Referenz zu wichtigen Spezifikationen - AWS Key Management Service
Schlüsselspezifikation SYMMMETRIC_DEFAULTRSA-SchlüsselspezifikationenElliptic Curve(EC)-SchlüsselspezifikationenSM2 wichtige Spezifikation (nur Regionen China)Schlüsselspezifikationen für HMAC-KMS-Schlüssel

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Referenz zu wichtigen Spezifikationen

Wenn Sie einen asymmetrischen KMS-Schlüssel oder HMAC-KMS-Schlüssel erstellen, wählen Sie dessen Schlüsselspezifikation aus. Die Schlüsselspezifikation, die eine Eigenschaft von every ist AWS KMS key, stellt die kryptografische Konfiguration Ihres KMS-Schlüssels dar. Sie wählen die Schlüsselspezifikation, wenn Sie den KMS-Schlüssel erstellen. Sie kann danach nicht mehr geändert werden. Wenn Sie die falsche Schlüsselspezifikation ausgewählt haben, löschen Sie den KMS-Schlüssel und erstellen Sie einen neuen.

Anmerkung

Die Schlüsselspezifikation für einen KMS-Schlüssel wurde als „Kunden-Hauptschlüssel-Spezifikation“ bezeichnet. Der CustomerMasterKeySpec Parameter des CreateKeyVorgangs ist veraltet. Verwenden Sie stattdessen den KeySpec-Parameter. Die Antwort der DescribeKeyOperationen CreateKey und enthält ein KeySpec CustomerMasterKeySpec Und-Element mit demselben Wert.

Die Schlüsselspezifikation bestimmt, ob der KMS-Schlüssel symmetrisch oder asymmetrisch ist, welche Art von Schlüsselmaterial im KMS-Schlüssel enthalten ist und welche Verschlüsselungs-, Signaturalgorithmen oder MAC-Algorithmen (Message Authentication Code) den KMS-Schlüssel AWS KMS unterstützen. Die von Ihnen gewählte Schlüsselspezifikation wird in der Regel durch Ihren Anwendungsfall und gesetzliche Anforderungen bestimmt. Allerdings haben kryptografische Operationen zu KMS-Schlüsseln mit unterschiedlichen Schlüsselspezifikationen unterschiedliche Preise und unterliegen unterschiedlichen Kontingenten. Details zu den Preisen finden Sie unter AWS Key Management Service -Preise. Weitere Informationen zu Anforderungskontingenten finden Sie unter Anforderungskontingente.

Um die Schlüsselspezifikationen einzuschränken, die Prinzipale bei der Erstellung von KMS-Schlüsseln verwenden können, verwenden Sie den Bedingungsschlüssel kms:. KeySpec Sie können den kms:KeySpec Bedingungsschlüssel auch verwenden, um es Prinzipalen zu ermöglichen, AWS KMS Operationen nur für KMS-Schlüssel mit einer bestimmten Schlüsselspezifikation aufzurufen. Beispielsweise können Sie die Berechtigung zum Planen des Löschens eines KMS-Schlüssels mit einer RSA_4096-Schlüsselspezifikation verweigern.

AWS KMS unterstützt die folgenden Schlüsselspezifikationen für KMS-Schlüssel:

Symmetrische Verschlüsselungsschlüsselspezifikation(Standard)

  • SYMMETRIC_DEFAULT

RSA-Schlüsselspezifikationen (Verschlüsselung und Entschlüsselung -oder- Signatur und Verifizierung)

  • RSA_2048

  • RSA_3072

  • RSA_4096

Elliptic Curve(EC)-Schlüsselspezifikationen

  • Von NIST empfohlene asymmetrische Schlüsselpaare mit elliptischen Kurven (Signierung und Verifizierung oder Ableitung gemeinsam genutzter Geheimnisse)

    • ECC_NIST_P256 (secp256r1)

    • ECC_NIST_P384 (secp384r1)

    • ECC_NIST_P521 (secp521r1)

  • Andere asymmetrische Elliptic Curve-Schlüsselpaare (Signatur und Verifizierung)

    • ECC_SECG_P256K1 (secp256k1), häufig für Kryptowährung verwendet.

