Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Algoritmos de criptografía y Servicios de AWS
Un algoritmo de cifrado es una fórmula o procedimiento que convierte un mensaje de texto sin formato en texto cifrado. Si no conoce el cifrado o su terminología, le recomendamos que lea Acerca del cifrado de datos antes de continuar con esta guía.
AWS servicios de criptografía
AWS los servicios de criptografía se basan en algoritmos de cifrado seguros y de código abierto. Organismos públicos de normalización e investigaciones académicas examinan estos algoritmos. Algunas herramientas y servicios de AWS imponen el uso de un algoritmo específico. En otros servicios, puede elegir entre varios algoritmos y longitudes de clave disponibles, o puede utilizar los valores predeterminados recomendados.
En esta sección se describen algunos de los algoritmos compatibles con AWS las herramientas y los servicios. Se dividen en dos categorías, simétricos y asimétricos, según el funcionamiento de sus claves:
-
El cifrado simétrico utiliza la misma clave para cifrar y descifrar los datos. Servicios de AWS admiten el estándar de cifrado avanzado (AES) y el estándar de cifrado de datos triple (3DES o TDES), que son dos algoritmos simétricos muy utilizados.
-
El cifrado asimétrico utiliza un par de claves, una clave pública para el cifrado y una clave privada para el descifrado. Puede compartir la clave pública porque no se utiliza para el descifrado, pero el acceso a la clave privada debe estar muy restringido. Servicios de AWS suelen admitir algoritmos asimétricos RSA y de criptografía de curva elíptica (ECC).
AWS los servicios criptográficos cumplen con una amplia gama de estándares de seguridad criptográfica, por lo que puede cumplir con las normativas gubernamentales o profesionales. Para obtener una lista completa de los estándares de seguridad de datos que Servicios de AWS cumplen, consulte los programas de AWS cumplimiento
Algoritmos criptográficos
La criptografía es una parte esencial de la seguridad para AWS. Servicios de AWS admiten el cifrado de datos en tránsito, en reposo o en memoria. Muchos también admiten el cifrado con claves administradas por el cliente a las que no se puede acceder AWS. Puede obtener más información sobre el AWS
compromiso con la innovación y la inversión en controles adicionales para la soberanía y las funciones de cifrado en el compromiso de soberanía AWS digital
AWS se compromete a utilizar los algoritmos criptográficos más seguros disponibles para cumplir con sus requisitos de seguridad y rendimiento. AWS utiliza de forma predeterminada algoritmos e implementaciones de alta seguridad y prefiere soluciones optimizadas para el hardware que son más rápidas, mejoran la seguridad y ahorran más energía. Consulte la biblioteca AWS criptográfica para ver algoritmos criptográficos
Servicios de AWS utilice algoritmos criptográficos confiables que cumplan con los estándares de la industria y fomenten la interoperabilidad. Estos estándares son ampliamente aceptados por los gobiernos, la industria y el mundo académico. Se necesita un análisis considerable por parte de la comunidad global para que un algoritmo sea ampliamente aceptado. También se necesita tiempo para que esté ampliamente disponible en la industria. La falta de análisis y disponibilidad plantea desafíos en materia de interoperabilidad, complejidad y riesgos para las implementaciones. AWS sigue desplegando nuevas opciones criptográficas para cumplir con los altos estándares de seguridad y rendimiento.
En las siguientes tablas se resumen los algoritmos criptográficos, los cifrados, los modos y los tamaños de clave que se utilizan en sus servicios AWS para proteger sus datos. No deben considerarse una lista exhaustiva de todas las opciones de criptografía disponibles en. AWS Los algoritmos se dividen en dos categorías:
-
Se prefieren los algoritmos que cumplen con los estándares AWS de seguridad y rendimiento.
-
Se pueden usar algoritmos aceptables para garantizar la compatibilidad en algunas aplicaciones, pero no se prefieren.
| Cifrado asimétrico | Estado |
|---|---|
| RSA-OAEP con módulo de 2048 o 3072 bits | Aceptable |
| HPKE con P-256 o P-384, HKDF y AES-GCM | Aceptable |
| Acuerdo clave asimétrico | Estado |
|---|---|
| ECDH (E) con P-384 | Preferido |
| ECDH (E) con P-256, P-521 o X25519 | Aceptable |
| ECDH (E) con Brainpool P256R1, Brainpool P384R1 o Brainpool P512R1 | Aceptable |
| ML-KEM-768 combinado con ECDH (E) (en intercambios de claves híbridos PQ) | Preferido (para resistencia cuántica) |
| Cifrados y modos de bloques | Estado |
|---|---|
| AES-GCM-256 | Preferido |
| AES-XTS-256 | Aceptable |
| AES-GCM-128 | Aceptable |
| ChaCha20/Poly1305 | Aceptable |
| Modos CBC, CTR y CCM (con AES-128 o AES-256) | Aceptable |
| Hashing | Estado |
|---|---|
| SHA2-384 | Preferido |
| SHA2-256 | Aceptable |
| SHA3 | Aceptable |
| Derivación de claves | Estado |
|---|---|
| HKDF_Expand o HKDF con -256 SHA2 | Preferido |
| Modo contador KDF con HMAC- -256 SHA2 | Aceptable |
| Envoltorio de llaves | Estado |
|---|---|
| AES-GCM-256 | Preferido |
| AES-KW o AES-KWP con claves de 256 bits | Aceptable |
| Código de autenticación de mensajes (MAC) | Estado |
|---|---|
| HMAC- -384 SHA2 | Preferido |
| HMAC- -256 SHA2 | Aceptable |
| MAC | Aceptable |
| Hashing de contraseñas | Estado |
|---|---|
| Cifrar con SHA384 | Preferido |
| PBKDF2 | Aceptable |
| Firmas | Estado |
|---|---|
| ECDSA con P-384 | Preferido |
| ECDSA con P-256, P-521 o Ed25519 | Aceptable |
| RSA-2048 o RSA-3072 | Aceptable |
| SLH-DSA | Preferido (para firmas con resistencia cuántica) software/firmware |
AWS sigue de cerca los avances criptográficos, los problemas de seguridad y los resultados de las investigaciones. A medida que se descubren algoritmos obsoletos y problemas de seguridad, se solucionan. Para obtener más información, consulte el blog AWS de seguridad
