AWS enfoque de la criptografía - AWS Guía prescriptiva
AWS fundamentos criptográficosAlgoritmos criptográficosAlgoritmos criptográficos recomendados en AWSCriptografía utilizada en Servicios de AWS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS enfoque de la criptografía

Los algoritmos criptográficos son construcciones matemáticas diseñadas para proporcionar servicios de seguridad como la confidencialidad (cifrado), la autenticidad (códigos de autenticación de mensajes y firmas digitales) y el no repudio (firmas digitales). Si no conoce la criptografía, el cifrado y la terminología relacionada, le recomendamos que lea Acerca del cifrado de datos antes de continuar con esta guía.

AWS fundamentos criptográficos

La criptografía es una parte esencial de la seguridad para. AWS Servicios de AWS admiten el cifrado de datos en tránsito, en reposo o en memoria.  Puede obtener más información sobre el AWS compromiso con la innovación y la inversión en controles adicionales para la soberanía y las funciones de cifrado en la entrada de nuestro blog en la que se anuncia el compromiso con la soberanía AWS digital.

AWS sigue el modelo de responsabilidad compartida para proteger sus datos. Servicios de AWS utilice algoritmos criptográficos fiables que cumplan con los estándares del sector y fomenten la interoperabilidad. Estos algoritmos son examinados por organismos públicos de normalización y por investigaciones académicas. Los estándares asociados son ampliamente aceptados por los gobiernos, la industria y el mundo académico.

AWS utiliza de forma predeterminada implementaciones criptográficas de alta seguridad y prefiere soluciones optimizadas para hardware que sean eficientes. Nuestra biblioteca principal criptográfica, AWS-LC, está disponible como código abierto para garantizar la transparencia y la reutilización en todo el sector. Se verifica formalmente la exactitud de los algoritmos criptográficos recomendados en AWS-LC y la biblioteca se valida según 40 programas. NIST's FIPS-1

Algoritmos criptográficos

Definimos tres tipos de algoritmos criptográficos:

  • La criptografía asimétrica utiliza un par de claves: una clave pública para el cifrado (o verificación) y una clave privada para el descifrado (o firma). Puede compartir la clave pública porque no se utiliza para el descifrado, pero el acceso a la clave privada debe estar muy restringido. Servicios de AWS apoyan o planean soportar algoritmos poscuánticos, como ML-KEM y ML-DSA. Servicios de AWS también son compatibles con los algoritmos criptográficos tradicionales, como el RSA y la criptografía de curva elíptica (ECC).

  • La criptografía simétrica utiliza la misma clave para cifrar y descifrar, o para autenticar y verificar los datos. Servicios de AWS Por lo general, se integra con AWS Key Management Service (AWS KMS) para cifrar los datos en reposo, que utiliza un modo de AES-256.  

  • Otras funciones criptográficas se utilizan junto con la criptografía asimétrica y simétrica para crear protocolos seguros y prácticos para aplicaciones de confidencialidad, integridad, autenticación y no repudio. Algunos ejemplos son las funciones hash y las funciones de derivación de claves.

Algoritmos criptográficos recomendados en AWS

En las siguientes tablas se resumen los algoritmos criptográficos, los modos y los tamaños de clave que se AWS consideran adecuados para su implementación en todos sus servicios a fin de proteger sus datos. Esta guía evolucionará con el tiempo a medida que evolucionen los estándares criptográficos.

Los algoritmos disponibles en los servicios pueden variar y se explican en la documentación de cada servicio. Si necesita implementar una biblioteca de software para un algoritmo aprobado, compruebe si está incluido en la última versión de la biblioteca AWS-LC.

Los algoritmos están aprobados para su uso en AWS una de estas dos categorías:

  • Los algoritmos preferidos cumplen con los estándares AWS de seguridad y rendimiento.

  • Se pueden usar algoritmos aceptables para garantizar la compatibilidad en algunas aplicaciones, pero no se prefieren.

Criptografía asimétrica

En la siguiente tabla se enumeran los algoritmos asimétricos que se consideran adecuados para su uso en AWS el cifrado, el acuerdo de claves y las firmas digitales.

Tipo

Algoritmo

Estado

Cifrado

RSA-OAEP (módulo ≥2048 bits)

Aceptable

Cifrado

HPKE (P-256 o P-384, HKDF y AES-GCM)

Aceptable

Acuerdo clave

ML-KEM-768 o ML-KEM-1024

Preferido (resistente a la información cuántica)

Acuerdo clave

ECDSA con P-256, P-384, P-521 o Ed25519

Aceptable

Acuerdo clave

ECDH(E) con Brainpool P256R1, Brainpool P384R1 o Brainpool P512R1

Aceptable

Firmas

ML-DSA-65 o ML-DSA-87

Preferido (resistente a la información cuántica)

Firmas

SLH-DSA

Aceptable (resistente a la cuántica)

Firmas

ECDSA con P-384

Aceptable

Firmas

ECDSA con P-256, P-521 o Ed25519

Aceptable

Firmas

RSA (módulo de ≥2048 bits)

Aceptable

Criptografía simétrica

En la siguiente tabla se enumeran los algoritmos simétricos que se consideran adecuados para su uso en el cifrado, el cifrado autenticado y AWS el empaquetado de claves.

Tipo

Algoritmo

Estado

Cifrado autenticado

AES-GCM-256

Preferido

Cifrado autenticado

AES-GCM-128

Aceptable

Cifrado autenticado

ChaCha20/Poly1305

Aceptable

Modos de cifrado

AES-XTS-256 (para almacenamiento en bloques)

Preferido

Modos de cifrado

AES-CBC/ CTR (modos no autenticados)

Aceptable

Empaquetado de claves

AES-GCM-256

Preferido

Envoltorio de llaves

AES-KW o AES-KWP con claves de 256 bits

Aceptable

Otras funciones criptográficas

En la siguiente tabla se enumeran los algoritmos que se consideran adecuados para su uso en el AWS procesamiento mediante hash, la derivación de claves y la autenticación de mensajes.

Tipo

Algoritmo

Estado

Hashing

SHA-384

Preferido

Hashing

SHA-256

Aceptable

Hashing

SHA3

Aceptable

Derivación de claves

HKDF_Expand o HKDF con SHA-256

Preferido

Derivación de claves

Modo contador KDF con HMAC-SHA-256

Aceptable

Código de autenticación de mensajes

HMAC-SHA-384

Preferido

Código de autenticación de mensajes

HMAC-SHA-256

Aceptable

Código de autenticación de mensajes

KMAC

Aceptable

Código hash de contraseñas

Cifrar con SHA384

Preferido

Procesamiento de contraseñas

PBKDF2

Aceptable

Criptografía utilizada en Servicios de AWS

Servicios de AWS confíe en implementaciones seguras y de código abierto de algoritmos verificados para proteger sus datos. Las opciones y configuraciones específicas de los algoritmos variarán según el servicio. Algunas AWS herramientas y servicios utilizan un algoritmo específico. En otros, puede elegir entre los algoritmos y las longitudes de clave compatibles, o puede utilizar los valores predeterminados recomendados.

AWS Los servicios criptográficos cumplen con una amplia gama de estándares de seguridad criptográfica, por lo que puede cumplir con las normativas gubernamentales o industriales. Para obtener una lista completa de los estándares de seguridad de datos que Servicios de AWS cumplen, consulte los programas de AWS cumplimiento.