SM2 Schlüsselspezifikation (Verschlüsselung und Entschlüsselung — oder — Signierung und Verifizierung — oder Ableitung gemeinsam genutzter Geheimnisse)

  • SM2 (nur Regionen China)

HMAC-Schlüsselspezifikationen

  • HMAC_224

  • HMAC_256

  • HMAC_384

  • HMAC_512

Schlüsselspezifikation SYMMMETRIC_DEFAULT

Die Standard-Schlüsselspezifikation SYMMMETRIC_DEFAULT ist die Schlüsselspezifikation für KMS-Schlüssel mit symmetrischer Verschlüsselung. Wenn Sie in der AWS KMS Konsole den Schlüsseltyp Symmetrisch und die Schlüsselverwendung verschlüsseln und entschlüsseln auswählen, wird die Schlüsselspezifikation ausgewählt. SYMMETRIC_DEFAULT Wenn Sie bei der CreateKeyOperation keinen KeySpec Wert angeben, wird SYMMETRIC_DEFAULT ausgewählt. Wenn Sie keinen Grund haben, eine andere Schlüsselspezifikation zu verwenden, ist SYMMETRIC_DEFAULT eine gute Wahl.

SYMMETRIC_DEFAULT steht für AES-256-GCM, einen symmetrischen Algorithmus, der auf dem Advanced Encryption Standard (AES) im Galois Counter Mode (GCM) mit 256-Bit-Schlüsseln basiert, einem Industriestandard für sichere Verschlüsselung. Der Chiffretext, den dieser Algorithmus generiert, unterstützt zusätzliche authentifizierte Daten (AAD), z. B. einen Verschlüsselungskontext, und GCM bietet eine zusätzliche Integritätsprüfung für den Chiffretext.

Die unter AES-256-GCM verschlüsselten Daten sind gegenwärtig und zukünftig geschützt. Kryptographen betrachten diesen Algorithmus als quantenresistent. Theoretische zukünftige, groß angelegte Quantenrechnungsangriffe auf Verschlüsselungstexte, die unter 256-Bit-AES-GCM-Schlüsseln erstellt wurden, reduzieren die effektive Sicherheit des Schlüssels auf 128-Bits. Diese Sicherheitsstufe reicht jedoch aus, um Brute-Force-Angriffe auf Chiffretexte unmöglich zu machen. AWS KMS

Die einzige Ausnahme in China Regionen, wo SYMMETRIC_DEFAULT für einen symmetrischen 128-Bit-Schlüssel steht, der Verschlüsselung verwendet. SM4 Sie können einen SM4 128-Bit-Schlüssel nur in Regionen China erstellen. Sie können keinen 256-Bit-AES-GCM-KMS-Schlüssel in China erstellen.

Sie können einen KMS-Schlüssel mit symmetrischer Verschlüsselung verwenden, um Daten AWS KMS zu verschlüsseln, zu entschlüsseln und erneut zu verschlüsseln und um generierte Datenschlüssel und Datenschlüsselpaare zu schützen. AWS Dienste, die in integriert sind, AWS KMS verwenden KMS-Schlüssel mit symmetrischer Verschlüsselung, um Ihre Daten im Ruhezustand zu verschlüsseln. Sie können in einen KMS-Schlüssel mit symmetrischer Verschlüsselung Ihr eigenes Schlüsselmaterial importieren und KMS-Schlüssel mit symmetrischer Verschlüsselung in benutzerdefinierten Schlüsselspeichern erstellen. Eine Tabelle mit den Operationen, die Sie für symmetrische und asymmetrische KMS-Schlüssel ausführen können, finden Sie unter Vergleich symmetrischer und asymmetrischer KMS-Schlüssel.

Sie können einen KMS-Schlüssel mit symmetrischer Verschlüsselung verwenden, um Daten AWS KMS zu verschlüsseln, zu entschlüsseln und erneut zu verschlüsseln sowie Datenschlüssel und Datenschlüsselpaare zu generieren. Sie können multiregionale KMS-Schlüssel mit symmetrischer Verschlüsselung erstellen, ihr eigenes Schlüsselmaterial in einen KMS-Schlüssel mit symmetrischer Verschlüsselung importieren und KMS-Schlüssel mit symmetrischer Verschlüsselung in benutzerdefinierten Schlüsselspeichern erstellen. Eine Tabelle mit den Operationen, die Sie auf unterschiedlichen KMS-Schlüsseltypen durchführen können, finden Sie unter Schlüsseltypreferenz.

