Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wenn Sie einen asymmetrischen KMS-Schlüssel oder HMAC-KMS-Schlüssel erstellen, wählen Sie dessen Schlüsselspezifikation aus. Die Schlüsselspezifikation, die eine Eigenschaft von every ist AWS KMS key, stellt die kryptografische Konfiguration Ihres KMS-Schlüssels dar. Sie wählen die Schlüsselspezifikation, wenn Sie den KMS-Schlüssel erstellen. Sie kann danach nicht mehr geändert werden. Wenn Sie die falsche Schlüsselspezifikation ausgewählt haben, löschen Sie den KMS-Schlüssel und erstellen Sie einen neuen.
Anmerkung
Die Schlüsselspezifikation für einen KMS-Schlüssel wurde als „Kunden-Hauptschlüssel-Spezifikation“ bezeichnet. Der CustomerMasterKeySpec
Parameter des CreateKeyVorgangs ist veraltet. Verwenden Sie stattdessen den KeySpec
-Parameter. Die Antwort der DescribeKeyOperationen CreateKey
und enthält ein KeySpec
CustomerMasterKeySpec
Und-Element mit demselben Wert.
Die Schlüsselspezifikation bestimmt, ob der KMS-Schlüssel symmetrisch oder asymmetrisch ist, welche Art von Schlüsselmaterial im KMS-Schlüssel enthalten ist und welche Verschlüsselungs-, Signaturalgorithmen oder MAC-Algorithmen (Message Authentication Code) den KMS-Schlüssel AWS KMS unterstützen. Die von Ihnen gewählte Schlüsselspezifikation wird in der Regel durch Ihren Anwendungsfall und gesetzliche Anforderungen bestimmt. Allerdings haben kryptografische Operationen zu KMS-Schlüsseln mit unterschiedlichen Schlüsselspezifikationen unterschiedliche Preise und unterliegen unterschiedlichen Kontingenten. Details zu den Preisen finden Sie unter AWS Key Management Service -Preise
Um die Schlüsselspezifikationen einzuschränken, die Prinzipale bei der Erstellung von KMS-Schlüsseln verwenden können, verwenden Sie den Bedingungsschlüssel kms:. KeySpec Sie können den kms:KeySpec
Bedingungsschlüssel auch verwenden, um es Prinzipalen zu ermöglichen, AWS KMS Operationen nur für KMS-Schlüssel mit einer bestimmten Schlüsselspezifikation aufzurufen. Beispielsweise können Sie die Berechtigung zum Planen des Löschens eines KMS-Schlüssels mit einer RSA_4096
-Schlüsselspezifikation verweigern.
AWS KMS unterstützt die folgenden Schlüsselspezifikationen für KMS-Schlüssel:
- Symmetrische Verschlüsselungsschlüsselspezifikation(Standard)
-
-
SYMMETRIC_DEFAULT
-
- RSA-Schlüsselspezifikationen (Verschlüsselung und Entschlüsselung -oder- Signatur und Verifizierung)
-
-
RSA_2048
-
RSA_3072
-
RSA_4096
-
- Elliptic Curve(EC)-Schlüsselspezifikationen
-
-
Von NIST empfohlene asymmetrische Schlüsselpaare mit elliptischen Kurven
(Signierung und Verifizierung oder Ableitung gemeinsam genutzter Geheimnisse) -
ECC_NIST_P256 (secp256r1)
-
ECC_NIST_P384 (secp384r1)
-
ECC_NIST_P521 (secp521r1)
-
-
Andere asymmetrische Elliptic Curve-Schlüsselpaare (Signatur und Verifizierung)
-
ECC_SECG_P256K1 (secp256k1
), häufig für Kryptowährung verwendet.
-
-
- SM2 Schlüsselspezifikation (Verschlüsselung und Entschlüsselung — oder — Signierung und Verifizierung — oder Ableitung gemeinsam genutzter Geheimnisse)
-
-
SM2 (nur Regionen China)
-
- HMAC-Schlüsselspezifikationen
-
-
HMAC_224
-
HMAC_256
-
HMAC_384
-
HMAC_512
-
Schlüsselspezifikation SYMMMETRIC_DEFAULT
Die Standard-Schlüsselspezifikation SYMMMETRIC_DEFAULT ist die Schlüsselspezifikation für KMS-Schlüssel mit symmetrischer Verschlüsselung. Wenn Sie in der AWS KMS Konsole den Schlüsseltyp Symmetrisch und die Schlüsselverwendung verschlüsseln und entschlüsseln auswählen, wird die Schlüsselspezifikation ausgewählt. SYMMETRIC_DEFAULT
Wenn Sie bei der CreateKeyOperation keinen KeySpec
Wert angeben, wird SYMMETRIC_DEFAULT ausgewählt. Wenn Sie keinen Grund haben, eine andere Schlüsselspezifikation zu verwenden, ist SYMMETRIC_DEFAULT eine gute Wahl.
