SYMMETRIC_ DEFAULT Schlüsselspezifikation RSAwichtige Spezifikationen Elliptic Curve(EC)-Schlüsselspezifikationen SM2wichtige Spezifikation (nur Regionen Chinas)Wichtige Spezifikationen für Schlüssel HMAC KMS

Referenz zu wichtigen Spezifikationen

Wenn Sie einen asymmetrischen KMS Schlüssel oder einen Schlüssel erstellen, wählen Sie dessen HMAC KMS Schlüsselspezifikation aus. Die Schlüsselspezifikation, die eine Eigenschaft von Every ist AWS KMS key, stellt die kryptografische Konfiguration Ihres Schlüssels dar. KMS Sie wählen die Schlüsselspezifikation, wenn Sie den KMS Schlüssel erstellen, und Sie können sie nicht ändern. Wenn Sie die falsche Schlüsselspezifikation ausgewählt haben, löschen Sie den KMS Schlüssel und erstellen Sie eine neue.

Anmerkung

Die Schlüsselspezifikation für einen KMS Schlüssel wurde als „Hauptschlüsselspezifikation des Kunden“ bezeichnet. Der CustomerMasterKeySpec Parameter des CreateKeyVorgangs ist veraltet. Verwenden Sie stattdessen den KeySpec-Parameter. Die Antwort der DescribeKeyOperationen CreateKey und enthält ein KeySpec CustomerMasterKeySpec Und-Element mit demselben Wert.

Die Schlüsselspezifikation bestimmt, ob der KMS Schlüssel symmetrisch oder asymmetrisch ist, welche Art von Schlüsselmaterial im Schlüssel enthalten ist und welche Verschlüsselungsalgorithmen, Signaturalgorithmen oder Algorithmen für den Nachrichtenauthentifizierungscode (MAC) den KMS Schlüssel AWS KMS unterstützen. KMS Die von Ihnen gewählte Schlüsselspezifikation wird in der Regel durch Ihren Anwendungsfall und gesetzliche Anforderungen bestimmt. Kryptografieoperationen mit KMS Schlüsseln mit unterschiedlichen Schlüsselspezifikationen haben jedoch unterschiedliche Preise und unterliegen unterschiedlichen Kontingenten. Details zu den Preisen finden Sie unter AWS Key Management Service -Preise. Weitere Informationen zu Anforderungskontingenten finden Sie unter Anforderungskontingente.

Um die Schlüsselspezifikationen einzuschränken, die Prinzipale bei der Erstellung von KMS Schlüsseln verwenden können, verwenden Sie den KeySpec Bedingungsschlüssel kms:. Sie können den kms:KeySpec Bedingungsschlüssel auch verwenden, um es Prinzipalen zu ermöglichen, AWS KMS Operationen nur für KMS Schlüssel mit einer bestimmten Schlüsselspezifikation aufzurufen. Sie können beispielsweise die Erlaubnis verweigern, das Löschen eines KMS Schlüssels mit einer RSA_4096 bestimmten Schlüsselspezifikation zu planen.

AWS KMS unterstützt die folgenden Schlüsselspezifikationen für KMS Schlüssel:

Symmetrische Verschlüsselungsschlüsselspezifikation(Standard)

SYMMETRIC_DEFAULT

RSAwichtige Spezifikationen (Verschlüsselung und Entschlüsselung — oder — Signierung und Verifizierung)

RSA_2048
RSA_3072
RSA_4096

Elliptic Curve(EC)-Schlüsselspezifikationen

Asymmetrische NIST — empfohlene Schlüsselpaare mit elliptischen Kurven (Signierung und Verifizierung — oder — Ableitung gemeinsamer Geheimnisse)
- ECC_ _P256 (secp256r1) NIST
- ECC_ NIST _P384 (Abschnitt 384r1)
- ECC_ NIST _P521 (Abschnitt 521r1)
Andere asymmetrische Elliptic Curve-Schlüsselpaare (Signatur und Verifizierung)
- ECC_ SECG _P256K1 (secp256k1), wird häufig für Kryptowährungen verwendet.