RSA-Schlüsselspezifikationen

Wenn Sie eine RSA-Schlüsselspezifikation verwenden, AWS KMS wird ein asymmetrischer KMS-Schlüssel mit einem RSA-Schlüsselpaar erstellt. Der private Schlüssel wird niemals unverschlüsselt verlassen. AWS KMS Sie können den öffentlichen Schlüssel innerhalb von verwenden oder den öffentlichen Schlüssel herunterladen AWS KMS, um ihn außerhalb von AWS KMS zu verwenden.

Warnung

Wenn Sie Daten außerhalb von verschlüsseln, stellen Sie sicher AWS KMS, dass Sie Ihren Chiffretext entschlüsseln können. Wenn Sie den öffentlichen Schlüssel aus einem KMS-Schlüssel, der aus AWS KMS gelöscht wurde, den öffentlichen Schlüssel aus einem für Signatur und Überprüfung konfigurierten KMS-Schlüssel oder einen vom KMS-Schlüssel nicht unterstützten Verschlüsselungsalgorithmus verwenden, können die Daten nicht wiederhergestellt werden.

In AWS KMS können Sie asymmetrische KMS-Schlüssel mit RSA-Schlüsselpaaren für die Verschlüsselung und Entschlüsselung oder für das Signieren und Überprüfen verwenden, aber nicht beides. Diese Eigenschaft, die als Schlüsselnutzung bezeichnet wird, wird getrennt von der Schlüsselspezifikation bestimmt, aber Sie sollten diese Entscheidung treffen, bevor Sie eine Schlüsselspezifikation auswählen.

AWS KMS unterstützt die folgenden RSA-Schlüsselspezifikationen für Verschlüsselung und Entschlüsselung oder Signierung und Überprüfung:

  • RSA_2048

  • RSA_3072

  • RSA_4096

Die RSA-Schlüsselspezifikationen unterscheiden sich in der Länge des RSA-Schlüssels in Bits. Die von Ihnen gewählte RSA-Schlüsselspezifikation hängt möglicherweise von Ihren Sicherheitsstandards oder den Anforderungen Ihrer Aufgabe ab. Verwenden Sie im Allgemeinen den größten Schlüssel, der für Ihre Aufgabe praktisch und erschwinglich ist. Kryptografische Operationen zu KMS-Schlüsseln mit unterschiedlichen RSA-Schlüsselspezifikationen haben unterschiedliche Preise. AWS KMS Preisinformationen finden Sie unter Preise für den AWS Key Management Service. Weitere Hinweise zu Anforderungskontingenten finden Sie unter Anforderungskontingente.

RSA-Schlüsselspezifikationen für Verschlüsselung und Entschlüsselung

Wenn ein asymmetrischer RSA-KMS-Schlüssel für die Verschlüsselung und Entschlüsselung verwendet wird, verschlüsseln Sie mit dem öffentlichen Schlüssel und entschlüsseln mit dem privaten Schlüssel. Wenn Sie den Encrypt Vorgang AWS KMS für einen RSA-KMS-Schlüssel aufrufen, AWS KMS verwendet den öffentlichen Schlüssel im RSA-Schlüsselpaar und den von Ihnen angegebenen Verschlüsselungsalgorithmus, um Ihre Daten zu verschlüsseln. Um den Chiffretext zu entschlüsseln, rufen Sie den Decrypt Vorgang auf und geben Sie denselben KMS-Schlüssel und denselben Verschlüsselungsalgorithmus an. AWS KMS verwendet dann den privaten Schlüssel im RSA-Schlüsselpaar, um Ihre Daten zu entschlüsseln.

