As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Chaves assimétricas em AWS KMS Uma *chave do KMS assimétrica* representa um par de chave pública e chave privada matematicamente relacionadas. É possível dar a chave privada para qualquer pessoa, mesmo se ela não for confiável, mas a chave privada deve ser mantida em segredo. Em uma chave KMS assimétrica, a chave privada é criada AWS KMS e nunca sai sem criptografia. AWS KMS Para usar a chave privada, você deve ligar AWS KMS. Você pode usar a chave pública interna AWS KMS chamando as operações AWS KMS da API. Ou você pode [baixar a chave pública](download-public-key.md) e usá-la fora do AWS KMS. Se seu caso de uso exigir criptografia externa AWS por usuários que não podem ligar AWS KMS, as chaves KMS assimétricas são uma boa opção. No entanto, se você estiver criando uma chave KMS para criptografar os dados que você armazena ou gerencia em um AWS serviço, use uma chave KMS de criptografia simétrica. [AWS os serviços integrados AWS KMS](https://aws.amazon.com/kms/features/#AWS_Service_Integration) usam somente chaves KMS de criptografia simétrica para criptografar seus dados. Esses serviços não fornecem suporte para criptografia com chaves do KMS assimétricas. Ao assinar mensagens maiores que 4 KB com AWS KMS, você deve fazer o hash da mensagem fora de AWS KMS antes de assinar. AWS KMS fornece três `MessageType` opções para lidar com a entrada de mensagens: `RAW` para mensagens de texto simples (onde AWS KMS executa o hash), `DIGEST` para mensagens pré-criptografadas (onde AWS KMS pula a etapa de hash) e, `EXTERNAL_MU` especificamente, para especificações de chave KMS do ML-DSA em que a entrada é um valor μ representativo de 64 bytes. [https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) AWS KMS suporta vários tipos de chaves KMS assimétricas. **Chaves do KMS RSA** Uma chave KMS com um par de chaves RSA para criptografia e descriptografia ou assinatura e verificação (mas não ambas). AWS KMS suporta vários comprimentos de chave para diferentes requisitos de segurança. Para obter detalhes técnicos sobre os algoritmos de criptografia e assinatura que oferecem AWS KMS suporte às chaves RSA KMS, consulte as especificações da chave [RSA](symm-asymm-choose-key-spec.md#key-spec-rsa). **Chaves do KMS de curva elíptica (ECC)** Uma chave KMS com um par de chaves de curva elíptica para assinatura e verificação ou derivação de segredos compartilhados (mas não ambos). AWS KMS suporta várias curvas comumente usadas. Para obter detalhes técnicos sobre os algoritmos de assinatura que oferecem AWS KMS suporte às chaves ECC KMS, consulte Especificações da chave da curva [elíptica](symm-asymm-choose-key-spec.md#key-spec-ecc). **Chaves do KMS ML-DSA** Uma chave do KMS com um par de chaves ML-DSA para assinatura e verificação. O ML-DSA é um padrão de criptografia pós-quântica desenvolvido pelo US National Institute of Standards and Technology (NIST) para proteger contra as ameaças à segurança representadas pela computação quântica. O ML-DSA é o algoritmo de assinatura digital recomendado para organizações que estão fazendo a transição dos algoritmos de assinatura digital RSA ou Elliptic Curve para a criptografia segura pós-quântica. AWS KMS suporta vários comprimentos de chave para diferentes requisitos de segurança. [Para obter detalhes técnicos sobre os algoritmos de assinatura que oferecem AWS KMS suporte às chaves KMS ML-DSA, consulte Especificação da chave ML-DSA.](symm-asymm-choose-key-spec.md#key-spec-mldsa) **SM2 Chaves KMS (somente regiões da China)** Uma chave KMS com um par de SM2 chaves para criptografia e descriptografia, assinatura e verificação ou derivação de segredos compartilhados (você deve escolher um tipo). [Key usage](create-keys.md#key-usage) Para obter detalhes técnicos sobre os algoritmos de criptografia e assinatura AWS KMS compatíveis com chaves SM2 KMS (somente regiões da China), consulte as [especificações da SM2 chave](symm-asymm-choose-key-spec.md#key-spec-sm). Para obter ajuda na escolha da sua configuração de chave assimétrica, consulte [Escolher qual tipo de chave do KMS criar](create-keys.md#symm-asymm-choose). **Regiões** As chaves KMS assimétricas e os pares de chaves de dados assimétricos são aceitos em todos os suportes. Regiões da AWS AWS KMS **Saiba mais** + Para criar chaves do KMS assimétricas, consulte [Criar uma chave do KMS assimétrica](asymm-create-key.md). + Para criar chaves do KMS assimétricas de várias regiões, consulte [Criar chaves primárias de várias regiões](create-primary-keys.md). + Para saber como assinar mensagens e verificar assinaturas com chaves do KMS assimétricas, consulte [Assinatura digital com o novo recurso de chaves assimétricas do AWS KMS](https://aws.amazon.com/blogs/security/digital-signing-asymmetric-keys-aws-kms/) no *Blog de segurança da AWS *. + Para saber mais sobre considerações especiais sobre a exclusão de chaves do KMS assimétricas, consulte [Deleting asymmetric KMS keys](deleting-keys.md#deleting-asymmetric-cmks). + Para identificar e visualizar chaves do KMS assimétricas, consulte [Identificar chaves do KMS assimétricas](identify-key-types.md#identify-asymm-keys).