SM2Schlüsselspezifikation (Verschlüsselung und Entschlüsselung — oder — Signierung und Verifizierung — oder Ableitung gemeinsamer Geheimnisse)

SM2(Nur Regionen Chinas)

HMACwichtige Spezifikationen

HMAC_224
HMAC_256
HMAC_384
HMAC_512

SYMMETRIC_ DEFAULT Schlüsselspezifikation

Die Standard-Schlüsselspezifikation, SYMMETRIC _DEFAULT, ist die Schlüsselspezifikation für symmetrische Verschlüsselungsschlüssel. KMS Wenn Sie in der AWS KMS Konsole den Schlüsseltyp Symmetrisch und die Verwendung des Schlüssels Verschlüsseln und Entschlüsseln auswählen, wird die Schlüsselspezifikation ausgewählt. SYMMETRIC_DEFAULT Wenn Sie bei diesem CreateKeyVorgang keinen KeySpec Wert angeben, SYMMETRIC wird _ ausgewählt. DEFAULT Wenn Sie keinen Grund haben, eine andere Schlüsselspezifikation zu verwenden, DEFAULT ist SYMMETRIC _ eine gute Wahl.

SYMMETRIC_ DEFAULT steht für AES -256-GCM, einen symmetrischen Algorithmus, der auf Advanced Encryption Standard (AES) im Galois Counter Mode (GCM) mit 256-Bit-Schlüsseln basiert, einem Industriestandard für sichere Verschlüsselung. Der Chiffretext, den dieser Algorithmus generiert, unterstützt zusätzliche authentifizierte Daten (AAD), z. B. einen Verschlüsselungskontext, und GCM ermöglicht eine zusätzliche Integritätsprüfung des Chiffretextes.

Daten, die unter AES -256- GCM verschlüsselt wurden, sind jetzt und in future geschützt. Kryptographen betrachten diesen Algorithmus als quantenresistent. Theoretisch reduzieren groß angelegte Quantencomputerangriffe auf Chiffretexte, die unter AES GCM 256-Bit-Schlüsseln erstellt wurden, die effektive Sicherheit des Schlüssels auf 128 Bit. Diese Sicherheitsstufe reicht jedoch aus, um Brute-Force-Angriffe auf Chiffretexte unmöglich zu machen. AWS KMS

Die einzige Ausnahme in chinesischen Regionen, wo SYMMETRIC _ für einen symmetrischen DEFAULT 128-Bit-Schlüssel steht, der Verschlüsselung verwendet. SM4 Sie können einen SM4 128-Bit-Schlüssel nur in Regionen Chinas erstellen. In Regionen Chinas können Sie keinen AES GCM KMS 256-Bit-Schlüssel erstellen.

Sie können einen symmetrischen KMS Verschlüsselungsschlüssel verwenden, um Daten AWS KMS zu verschlüsseln, zu entschlüsseln und erneut zu verschlüsseln und um generierte Datenschlüssel und Datenschlüsselpaare zu schützen. AWS Dienste, die in integriert sind, AWS KMS verwenden symmetrische KMS Verschlüsselungsschlüssel, um Ihre Daten im Ruhezustand zu verschlüsseln. Sie können Ihr eigenes Schlüsselmaterial in einen symmetrischen KMS Verschlüsselungsschlüssel importieren und symmetrische KMS Verschlüsselungsschlüssel in benutzerdefinierten Schlüsselspeichern erstellen. Eine Tabelle, in der die Operationen verglichen werden, die Sie mit symmetrischen und asymmetrischen Schlüsseln ausführen können, finden Sie unter Symmetrische und asymmetrische KMS Schlüssel vergleichen. KMS

Sie können einen symmetrischen KMS Verschlüsselungsschlüssel verwenden, um Daten AWS KMS zu verschlüsseln, zu entschlüsseln und erneut zu verschlüsseln sowie Datenschlüssel und Datenschlüsselpaare zu generieren. Sie können symmetrische KMS Verschlüsselungsschlüssel für mehrere Regionen erstellen, Ihr eigenes Schlüsselmaterial in einen symmetrischen Verschlüsselungsschlüssel importieren und symmetrische KMS Verschlüsselungsschlüssel in benutzerdefinierten Schlüsselspeichern erstellen. KMS Eine Tabelle, in der die Operationen verglichen werden, die Sie mit KMS Schlüsseln verschiedener Typen ausführen können, finden Sie unter. Schlüsseltypreferenz