Sie können den öffentlichen Schlüssel auch herunterladen und damit Daten außerhalb von verschlüsseln. AWS KMS Stellen Sie sicher, dass Sie einen Verschlüsselungsalgorithmus verwenden, der RSA-KMS-Schlüssel AWS KMS unterstützt. Um den Chiffretext zu entschlüsseln, rufen Sie die Decrypt-Funktion mit demselben KMS-Schlüssel und Verschlüsselungsalgorithmus auf.

AWS KMS unterstützt zwei Verschlüsselungsalgorithmen für KMS-Schlüssel mit RSA-Schlüsselspezifikationen. Diese Algorithmen, die in PKCS #1 v2.2, definiert sind, unterscheiden sich in der Hashfunktion, die sie intern verwenden. In AWS KMS verwenden die RSAES_OAEP-Algorithmen immer dieselbe Hash-Funktion sowohl für Hashing-Zwecke als auch für die Maskengenerierungsfunktion (). MGF1 Sie müssen beim Aufruf der Operationen Encrypt und Decrypt einen Verschlüsselungsalgorithmus angeben. Sie können für jede Anforderung einen anderen Algorithmus auswählen.

Unterstützte Verschlüsselungsalgorithmen für RSA-Schlüsselspezifikationen
Verschlüsselungsalgorithmus Beschreibung des Algorithmus
RSAES_OAEP_SHA_1 PKCS #1 v2.2, Abschnitt 7.1. RSA-Verschlüsselung mit OAEP-Padding, wobei SHA-1 sowohl für den Hash als auch für die Maskengenerierungsfunktion zusammen mit einem leeren Label verwendet wird. MGF1
RSAES_OAEP_SHA_256 PKCS #1, Abschnitt 7.1. RSA-Verschlüsselung mit OAEP-Padding unter Verwendung von SHA-256 sowohl für den Hash als auch für die Maskengenerierungsfunktion zusammen mit einem leeren Label. MGF1

Sie können einen KMS-Schlüssel nicht so konfigurieren, dass er einen bestimmten Verschlüsselungsalgorithmus verwendet. Sie können jedoch die EncryptionAlgorithm Richtlinienbedingung kms: verwenden, um die Verschlüsselungsalgorithmen anzugeben, die Prinzipale mit dem KMS-Schlüssel verwenden dürfen.

Um die Verschlüsselungsalgorithmen für einen KMS-Schlüssel abzurufen, sehen Sie sich die kryptografische Konfiguration des KMS-Schlüssels in der AWS KMS Konsole an oder verwenden Sie den DescribeKeyVorgang. AWS KMS stellt außerdem die Schlüsselspezifikation und die Verschlüsselungsalgorithmen bereit, wenn Sie Ihren öffentlichen Schlüssel entweder in der AWS KMS Konsole oder mithilfe des GetPublicKeyVorgangs herunterladen.

Sie können eine RSA-Schlüsselspezifikation basierend auf der Länge der Klartextdaten auswählen, die Sie in jeder Anforderung verschlüsseln können. Die folgende Tabelle zeigt die maximale Größe (in Byte) des Klartextes, den Sie bei einem einzelnen Aufruf der Produktion Encrypt verschlüsseln können. Die Werte unterscheiden sich je nach Schlüsselspezifikation und Verschlüsselungsalgorithmus. Zum Vergleich können Sie einen KMS-Schlüssel mit symmetrischer Verschlüsselung verwenden, um bis zu 4096 Bytes gleichzeitig zu verschlüsseln.

Verwenden Sie die folgende Formel, um die maximale Klartextlänge in Byte für diese Algorithmen zu berechnen: (key_size_in_bits/8) - (2 * hash_length_in_bits /8) - 2. Für RSA_2048 mit SHA-256 beträgt beispielsweise die maximale Klartextgröße in Bytes (2048/8) - (2 * 256/8) -2 = 190.

Maximale Klartextgröße (in Bytes) in einer Verschlüsselungsoperation
Verschlüsselungsalgorithmus
Schlüsselspezifikation RSAES_OAEP_SHA_1 RSAES_OAEP_SHA_256
RSA_2048 214 190
RSA_3072 342 318
RSA_4096 470 446

RSA-Schlüsselspezifikationen für Signatur und Verifizierung

Wenn ein asymmetrischer RSA-KMS-Schlüssel für Signatur und Verifizierung verwendet wird, generieren Sie die Signatur für eine Nachricht mit dem privaten Schlüssel und überprüfen die Signatur mit dem öffentlichen Schlüssel.

