Acerca de las CMK simétricas y asimétricas - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acerca de las CMK simétricas y asimétricas

En AWS KMS, puede crear CMK simétricas y asimétricas.

Claves maestras de cliente simétricas

Cuando crea una clave maestra de cliente (CMK) en KMS, de forma predeterminada, obtiene una CMK simétrica.

En AWS KMS, una CMK simétrica representa una clave de cifrado de 256 bits que nunca deja AWS KMS sin cifrar. Para utilizar una CMK simétrica, tiene que llamar a AWS KMS. Las claves simétricas se utilizan en el cifrado simétrico, donde se utiliza la misma clave para cifrar y descifrar.

A menos que la tarea requiera de forma explícita un cifrado asimétrico, las CMK simétricas, que nunca dejan AWS KMS sin cifrar, son una buena opción. Para obtener información acerca de la configuración criptográfica o la especificación de clave para las CMK simétricas, consulte Especificación de clave SYMMETRIC_DEFAULT. Para obtener ayuda a la hora de crear una CMK simétrica, consulte Crear CMK simétricas.

Los servicios de AWS que se integran con AWS KMS utilizan CMK simétricas para cifrar sus datos. Estos servicios no admiten cifrado con CMK asimétricas. Para obtener ayuda para determinar si una CMK es simétrica o asimétrica, consulte Identificar CMK simétricas y asimétricas.

Puede utilizar una CMK simétrica en AWS KMS para cifrar, descifrar y volver a cifrar datos, generar claves de datos y pares de claves de datos y generar cadenas de bytes aleatorias. Puede importar su propio material de claves en una CMK simétrica y crear CMK simétricas en almacenes de claves personalizadas. Para obtener una tabla en la que se comparan las operaciones que puede realizar en las CMK simétricas y asimétricas, consulte Comparación de CMK simétricas y asimétricas.

Claves maestras asimétricas de cliente

Puede crear una CMK asimétrica en AWS KMS. Una CMK asimétrica representa un par de claves privadas y públicas relacionadas matemáticamente. Puede entregar la clave pública a cualquiera, aunque no sea de confianza, pero la clave privada debe ser secreta.

En una CMK asimétrica, la clave privada se crea en AWS KMS y nunca deja AWS KMS sin cifrar. Para utilizar la clave privada, tiene que llamar a AWS KMS. Puede utilizar la clave pública en AWS KMS llamando a las operaciones de la API de AWS KMS. También puede descargar la clave pública y utilizarla fuera de AWS KMS.

Si su caso de uso requiere que los usuarios que no pueden llamar a AWS KMS realicen el cifrado fuera de AWS, las CMK asimétricas son una buena opción. Sin embargo, si va a crear una CMK para cifrar los datos que almacena o administra en unaAWS, utilice una CMK simétrica.AWSque están integrados conAWS KMSUtilice CMK simétricas para cifrar sus datos. Estos servicios no admiten cifrado con CMK asimétricas.

AWS KMS es compatible con dos tipos de CMK asimétricas.

  • CMK de RSA: CMK con un key pair de RSA para cifrar y descifrar o para firmar y verificar (pero no para ambas acciones).AWS KMSadmite diferentes longitudes de claves para diferentes requisitos de seguridad.

  • CMC de curva elíptica (ECC): CMK con un key pair de curva elíptica para firmar y verificar.AWS KMSadmite diferentes curvas utilizadas habitualmente.

Para obtener detalles técnicos acerca de los algoritmos de cifrado y firma que admite AWS KMS para las CMK de RSA, consulte Especificaciones de clave de RSA. Para obtener detalles técnicos acerca de los algoritmos de firma que admite AWS KMS para las CMK de ECC, consulte Especificaciones de clave de curva elíptica.

Para obtener una tabla en la que se comparan las operaciones que puede realizar en las CMK simétricas y asimétricas, consulte Comparación de CMK simétricas y asimétricas. Para obtener ayuda para determinar si una CMK es simétrica o asimétrica, consulte Identificar CMK simétricas y asimétricas.

Regiones

Las CMK asimétricas y los pares de claves de datos asimétricos se admiten en todos losAWSRegiones queAWS KMSadmite.