RSAwichtige Spezifikationen

Wenn Sie eine RSA Schlüsselspezifikation verwenden, AWS KMS wird ein asymmetrischer KMS Schlüssel mit einem RSA key pair erstellt. Der private Schlüssel wird niemals unverschlüsselt verlassen AWS KMS . Sie können den öffentlichen Schlüssel innerhalb von verwenden oder den öffentlichen Schlüssel herunterladen AWS KMS, um ihn außerhalb von AWS KMS zu verwenden.

Warnung

Wenn Sie Daten außerhalb von verschlüsseln, stellen Sie sicher AWS KMS, dass Sie Ihren Chiffretext entschlüsseln können. Wenn Sie den öffentlichen Schlüssel eines Schlüssels verwenden, aus dem gelöscht wurde, den öffentlichen KMS Schlüssel eines KMS Schlüssels AWS KMS, der für das Signieren und Verifizieren konfiguriert ist, oder einen Verschlüsselungsalgorithmus, der von dem KMS Schlüssel nicht unterstützt wird, können die Daten nicht wiederhergestellt werden.

In AWS KMS können Sie asymmetrische KMS Schlüssel mit RSA Schlüsselpaaren für die Verschlüsselung und Entschlüsselung oder für das Signieren und Verifizieren verwenden, aber nicht beides. Diese Eigenschaft, die als Schlüsselnutzung bezeichnet wird, wird getrennt von der Schlüsselspezifikation bestimmt, aber Sie sollten diese Entscheidung treffen, bevor Sie eine Schlüsselspezifikation auswählen.

AWS KMS unterstützt die folgenden RSA Schlüsselspezifikationen für Verschlüsselung und Entschlüsselung oder Signierung und Überprüfung:

RSA_2048
RSA_3072
RSA_4096

RSASchlüsselspezifikationen unterscheiden sich durch die Länge des RSA Schlüssels in Bits. Welche RSA Schlüsselspezifikation Sie wählen, hängt möglicherweise von Ihren Sicherheitsstandards oder den Anforderungen Ihrer Aufgabe ab. Verwenden Sie im Allgemeinen den größten Schlüssel, der für Ihre Aufgabe praktisch und erschwinglich ist. Kryptografische Operationen mit KMS Schlüsseln mit unterschiedlichen RSA Schlüsselspezifikationen werden unterschiedlich berechnet. Informationen zur AWS KMS Preisgestaltung finden Sie unter Preise für den AWS Key Management Service. Weitere Informationen zu Anforderungskontingenten finden Sie unter Anforderungskontingente.

RSAwichtige Spezifikationen für die Verschlüsselung und Entschlüsselung

Wenn ein RSA asymmetrischer KMS Schlüssel für die Verschlüsselung und Entschlüsselung verwendet wird, verschlüsseln Sie mit dem öffentlichen Schlüssel und entschlüsseln mit dem privaten Schlüssel. Wenn Sie den Encrypt Vorgang AWS KMS für einen RSA KMS Schlüssel aufrufen, AWS KMS verwendet den öffentlichen Schlüssel im RSA key pair und den von Ihnen angegebenen Verschlüsselungsalgorithmus, um Ihre Daten zu verschlüsseln. Um den Chiffretext zu entschlüsseln, rufen Sie den Decrypt Vorgang auf und geben Sie denselben KMS Schlüssel und denselben Verschlüsselungsalgorithmus an. AWS KMS verwendet dann den privaten Schlüssel im RSA key pair, um Ihre Daten zu entschlüsseln.

Sie können den öffentlichen Schlüssel auch herunterladen und damit Daten außerhalb von verschlüsseln. AWS KMS Stellen Sie sicher, dass Sie einen Verschlüsselungsalgorithmus verwenden, der RSA KMS F-Schlüssel AWS KMS unterstützt. Um den Chiffretext zu entschlüsseln, rufen Sie die Decrypt Funktion mit demselben KMS Schlüssel und demselben Verschlüsselungsalgorithmus auf.