SYMMETRIC_DEFAULT steht für AES-256-GCM, einen symmetrischen Algorithmus, der auf dem Advanced Encryption Standard (AES) im Galois Counter Mode (GCM
Die unter AES-256-GCM verschlüsselten Daten sind gegenwärtig und zukünftig geschützt. Kryptographen betrachten diesen Algorithmus als quantenresistent. Theoretische zukünftige, groß angelegte Quantenrechnungsangriffe auf Verschlüsselungstexte, die unter 256-Bit-AES-GCM-Schlüsseln erstellt wurden, reduzieren die effektive Sicherheit des Schlüssels auf 128-Bits
Die einzige Ausnahme in China Regionen, wo SYMMETRIC_DEFAULT für einen symmetrischen 128-Bit-Schlüssel steht, der Verschlüsselung verwendet. SM4 Sie können einen SM4 128-Bit-Schlüssel nur in Regionen China erstellen. Sie können keinen 256-Bit-AES-GCM-KMS-Schlüssel in China erstellen.
Sie können einen KMS-Schlüssel mit symmetrischer Verschlüsselung verwenden, um Daten AWS KMS zu verschlüsseln, zu entschlüsseln und erneut zu verschlüsseln und um generierte Datenschlüssel und Datenschlüsselpaare zu schützen. AWS Dienste, die in integriert sind, AWS KMS verwenden KMS-Schlüssel mit symmetrischer Verschlüsselung, um Ihre Daten im Ruhezustand zu verschlüsseln. Sie können in einen KMS-Schlüssel mit symmetrischer Verschlüsselung Ihr eigenes Schlüsselmaterial importieren und KMS-Schlüssel mit symmetrischer Verschlüsselung in benutzerdefinierten Schlüsselspeichern erstellen. Eine Tabelle mit den Operationen, die Sie für symmetrische und asymmetrische KMS-Schlüssel ausführen können, finden Sie unter Vergleich symmetrischer und asymmetrischer KMS-Schlüssel.
Sie können einen KMS-Schlüssel mit symmetrischer Verschlüsselung verwenden, um Daten AWS KMS zu verschlüsseln, zu entschlüsseln und erneut zu verschlüsseln sowie Datenschlüssel und Datenschlüsselpaare zu generieren. Sie können multiregionale KMS-Schlüssel mit symmetrischer Verschlüsselung erstellen, ihr eigenes Schlüsselmaterial in einen KMS-Schlüssel mit symmetrischer Verschlüsselung importieren und KMS-Schlüssel mit symmetrischer Verschlüsselung in benutzerdefinierten Schlüsselspeichern erstellen. Eine Tabelle mit den Operationen, die Sie auf unterschiedlichen KMS-Schlüsseltypen durchführen können, finden Sie unter Schlüsseltypreferenz.
RSA-Schlüsselspezifikationen
Wenn Sie eine RSA-Schlüsselspezifikation verwenden, AWS KMS wird ein asymmetrischer KMS-Schlüssel mit einem RSA-Schlüsselpaar erstellt. Der private Schlüssel wird niemals unverschlüsselt verlassen. AWS KMS Sie können den öffentlichen Schlüssel innerhalb von verwenden oder den öffentlichen Schlüssel herunterladen AWS KMS, um ihn außerhalb von AWS KMS zu verwenden.
Warnung
Wenn Sie Daten außerhalb von verschlüsseln, stellen Sie sicher AWS KMS, dass Sie Ihren Chiffretext entschlüsseln können. Wenn Sie den öffentlichen Schlüssel aus einem KMS-Schlüssel, der aus AWS KMS gelöscht wurde, den öffentlichen Schlüssel aus einem für Signatur und Überprüfung konfigurierten KMS-Schlüssel oder einen vom KMS-Schlüssel nicht unterstützten Verschlüsselungsalgorithmus verwenden, können die Daten nicht wiederhergestellt werden.