Wenn Sie den Sign Vorgang AWS KMS für einen asymmetrischen KMS-Schlüssel aufrufen, AWS KMS verwendet den privaten Schlüssel im RSA-Schlüsselpaar, die Nachricht und den von Ihnen angegebenen Signaturalgorithmus, um eine Signatur zu generieren. Um die Signatur zu überprüfen, rufen Sie die Produktion Verify auf. Geben Sie die Signatur sowie denselben KMS-Schlüssel, dieselbe Nachricht und denselben Signaturalgorithmus an. AWS KMS verwendet dann den öffentlichen Schlüssel im RSA-Schlüsselpaar, um die Signatur zu überprüfen. Sie können den öffentlichen Schlüssel auch herunterladen und ihn verwenden, um die Signatur außerhalb von AWS KMS zu überprüfen.

AWS KMS unterstützt die folgenden Signaturalgorithmen für alle KMS-Schlüssel mit einer RSA-Schlüsselspezifikation. Sie müssen einen Signaturalgorithmus angeben, wenn Sie die Operationen Sign (Signieren) und Verify (Überprüfen) aufrufen. Sie können für jede Anforderung einen anderen Algorithmus auswählen. Beim Signieren mit RSA-Schlüsselpaaren werden RSASSA-PSS-Algorithmen bevorzugt. Aus Gründen der Kompatibilität mit bestehenden Anwendungen verwenden wir RSASSA- PKCS1 -v1_5-Algorithmen.

Unterstützte Signaturalgorithmen für RSA-Schlüsselspezifikationen
Signaturalgorithmus Beschreibung des Algorithmus
RSASSA_PSS_SHA_256 PKCS #1 v2.2, Abschnitt 8.1, RSA-Signatur mit PSS-Padding unter Verwendung von SHA-256 sowohl für den Nachrichten-Digest als auch für die Maskengenerierungsfunktion zusammen mit einem 256-Bit-Salt MGF1
RSASSA_PSS_SHA_384 PKCS #1 v2.2, Abschnitt 8.1, RSA-Signatur mit PSS-Padding unter Verwendung von SHA-384 sowohl für den Nachrichten-Digest als auch für die Maskengenerierungsfunktion zusammen mit einem 384-Bit-Salt MGF1
RSASSA_PSS_SHA_512 PKCS #1 v2.2, Abschnitt 8.1, RSA-Signatur mit PSS-Padding unter Verwendung von SHA-512 sowohl für den Nachrichten-Digest als auch für die Maskengenerierungsfunktion zusammen mit einem 512-Bit-Salt MGF1
RSASSA_ _V1_5_SHA_256 PKCS1 PKCS #1 v2.2, Abschnitt 8.2, RSA-Signatur mit PKCS #1v1.5 Auffüllung und SHA-256
RSASSA_ PKCS1 _V1_5_SHA_384 PKCS #1 v2.2, Abschnitt 8.2, RSA-Signatur mit PKCS #1v1.5 Auffüllung und SHA-384
RSASSA_ PKCS1 _V1_5_SHA_512 PKCS #1 v2.2, Abschnitt 8.2, RSA-Signatur mit PKCS #1v1.5 Auffüllung und SHA-512

Sie können einen KMS-Schlüssel nicht so konfigurieren, dass bestimmte Signaturalgorithmen verwendet werden. Sie können jedoch die SigningAlgorithm Richtlinienbedingung kms: verwenden, um die Signaturalgorithmen anzugeben, die Prinzipale mit dem KMS-Schlüssel verwenden dürfen.

Um die Signaturalgorithmen für einen KMS-Schlüssel abzurufen, sehen Sie sich die kryptografische Konfiguration des KMS-Schlüssels in der AWS KMS Konsole an oder verwenden Sie den DescribeKeyVorgang. AWS KMS stellt außerdem die Schlüsselspezifikation und die Signaturalgorithmen bereit, wenn Sie Ihren öffentlichen Schlüssel entweder in der AWS KMS Konsole oder mithilfe des GetPublicKeyVorgangs herunterladen.