AWS KMS unterstützt zwei Verschlüsselungsalgorithmen für KMS Schlüssel mit RSA Schlüsselspezifikationen. Diese Algorithmen, die in PKCS#1 v2.2 definiert sind, unterscheiden sich in der Hash-Funktion, die sie intern verwenden. Darin AWS KMS verwenden die OAEP Algorithmen RSAES _ immer dieselbe Hash-Funktion sowohl für Hashing-Zwecke als auch für die Maskengenerierungsfunktion ()MGF1. Sie müssen beim Aufruf der Operationen Encrypt und Decrypt einen Verschlüsselungsalgorithmus angeben. Sie können für jede Anforderung einen anderen Algorithmus auswählen.

Unterstützte Verschlüsselungsalgorithmen für RSA wichtige Spezifikationen
Verschlüsselungsalgorithmus	Beschreibung des Algorithmus
RSAES_ OAEP _ SHA _1	PKCS#1 v2.2, Abschnitt 7.1. RSAVerschlüsselung mit OAEP Padding, wobei SHA -1 sowohl für den Hash als auch für die MGF1 Maskengenerierungsfunktion zusammen mit einem leeren Label verwendet wird.
RSAES_ OAEP _ _256 SHA	PKCS#1, Abschnitt 7.1. RSAVerschlüsselung mit OAEP Padding, wobei SHA -256 sowohl für den Hash als auch für die MGF1 Maskengenerierungsfunktion zusammen mit einem leeren Label verwendet wird.

Sie können einen KMS Schlüssel nicht so konfigurieren, dass er einen bestimmten Verschlüsselungsalgorithmus verwendet. Sie können jedoch die EncryptionAlgorithm Richtlinienbedingung kms: verwenden, um die Verschlüsselungsalgorithmen anzugeben, die Prinzipale mit dem KMS Schlüssel verwenden dürfen.

Um die Verschlüsselungsalgorithmen für einen KMS Schlüssel abzurufen, sehen Sie sich die kryptografische Konfiguration des KMS Schlüssels in der AWS KMS Konsole an oder verwenden Sie den DescribeKeyVorgang. AWS KMS stellt außerdem die Schlüsselspezifikation und die Verschlüsselungsalgorithmen bereit, wenn Sie Ihren öffentlichen Schlüssel entweder in der AWS KMS Konsole oder mithilfe des GetPublicKeyVorgangs herunterladen.

Sie können eine RSA Schlüsselspezifikation wählen, die auf der Länge der Klartextdaten basiert, die Sie in jeder Anfrage verschlüsseln können. Die folgende Tabelle zeigt die maximale Größe (in Byte) des Klartextes, den Sie bei einem einzelnen Aufruf der Produktion Encrypt verschlüsseln können. Die Werte unterscheiden sich je nach Schlüsselspezifikation und Verschlüsselungsalgorithmus. Zum Vergleich: Sie können einen symmetrischen KMS Verschlüsselungsschlüssel verwenden, um bis zu 4096 Byte gleichzeitig zu verschlüsseln.

Verwenden Sie die folgende Formel, um die maximale Klartextlänge in Byte für diese Algorithmen zu berechnen: (key_size_in_bits /8) - (2) * hash_length_in_bits/8) - 2. Für RSA _2048 mit SHA -256 ist die maximale Klartextgröße in Byte beispielsweise (2048/8) - (2 * 256/8) -2 = 190.

Maximale Klartextgröße (in Bytes) in einer Verschlüsselungsoperation
	Verschlüsselungsalgorithmus
Schlüsselspezifikation	RSAES_ _ _1 OAEP SHA	RSAES_ OAEP _ _256 SHA
RSA_2048	214	190
RSA_3072	342	318
RSA_4096	470	446

RSAwichtige Spezifikationen für das Signieren und Verifizieren

Wenn ein RSA asymmetrischer KMS Schlüssel zum Signieren und Überprüfen verwendet wird, generieren Sie die Signatur für eine Nachricht mit dem privaten Schlüssel und überprüfen die Signatur mit dem öffentlichen Schlüssel.

