaciones que están realizando el cambio de los algoritmos de firma digital RSA o de curva elíptica a la criptografía segura poscuántica. AWS KMS admite varias longitudes de clave para diferentes requisitos de seguridad. Para obtener información técnica sobre los algoritmos de firma AWS KMS compatibles con las claves KMS de ML-DSA, consulte las especificaciones de claves de [ML-DSA](symm-asymm-choose-key-spec.md#key-spec-mldsa). **SM2 Claves KMS (solo regiones de China)** Una clave KMS con un par de SM2 claves para el cifrado y el descifrado, la firma y la verificación o la obtención de secretos compartidos (debe elegir un [Key usage](create-keys.md#key-usage) tipo). Para obtener información técnica sobre los algoritmos de cifrado y firma AWS KMS compatibles con las claves SM2 KMS (solo en las regiones de China), consulta las [especificaciones de las SM2 claves](symm-asymm-choose-key-spec.md#key-spec-sm). Para obtener ayuda para elegir la configuración de clave asimétrica, consulte [Elección del tipo de clave KMS que se va a crear](create-keys.md#symm-asymm-choose). **Regiones** Las claves KMS asimétricas y los pares de claves de datos asimétricas son compatibles con todos Regiones de AWS los soportes. AWS KMS **Más información** + Para crear claves KMS asimétricas, consulte [Creación de una clave de KMS asimétrica](asymm-create-key.md). + Para crear claves KMS asimétricas de varias regiones, consulte [Creación de claves primarias de varias regiones](create-primary-keys.md). + Para aprender a firmar mensajes y verificar firmas con las claves KMS asimétricas, consulte [Firma digital con la nueva función de claves asimétricas de AWS KMS](https://aws.amazon.com/blogs/security/digital-signing-asymmetric-keys-aws-kms/) en el *Blog de seguridad de AWS *. + Para obtener más información sobre las consideraciones especiales a la hora de eliminar claves KMS asimétricas, consulte [Deleting asymmetric KMS keys](deleting-keys.md#deleting-asymmetric-cmks). + Para identificar y ver las claves KMS asimétricas, consulte [Identificación de claves KMS asimétricas](identify-key-types.md#identify-asymm-keys).