Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Algoritmos criptográficos compatibles
En la siguiente tabla se resumen los algoritmos criptográficos, los cifrados, los modos y los tamaños de clave que AWS se utilizan en sus servicios para proteger sus datos. Esto no debe considerarse una lista exhaustiva de toda la criptografía utilizada en ella. AWS Los algoritmos se dividen en dos categorías: «Preferidos» son aquellos que cumplen con los estándares del sector y fomentan la interoperabilidad
Para obtener más información sobre los algoritmos criptográficos implementados en AWS, consulte Algoritmos criptográficos y. Servicios de AWS
Algoritmos criptográficos
En las siguientes tablas se resumen los algoritmos criptográficos, los cifrados, los modos y los tamaños de clave que se utilizan en sus AWS servicios para proteger sus datos. No deben considerarse una lista exhaustiva de todas las opciones de criptografía disponibles en. AWS Los algoritmos se dividen en dos categorías:
-
Los algoritmos preferidos cumplen con los estándares AWS de seguridad y rendimiento.
-
Se pueden usar algoritmos aceptables para garantizar la compatibilidad en algunas aplicaciones, pero no se prefieren.
Criptografía asimétrica
En la siguiente tabla se enumeran los algoritmos asimétricos compatibles para el cifrado, la concordancia de claves y las firmas digitales.
| Tipo | Algoritmo | Estado |
|---|---|---|
| Cifrado | RSA-OAEP (módulo de 2048 o 3072 bits) | Aceptable |
| Cifrado | HPKE (P-256 o P-384, HKDF y AES-GCM) | Aceptable |
| Acuerdo clave | ML-KEM-768 o ML-KEM-1024 | Preferido (resistente a la cuántica) |
| Acuerdo clave | ECDH (E) con P-384 | Aceptable |
| Acuerdo clave | ECDH (E) con P-256, P-521 o X25519 | Aceptable |
| Acuerdo clave | ECDH (E) con Brainpool P256R1, Brainpool P384R1 o Brainpool P512R1 | Aceptable |
| Firmas | ML-DSA-65 o ML-DSA-87 | Preferido (resistente a la cuántica) |
| Firmas | SLH-DSA | Preferido (firma con resistencia cuántica) software/firmware |
| Firmas | ECDSA con P-384 | Aceptable |
| Firmas | ECDSA con P-256, P-521 o Ed25519 | Aceptable |
| Firmas | RSA-2048 o RSA-3072 | Aceptable |
Criptografía simétrica
En la siguiente tabla se enumeran los algoritmos simétricos compatibles para el cifrado, el cifrado autenticado y el empaquetado de claves.
| Tipo | Algoritmo | Estado |
|---|---|---|
| Cifrado autenticado | AES-GCM-256 | Preferido |
| Cifrado autenticado | AES-GCM-128 | Aceptable |
| Cifrado autenticado | ChaCha20/Poly1305 | Aceptable |
| Modos de cifrado | AES-XTS-256 (para almacenamiento en bloques) | Preferido |
| Modos de cifrado | AES-CBC/ CTR (modos no autenticados) | Aceptable |
| Embalaje de claves | AES-GCM-256 | Preferido |
| Embalaje de claves | AES-KW o AES-KWP con claves de 256 bits | Aceptable |
Funciones criptográficas
En la siguiente tabla se enumeran los algoritmos compatibles para el cifrado, la derivación de claves, la autenticación de mensajes y el cifrado de contraseñas.
| Tipo | Algoritmo | Estado |
|---|---|---|
| Hashing | SHA2-384 | Preferido |
| Hashing | SHA2-256 | Aceptable |
| Hashing | SHA3 | Aceptable |
| Derivación de claves | HKDF_Expand o HKDF con -256 SHA2 | Preferido |
| Derivación de claves | Modo contador KDF con HMAC- -256 SHA2 | Aceptable |
| Código de autenticación de mensajes | HMAC- -384 SHA2 | Preferido |
| Código de autenticación de mensajes | HMAC- -256 SHA2 | Aceptable |
| Código de autenticación de mensajes | KMAC | Aceptable |
| Procesamiento de contraseñas | Cifrar con SHA384 | Preferido |
| Hashing de contraseñas | PBKDF2 | Aceptable |