Wenn Sie den Sign Vorgang AWS KMS für einen asymmetrischen KMS Schlüssel aufrufen, AWS KMS verwendet den privaten Schlüssel im RSA key pair, die Nachricht und den von Ihnen angegebenen Signaturalgorithmus, um eine Signatur zu generieren. Um die Signatur zu überprüfen, rufen Sie die Produktion Verify auf. Geben Sie die Signatur sowie denselben KMS Schlüssel, dieselbe Nachricht und denselben Signaturalgorithmus an. AWS KMS verwendet dann den öffentlichen Schlüssel im RSA key pair, um die Signatur zu überprüfen. Sie können den öffentlichen Schlüssel auch herunterladen und ihn verwenden, um die Signatur außerhalb von zu überprüfen AWS KMS.

AWS KMS unterstützt die folgenden Signaturalgorithmen für alle KMS Schlüssel mit einer RSA Schlüsselspezifikation. Sie müssen einen Signaturalgorithmus angeben, wenn Sie die Operationen Sign (Signieren) und Verify (Überprüfen) aufrufen. Sie können für jede Anforderung einen anderen Algorithmus auswählen. Beim Signieren mit RSA Schlüsselpaaren RSASSA werden PSS Algorithmen bevorzugt. Aus Gründen der Kompatibilität mit bestehenden Anwendungen verwenden wir RSASSA PKCS1 -v1_5-Algorithmen.

Unterstützte Signaturalgorithmen für wichtige Spezifikationen RSA
Signaturalgorithmus	Beschreibung des Algorithmus
RSASSA_ PSS _ SHA _256	PKCS#1 v2.2, Abschnitt 8.1, RSA Signatur mit PSS Auffüllung, wobei SHA -256 sowohl für den Nachrichten-Digest als auch für die MGF1 Maskengenerierungsfunktion verwendet wird, zusammen mit einem 256-Bit-Salt
RSASSA_ _ _384 PSS SHA	PKCS#1 v2.2, Abschnitt 8.1, RSA Signatur mit PSS Auffüllung, wobei SHA -384 sowohl für den Nachrichten-Digest als auch für die MGF1 Maskengenerierungsfunktion verwendet wird, zusammen mit einem 384-Bit-Salt
RSASSA_ _ _512 PSS SHA	PKCS#1 v2.2, Abschnitt 8.1, RSA Signatur mit PSS Auffüllung, wobei SHA -512 sowohl für den Nachrichten-Digest als auch für die MGF1 Maskengenerierungsfunktion verwendet wird, zusammen mit einem 512-Bit-Salt
RSASSASHA_ PKCS1 _V1_5_ _256	PKCS#1 v2.2, Abschnitt 8.2, RSA Signatur mit PKCS #1v1 .5 Padding und -256 SHA
RSASSA_ PKCS1 SHA _V1_5_ _384	PKCS#1 v2.2, Abschnitt 8.2, RSA Signatur mit PKCS #1v1 .5 Padding und -384 SHA
RSASSA_ PKCS1 SHA _V1_5_ _512	PKCS#1 v2.2, Abschnitt 8.2, RSA Signatur mit PKCS #1v1 .5 Padding und -512 SHA

Sie können einen KMS Schlüssel nicht so konfigurieren, dass er bestimmte Signaturalgorithmen verwendet. Sie können jedoch die SigningAlgorithm Richtlinienbedingung kms: verwenden, um die Signaturalgorithmen anzugeben, die Prinzipale mit dem KMS Schlüssel verwenden dürfen.

Um die Signaturalgorithmen für einen KMS Schlüssel abzurufen, sehen Sie sich die kryptografische Konfiguration des KMS Schlüssels in der AWS KMS Konsole an oder verwenden Sie den DescribeKeyVorgang. AWS KMS stellt außerdem die Schlüsselspezifikation und die Signaturalgorithmen bereit, wenn Sie Ihren öffentlichen Schlüssel entweder in der AWS KMS Konsole oder mithilfe des GetPublicKeyVorgangs herunterladen.