Elliptic Curve(EC)-Schlüsselspezifikationen

Wenn Sie eine ECC-Schlüsselspezifikation (Elliptic Curve) verwenden, AWS KMS wird ein asymmetrischer KMS-Schlüssel mit einem ECC-Schlüsselpaar zum Signieren und Verifizieren oder zum Ableiten von gemeinsamen Geheimnissen (aber nicht beides) erstellt. Der private Schlüssel, der Signaturen generiert oder gemeinsame Geheimnisse ableitet, bleibt niemals unverschlüsselt. AWS KMS Sie können den öffentlichen Schlüssel verwenden, um Signaturen innerhalb von zu überprüfen AWS KMS, oder den öffentlichen Schlüssel herunterladen, um ihn außerhalb von zu verwenden. AWS KMS

AWS KMS unterstützt die folgenden ECC-Schlüsselspezifikationen für asymmetrische KMS-Schlüssel.

  • Von NIST empfohlene asymmetrische Schlüsselpaare mit elliptischen Kurven (Signierung und Verifizierung — oder Ableitung gemeinsam genutzter Geheimnisse)

    • ECC_NIST_P256 (secp256r1)

    • ECC_NIST_P384 (secp384r1)

    • ECC_NIST_P521 (secp521r1)

  • Andere asymmetrische Elliptic Curve-Schlüsselpaare (Signatur und Verifizierung)

    • ECC_SECG_P256K1 (secp256k1), häufig für Kryptowährung verwendet.

Die von Ihnen gewählte ECC-Schlüsselspezifikation hängt möglicherweise von Ihren Sicherheitsstandards oder den Anforderungen Ihrer Aufgabe ab. Verwenden Sie im Allgemeinen die Kurve mit den meisten Punkten, die für Ihre Aufgabe praktisch und erschwinglich ist.

Wenn Sie einen asymmetrischen KMS-Schlüssel erstellen, um gemeinsame geheime Schlüssel abzuleiten, verwenden Sie eine der von NIST empfohlenen Spezifikationen für elliptische Kurvenschlüssel. Der einzige unterstützte Schlüsselvereinbarungsalgorithmus zur Ableitung gemeinsamer Geheimnisse ist der Elliptic Curve Cryptography Cofactor Diffie-Hellman Primitive (ECDH). Ein Beispiel dafür, wie gemeinsame Geheimnisse offline abgeleitet werden können, finden Sie unter. Offline-Ableitung gemeinsam genutzter Geheimnisse

Wenn Sie einen asymmetrischen KMS-Schlüssel für die Verwendung mit Kryptowährungen erstellen, verwenden Sie die Schlüsselspezifikation ECC_SECG_P256K1. Sie können diese Schlüsselspezifikation auch für andere Zwecke verwenden, aber sie ist für Bitcoin und andere Kryptowährungen erforderlich.

KMS-Schlüssel mit unterschiedlichen ECC-Schlüsselspezifikationen haben unterschiedliche Preise und unterliegen unterschiedlichen Anforderungkontingenten. Informationen zur Preisgestaltung finden Sie unter AWS KMS AWS Key Management Service Preisgestaltung. Weitere Informationen zu Anforderungskontingenten finden Sie unter Anforderungskontingente.

In der folgenden Tabelle sind die Signaturalgorithmen aufgeführt, die für die einzelnen ECC-Schlüsselspezifikationen AWS KMS unterstützt werden. Sie können einen KMS-Schlüssel nicht so konfigurieren, dass bestimmte Signaturalgorithmen verwendet werden. Sie können jedoch die SigningAlgorithm Richtlinienbedingung kms: verwenden, um die Signaturalgorithmen anzugeben, die Prinzipale mit dem KMS-Schlüssel verwenden dürfen.