In AWS KMS können Sie asymmetrische KMS-Schlüssel mit RSA-Schlüsselpaaren für die Verschlüsselung und Entschlüsselung oder für das Signieren und Überprüfen verwenden, aber nicht beides. Diese Eigenschaft, die als Schlüsselnutzung bezeichnet wird, wird getrennt von der Schlüsselspezifikation bestimmt, aber Sie sollten diese Entscheidung treffen, bevor Sie eine Schlüsselspezifikation auswählen.
AWS KMS unterstützt die folgenden RSA-Schlüsselspezifikationen für Verschlüsselung und Entschlüsselung oder Signierung und Überprüfung:
-
RSA_2048
-
RSA_3072
-
RSA_4096
Die RSA-Schlüsselspezifikationen unterscheiden sich in der Länge des RSA-Schlüssels in Bits. Die von Ihnen gewählte RSA-Schlüsselspezifikation hängt möglicherweise von Ihren Sicherheitsstandards oder den Anforderungen Ihrer Aufgabe ab. Verwenden Sie im Allgemeinen den größten Schlüssel, der für Ihre Aufgabe praktisch und erschwinglich ist. Kryptografische Operationen zu KMS-Schlüsseln mit unterschiedlichen RSA-Schlüsselspezifikationen haben unterschiedliche Preise. AWS KMS Preisinformationen finden Sie unter Preise für den AWS Key Management Service
RSA-Schlüsselspezifikationen für Verschlüsselung und Entschlüsselung
Wenn ein asymmetrischer RSA-KMS-Schlüssel für die Verschlüsselung und Entschlüsselung verwendet wird, verschlüsseln Sie mit dem öffentlichen Schlüssel und entschlüsseln mit dem privaten Schlüssel. Wenn Sie den Encrypt
Vorgang AWS KMS für einen RSA-KMS-Schlüssel aufrufen, AWS KMS verwendet den öffentlichen Schlüssel im RSA-Schlüsselpaar und den von Ihnen angegebenen Verschlüsselungsalgorithmus, um Ihre Daten zu verschlüsseln. Um den Chiffretext zu entschlüsseln, rufen Sie den Decrypt
Vorgang auf und geben Sie denselben KMS-Schlüssel und denselben Verschlüsselungsalgorithmus an. AWS KMS verwendet dann den privaten Schlüssel im RSA-Schlüsselpaar, um Ihre Daten zu entschlüsseln.
Sie können den öffentlichen Schlüssel auch herunterladen und damit Daten außerhalb von verschlüsseln. AWS KMS Stellen Sie sicher, dass Sie einen Verschlüsselungsalgorithmus verwenden, der RSA-KMS-Schlüssel AWS KMS unterstützt. Um den Chiffretext zu entschlüsseln, rufen Sie die Decrypt
-Funktion mit demselben KMS-Schlüssel und Verschlüsselungsalgorithmus auf.
AWS KMS unterstützt zwei Verschlüsselungsalgorithmen für KMS-Schlüssel mit RSA-Schlüsselspezifikationen. Diese Algorithmen, die in PKCS #1 v2.2
Verschlüsselungsalgorithmus | Beschreibung des Algorithmus |
---|---|
RSAES_OAEP_SHA_1 | PKCS #1 v2.2, Abschnitt 7.1. RSA-Verschlüsselung mit OAEP-Padding, wobei SHA-1 sowohl für den Hash als auch für die Maskengenerierungsfunktion zusammen mit einem leeren Label verwendet wird. MGF1 |
RSAES_OAEP_SHA_256 | PKCS #1, Abschnitt 7.1. RSA-Verschlüsselung mit OAEP-Padding unter Verwendung von SHA-256 sowohl für den Hash als auch für die Maskengenerierungsfunktion zusammen mit einem leeren Label. MGF1 |
Sie können einen KMS-Schlüssel nicht so konfigurieren, dass er einen bestimmten Verschlüsselungsalgorithmus verwendet. Sie können jedoch die EncryptionAlgorithm Richtlinienbedingung kms: verwenden, um die Verschlüsselungsalgorithmen anzugeben, die Prinzipale mit dem KMS-Schlüssel verwenden dürfen.