Elliptic Curve(EC)-Schlüsselspezifikationen

Wenn Sie eine Schlüsselspezifikation mit elliptischer Kurve (ECC) verwenden, AWS KMS wird ein asymmetrischer KMS Schlüssel mit einem ECC key pair zum Signieren und Überprüfen oder zum Ableiten von gemeinsamen Geheimnissen (aber nicht für beide) erstellt. Der private Schlüssel, der Signaturen generiert oder gemeinsame Geheimnisse ableitet, wird niemals unverschlüsselt verlassen. AWS KMS Sie können den öffentlichen Schlüssel verwenden, um Signaturen innerhalb von zu überprüfen AWS KMS, oder den öffentlichen Schlüssel herunterladen, um ihn außerhalb von zu verwenden. AWS KMS

AWS KMS unterstützt die folgenden ECC Schlüsselspezifikationen für asymmetrische KMS Schlüssel.

Asymmetrisch NIST — empfohlene Schlüsselpaare mit elliptischen Kurven (Signierung und Verifizierung — oder Ableitung gemeinsamer geheimer Schlüssel)
- ECC_ _P256 (secp256r1) NIST
- ECC_ NIST _P384 (Abschnitt 384r1)
- ECC_ NIST _P521 (Abschnitt 521r1)
Andere asymmetrische Elliptic Curve-Schlüsselpaare (Signatur und Verifizierung)
- ECC_ SECG _P256K1 (secp256k1), wird häufig für Kryptowährungen verwendet.

Welche ECC Schlüsselspezifikation Sie wählen, hängt möglicherweise von Ihren Sicherheitsstandards oder den Anforderungen Ihrer Aufgabe ab. Verwenden Sie im Allgemeinen die Kurve mit den meisten Punkten, die für Ihre Aufgabe praktisch und erschwinglich ist.

Wenn Sie einen asymmetrischen KMS Schlüssel erstellen, um gemeinsame geheime Schlüssel abzuleiten, verwenden Sie eine der NIST empfohlenen Schlüsselspezifikationen mit elliptischen Kurven. Der einzige unterstützte Schlüsselvereinbarungsalgorithmus zur Ableitung gemeinsamer Geheimnisse ist der Elliptic Curve Cryptography Cofactor Diffie-Hellman Primitive (). ECDH Ein Beispiel dafür, wie gemeinsame Geheimnisse offline abgeleitet werden können, finden Sie unter. Offline-Ableitung gemeinsam genutzter Geheimnisse

Wenn Sie einen asymmetrischen KMS Schlüssel für die Verwendung mit Kryptowährungen erstellen, verwenden Sie die Schlüsselspezifikation ECC _ SECG _P256K1. Sie können diese Schlüsselspezifikation auch für andere Zwecke verwenden, aber sie ist für Bitcoin und andere Kryptowährungen erforderlich.

KMSSchlüssel mit unterschiedlichen ECC Schlüsselspezifikationen haben unterschiedliche Preise und unterliegen unterschiedlichen Anforderungsquoten. Informationen zur AWS KMS Preisgestaltung finden Sie unter AWS Key Management Service Preise. Weitere Informationen zu Anforderungskontingenten finden Sie unter Anforderungskontingente.

In der folgenden Tabelle sind die Signaturalgorithmen aufgeführt, die für die einzelnen ECC Schlüsselspezifikationen AWS KMS unterstützt werden. Sie können einen KMS Schlüssel nicht für die Verwendung bestimmter Signaturalgorithmen konfigurieren. Sie können jedoch die SigningAlgorithm Richtlinienbedingung kms: verwenden, um die Signaturalgorithmen anzugeben, die Prinzipale mit dem KMS Schlüssel verwenden dürfen.