Unterstützte Signaturalgorithmen für ECC-Schlüsselspezifikationen
Schlüsselspezifikation Signaturalgorithmus Beschreibung des Algorithmus
ECC_NIST_P256 ECDSA_SHA_256 NIST FIPS 186-4, Section 6.4, ECDSA signature using the curve specified by the key and SHA-256 für den Message Digest.
ECC_NIST_P384 ECDSA_SHA_384 NIST FIPS 186-4, Section 6.4, ECDSA signature using the curve specified by the key and SHA-384 für den Nachrichten-Digest.
ECC_NIST_P521 ECDSA_SHA_512 NIST FIPS 186-4, Section 6.4, ECDSA signature using the curve specified by the key and SHA-512 für den Nachrichten-Digest.
ECC_SECG_P256K1 ECDSA_SHA_256 NIST FIPS 186-4, Section 6.4, ECDSA signature using the curve specified by the key and SHA-256 für den Nachrichten-Digest.

SM2 wichtige Spezifikation (nur Regionen China)

Die SM2 wichtigste Spezifikation ist eine Schlüsselspezifikation mit elliptischer Kurve, die in der GM/T-Spezifikationsserie definiert ist, die vom chinesischen Office of State Commercial Cryptography Administration (OSCCA) veröffentlicht wurde. Die SM2 Schlüsselspezifikation ist nur in China Regionen verfügbar. Wenn Sie die SM2 Schlüsselspezifikation verwenden, AWS KMS wird ein asymmetrischer KMS-Schlüssel mit einem SM2 key pair erstellt. Sie können Ihr SM2 key pair innerhalb von AWS KMS verwenden oder den öffentlichen Schlüssel für die Verwendung außerhalb von herunterladen AWS KMS. Weitere Informationen finden Sie unter Offline-Überprüfung mit SM2 Schlüsselpaaren (nur Regionen China).

Jeder KMS-Schlüssel kann nur eine Schlüsselnutzung haben. Sie können einen SM2 KMS-Schlüssel zum Signieren und Überprüfen, Verschlüsseln und Entschlüsseln oder zum Ableiten von gemeinsamen Geheimnissen verwenden. Sie müssen die Schlüsselverwendung bestimmen, wenn Sie den KMS-Schlüssel erstellen. Sie kann nach der Schlüsselerstellung nicht mehr geändert werden.

Wenn Sie einen asymmetrischen KMS-Schlüssel erstellen, um gemeinsame geheime Schlüssel abzuleiten, verwenden Sie die Schlüsselspezifikation. SM2 Der einzige unterstützte Schlüsselvereinbarungsalgorithmus zur Ableitung gemeinsamer Geheimnisse ist der Elliptic Curve Cryptography Cofactor Diffie-Hellman Primitive (ECDH).

AWS KMS unterstützt die folgenden Verschlüsselungs- und Signierungsalgorithmen: SM2

  • SM2PKE-Verschlüsselungsalgorithmus

    SM2PKE ist ein auf elliptischen Kurven basierender Verschlüsselungsalgorithmus, der von OSCCA in GM/T 0003.4-2012 definiert wurde.

  • SM2DSA-Signaturalgorithmus

    SM2DSA ist ein auf elliptischen Kurven basierender Signaturalgorithmus, der von OSCCA in GM/T 0003.2-2012 definiert wurde. SM2DSA benötigt eine identifizierende ID, die mit dem Hash-Algorithmus gehasht und dann mit der Nachricht oder dem SM3 Message Digest kombiniert wird, an die Sie übergeben haben. AWS KMS Dieser verkettete Wert wird dann gehasht und von signiert. AWS KMS

Schlüsselspezifikationen für HMAC-KMS-Schlüssel

AWS KMS unterstützt symmetrische HMAC-Schlüssel in unterschiedlichen Längen. Häufig wird die von Ihnen ausgewählte Schlüsselspezifikation durch Ihre Sicherheits-, gesetzliche, oder geschäftliche Anforderungen bestimmt. Die Länge des Schlüssels bestimmt den MAC-Algorithmus, der in GenerateMacAND-Operationen verwendet wird. VerifyMac Im Allgemeinen sind längere Schlüssel sicherer. Verwenden Sie den längsten Schlüssel, der für Ihren Anwendungsfall praktisch ist.

HMAC-Schlüsselspezifikation MAC-Algorithmen
HMAC_224 HMAC_SHA_224
HMAC_256 HMAC_SHA_256
HMAC_384 HMAC_SHA_384
HMAC_512 HMAC_SHA_512