Um die Verschlüsselungsalgorithmen für einen KMS-Schlüssel abzurufen, sehen Sie sich die kryptografische Konfiguration des KMS-Schlüssels in der AWS KMS Konsole an oder verwenden Sie den DescribeKeyVorgang. AWS KMS stellt außerdem die Schlüsselspezifikation und die Verschlüsselungsalgorithmen bereit, wenn Sie Ihren öffentlichen Schlüssel entweder in der AWS KMS Konsole oder mithilfe des GetPublicKeyVorgangs herunterladen.
Sie können eine RSA-Schlüsselspezifikation basierend auf der Länge der Klartextdaten auswählen, die Sie in jeder Anforderung verschlüsseln können. Die folgende Tabelle zeigt die maximale Größe (in Byte) des Klartextes, den Sie bei einem einzelnen Aufruf der Produktion Encrypt verschlüsseln können. Die Werte unterscheiden sich je nach Schlüsselspezifikation und Verschlüsselungsalgorithmus. Zum Vergleich können Sie einen KMS-Schlüssel mit symmetrischer Verschlüsselung verwenden, um bis zu 4096 Bytes gleichzeitig zu verschlüsseln.
Verwenden Sie die folgende Formel, um die maximale Klartextlänge in Byte für diese Algorithmen zu berechnen: (key_size_in_bits
/8) - (2 * hash_length_in_bits
/8) - 2. Für RSA_2048 mit SHA-256 beträgt beispielsweise die maximale Klartextgröße in Bytes (2048/8) - (2 * 256/8) -2 = 190.
Verschlüsselungsalgorithmus | ||
---|---|---|
Schlüsselspezifikation | RSAES_OAEP_SHA_1 | RSAES_OAEP_SHA_256 |
RSA_2048 | 214 | 190 |
RSA_3072 | 342 | 318 |
RSA_4096 | 470 | 446 |
RSA-Schlüsselspezifikationen für Signatur und Verifizierung
Wenn ein asymmetrischer RSA-KMS-Schlüssel für Signatur und Verifizierung verwendet wird, generieren Sie die Signatur für eine Nachricht mit dem privaten Schlüssel und überprüfen die Signatur mit dem öffentlichen Schlüssel.
Wenn Sie den Sign
Vorgang AWS KMS für einen asymmetrischen KMS-Schlüssel aufrufen, AWS KMS verwendet den privaten Schlüssel im RSA-Schlüsselpaar, die Nachricht und den von Ihnen angegebenen Signaturalgorithmus, um eine Signatur zu generieren. Um die Signatur zu überprüfen, rufen Sie die Produktion Verify auf. Geben Sie die Signatur sowie denselben KMS-Schlüssel, dieselbe Nachricht und denselben Signaturalgorithmus an. AWS KMS verwendet dann den öffentlichen Schlüssel im RSA-Schlüsselpaar, um die Signatur zu überprüfen. Sie können den öffentlichen Schlüssel auch herunterladen und ihn verwenden, um die Signatur außerhalb von AWS KMS zu überprüfen.
AWS KMS unterstützt die folgenden Signaturalgorithmen für alle KMS-Schlüssel mit einer RSA-Schlüsselspezifikation. Sie müssen einen Signaturalgorithmus angeben, wenn Sie die Operationen Sign (Signieren) und Verify (Überprüfen) aufrufen. Sie können für jede Anforderung einen anderen Algorithmus auswählen. Beim Signieren mit RSA-Schlüsselpaaren werden RSASSA-PSS-Algorithmen bevorzugt. Aus Gründen der Kompatibilität mit bestehenden Anwendungen verwenden wir RSASSA- PKCS1 -v1_5-Algorithmen.