Unterstützte Signaturalgorithmen für ECC wichtige Spezifikationen
Schlüsselspezifikation	Signaturalgorithmus	Beschreibung des Algorithmus
ECC_ NIST _P256	ECDSA_ _256 SHA	NIST FIPS 186-4, Section 6.4, ECDSA signature using the curve specified by the key and SHA-256 für den Message Digest.
ECC_ _P384 NIST	ECDSA_ _384 SHA	NIST FIPS 186-4, Section 6.4, ECDSA signature using the curve specified by the key and SHA-384 für den Message Digest.
ECC_ _P521 NIST	ECDSA_ SHA _512	NIST FIPS 186-4, Section 6.4, ECDSA signature using the curve specified by the key and SHA-512 für den Message Digest.
ECC_ _P256K1 SECG	ECDSA_ SHA _256	NIST FIPS 186-4, Section 6.4, ECDSA signature using the curve specified by the key and SHA-256 für den Message Digest.

SM2wichtige Spezifikation (nur Regionen Chinas)

Die SM2 wichtigste Spezifikation ist eine Schlüsselspezifikation mit elliptischer Kurve, die in der GM/T-Spezifikationsserie definiert ist, die vom chinesischen Office of State Commercial Cryptography Administration () veröffentlicht wurde. OSCCA Die SM2 Schlüsselspezifikation ist nur in chinesischen Regionen verfügbar. Wenn Sie die SM2 Schlüsselspezifikation verwenden, AWS KMS wird ein asymmetrischer KMS Schlüssel mit einem SM2 key pair erstellt. Sie können Ihr SM2 key pair innerhalb von AWS KMS verwenden oder den öffentlichen Schlüssel für die Verwendung außerhalb von herunterladen AWS KMS. Weitere Informationen finden Sie unter Offline-Überprüfung mit SM2 Schlüsselpaaren (nur Regionen Chinas).

Jeder KMS Schlüssel kann nur einmal verwendet werden. Sie können einen SM2 KMS Schlüssel zum Signieren und Verifizieren, Verschlüsseln und Entschlüsseln oder zum Ableiten gemeinsamer Geheimnisse verwenden. Sie müssen die Schlüsselverwendung angeben, wenn Sie den KMS Schlüssel erstellen, und Sie können ihn nicht mehr ändern, nachdem der Schlüssel erstellt wurde.

Wenn Sie einen asymmetrischen KMS Schlüssel erstellen, um gemeinsame geheime Schlüssel abzuleiten, verwenden Sie die SM2 Schlüsselspezifikation. Der einzige unterstützte Schlüsselvereinbarungsalgorithmus zur Ableitung gemeinsamer Geheimnisse ist der Elliptic Curve Cryptography Cofactor Diffie-Hellman Primitive (). ECDH

AWS KMS unterstützt die folgenden Verschlüsselungs- und Signierungsalgorithmen: SM2

SM2PKEVerschlüsselungsalgorithmus

SM2PKEist ein auf elliptischen Kurven basierender Verschlüsselungsalgorithmus, der OSCCA in GM/T 0003.4-2012 definiert ist.
SM2DSASignierungsalgorithmus

SM2DSAist ein auf elliptischen Kurven basierender Signaturalgorithmus, der OSCCA in GM/T 0003.2-2012 definiert ist. SM2DSAerfordert eine identifizierende ID, die mit dem Hash-Algorithmus gehasht und dann mit der Nachricht SM3 oder dem Nachrichten-Digest kombiniert wird, an die Sie übergeben haben. AWS KMS Dieser verkettete Wert wird dann gehasht und von signiert. AWS KMS

Wichtige Spezifikationen für Schlüssel HMAC KMS

AWS KMS unterstützt symmetrische HMAC Schlüssel in unterschiedlichen Längen. Häufig wird die von Ihnen ausgewählte Schlüsselspezifikation durch Ihre Sicherheits-, gesetzliche, oder geschäftliche Anforderungen bestimmt. Die Länge des Schlüssels bestimmt den MAC Algorithmus, der in GenerateMac VerifyMacAND-Operationen verwendet wird. Im Allgemeinen sind längere Schlüssel sicherer. Verwenden Sie den längsten Schlüssel, der für Ihren Anwendungsfall praktisch ist.

HMACSchlüsselspezifikation	MACAlgorithmus
HMAC_224	HMAC_ _224 SHA
HMAC_256	HMAC_ _256 SHA
HMAC_384	HMAC_ _384 SHA
HMAC_512	HMAC_ _512 SHA

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Schlüsseltypreferenz

Berechtigungsreferenz