Signaturalgorithmus | Beschreibung des Algorithmus |
---|---|
RSASSA_PSS_SHA_256 | PKCS #1 v2.2, Abschnitt 8.1, RSA-Signatur mit PSS-Padding unter Verwendung von SHA-256 sowohl für den Nachrichten-Digest als auch für die Maskengenerierungsfunktion zusammen mit einem 256-Bit-Salt MGF1 |
RSASSA_PSS_SHA_384 | PKCS #1 v2.2, Abschnitt 8.1, RSA-Signatur mit PSS-Padding unter Verwendung von SHA-384 sowohl für den Nachrichten-Digest als auch für die Maskengenerierungsfunktion zusammen mit einem 384-Bit-Salt MGF1 |
RSASSA_PSS_SHA_512 | PKCS #1 v2.2, Abschnitt 8.1, RSA-Signatur mit PSS-Padding unter Verwendung von SHA-512 sowohl für den Nachrichten-Digest als auch für die Maskengenerierungsfunktion zusammen mit einem 512-Bit-Salt MGF1 |
RSASSA_ _V1_5_SHA_256 PKCS1 | PKCS #1 v2.2, Abschnitt 8.2, RSA-Signatur mit PKCS #1v1.5 Auffüllung und SHA-256 |
RSASSA_ PKCS1 _V1_5_SHA_384 | PKCS #1 v2.2, Abschnitt 8.2, RSA-Signatur mit PKCS #1v1.5 Auffüllung und SHA-384 |
RSASSA_ PKCS1 _V1_5_SHA_512 | PKCS #1 v2.2, Abschnitt 8.2, RSA-Signatur mit PKCS #1v1.5 Auffüllung und SHA-512 |
Sie können einen KMS-Schlüssel nicht so konfigurieren, dass bestimmte Signaturalgorithmen verwendet werden. Sie können jedoch die SigningAlgorithm Richtlinienbedingung kms: verwenden, um die Signaturalgorithmen anzugeben, die Prinzipale mit dem KMS-Schlüssel verwenden dürfen.
Um die Signaturalgorithmen für einen KMS-Schlüssel abzurufen, sehen Sie sich die kryptografische Konfiguration des KMS-Schlüssels in der AWS KMS Konsole an oder verwenden Sie den DescribeKeyVorgang. AWS KMS stellt außerdem die Schlüsselspezifikation und die Signaturalgorithmen bereit, wenn Sie Ihren öffentlichen Schlüssel entweder in der AWS KMS Konsole oder mithilfe des GetPublicKeyVorgangs herunterladen.
Elliptic Curve(EC)-Schlüsselspezifikationen
Wenn Sie eine ECC-Schlüsselspezifikation (Elliptic Curve) verwenden, AWS KMS wird ein asymmetrischer KMS-Schlüssel mit einem ECC-Schlüsselpaar zum Signieren und Verifizieren oder zum Ableiten von gemeinsamen Geheimnissen (aber nicht beides) erstellt. Der private Schlüssel, der Signaturen generiert oder gemeinsame Geheimnisse ableitet, bleibt niemals unverschlüsselt. AWS KMS Sie können den öffentlichen Schlüssel verwenden, um Signaturen innerhalb von zu überprüfen AWS KMS, oder den öffentlichen Schlüssel herunterladen, um ihn außerhalb von zu verwenden. AWS KMS
AWS KMS unterstützt die folgenden ECC-Schlüsselspezifikationen für asymmetrische KMS-Schlüssel.
-
Von NIST empfohlene asymmetrische Schlüsselpaare mit elliptischen Kurven (Signierung und Verifizierung — oder Ableitung gemeinsam genutzter Geheimnisse)
-
ECC_NIST_P256 (secp256r1)
-
ECC_NIST_P384 (secp384r1)
-
ECC_NIST_P521 (secp521r1)
-
-
Andere asymmetrische Elliptic Curve-Schlüsselpaare (Signatur und Verifizierung)
-
ECC_SECG_P256K1 (secp256k1
), häufig für Kryptowährung verwendet.
-
Die von Ihnen gewählte ECC-Schlüsselspezifikation hängt möglicherweise von Ihren Sicherheitsstandards oder den Anforderungen Ihrer Aufgabe ab. Verwenden Sie im Allgemeinen die Kurve mit den meisten Punkten, die für Ihre Aufgabe praktisch und erschwinglich ist.
Wenn Sie einen asymmetrischen KMS-Schlüssel erstellen, um gemeinsame geheime Schlüssel abzuleiten, verwenden Sie eine der von NIST empfohlenen Spezifikationen für elliptische Kurvenschlüssel. Der einzige unterstützte Schlüsselvereinbarungsalgorithmus zur Ableitung gemeinsamer Geheimnisse ist der Elliptic Curve
Wenn Sie einen asymmetrischen KMS-Schlüssel für die Verwendung mit Kryptowährungen erstellen, verwenden Sie die Schlüsselspezifikation ECC_SECG_P256K1. Sie können diese Schlüsselspezifikation auch für andere Zwecke verwenden, aber sie ist für Bitcoin und andere Kryptowährungen erforderlich.
KMS-Schlüssel mit unterschiedlichen ECC-Schlüsselspezifikationen haben unterschiedliche Preise und unterliegen unterschiedlichen Anforderungkontingenten. Informationen zur Preisgestaltung finden Sie unter AWS KMS AWS Key Management Service Preisgestaltung
In der folgenden Tabelle sind die Signaturalgorithmen aufgeführt, die für die einzelnen ECC-Schlüsselspezifikationen AWS KMS unterstützt werden. Sie können einen KMS-Schlüssel nicht so konfigurieren, dass bestimmte Signaturalgorithmen verwendet werden. Sie können jedoch die SigningAlgorithm Richtlinienbedingung kms: verwenden, um die Signaturalgorithmen anzugeben, die Prinzipale mit dem KMS-Schlüssel verwenden dürfen.
Schlüsselspezifikation | Signaturalgorithmus | Beschreibung des Algorithmus |
---|---|---|
ECC_NIST_P256 | ECDSA_SHA_256 | NIST FIPS 186-4, Section 6.4, ECDSA signature using the curve specified by the key and SHA-256 für den Message Digest. |
ECC_NIST_P384 | ECDSA_SHA_384 | NIST FIPS 186-4, Section 6.4, ECDSA signature using the curve specified by the key and SHA-384 für den Nachrichten-Digest. |
ECC_NIST_P521 | ECDSA_SHA_512 | NIST FIPS 186-4, Section 6.4, ECDSA signature using the curve specified by the key and SHA-512 für den Nachrichten-Digest. |
ECC_SECG_P256K1 | ECDSA_SHA_256 | NIST FIPS 186-4, Section 6.4, ECDSA signature using the curve specified by the key and SHA-256 für den Nachrichten-Digest. |
SM2 wichtige Spezifikation (nur Regionen China)
Die SM2 wichtigste Spezifikation ist eine Schlüsselspezifikation mit elliptischer Kurve, die in der GM/T-Spezifikationsserie definiert ist, die vom chinesischen Office of State Commercial
Jeder KMS-Schlüssel kann nur eine Schlüsselnutzung haben. Sie können einen SM2 KMS-Schlüssel zum Signieren und Überprüfen, Verschlüsseln und Entschlüsseln oder zum Ableiten von gemeinsamen Geheimnissen verwenden. Sie müssen die Schlüsselverwendung bestimmen, wenn Sie den KMS-Schlüssel erstellen. Sie kann nach der Schlüsselerstellung nicht mehr geändert werden.
Wenn Sie einen asymmetrischen KMS-Schlüssel erstellen, um gemeinsame geheime Schlüssel abzuleiten, verwenden Sie die Schlüsselspezifikation. SM2 Der einzige unterstützte Schlüsselvereinbarungsalgorithmus zur Ableitung gemeinsamer Geheimnisse ist der Elliptic Curve Cryptography Cofactor
AWS KMS unterstützt die folgenden Verschlüsselungs- und Signierungsalgorithmen: SM2
-
- SM2PKE-Verschlüsselungsalgorithmus
-
SM2PKE ist ein auf elliptischen Kurven basierender Verschlüsselungsalgorithmus, der von OSCCA in GM/T 0003.4-2012 definiert wurde.
-
- SM2DSA-Signaturalgorithmus
-
SM2DSA ist ein auf elliptischen Kurven basierender Signaturalgorithmus, der von OSCCA in GM/T 0003.2-2012 definiert wurde. SM2DSA benötigt eine identifizierende ID, die mit dem Hash-Algorithmus gehasht und dann mit der Nachricht oder dem SM3 Message Digest kombiniert wird, an die Sie übergeben haben. AWS KMS Dieser verkettete Wert wird dann gehasht und von signiert. AWS KMS
Schlüsselspezifikationen für HMAC-KMS-Schlüssel
AWS KMS unterstützt symmetrische HMAC-Schlüssel in unterschiedlichen Längen. Häufig wird die von Ihnen ausgewählte Schlüsselspezifikation durch Ihre Sicherheits-, gesetzliche, oder geschäftliche Anforderungen bestimmt. Die Länge des Schlüssels bestimmt den MAC-Algorithmus, der in GenerateMacAND-Operationen verwendet wird. VerifyMac Im Allgemeinen sind längere Schlüssel sicherer. Verwenden Sie den längsten Schlüssel, der für Ihren Anwendungsfall praktisch ist.
HMAC-Schlüsselspezifikation | MAC-Algorithmen |
---|---|
HMAC_224 | HMAC_SHA_224 |
HMAC_256 | HMAC_SHA_256 |
HMAC_384 | HMAC_SHA_384 |
HMAC_512 | HMAC_SHA_512 |