Claves asimétricas en AWS KMS

AWS KMS admite claves KMS asimétricas que representan un par de claves públicas y privadas de RSA, de curva elíptica (ECC), o un par de claves públicas y privadas de SM2 (solo en las regiones de China) relacionado matemáticamente. Estos pares de claves se generan en módulos de seguridad de hardware certificados de AWS KMS con el Programa de validación de módulos criptográficos FIPS 140-2, excepto en las regiones China (Pekín) y China (Ningxia). La clave privada nunca deja las HSM de AWS KMS sin cifrar. También puede descargar la clave pública para distribución y utilizarla fuera de AWS. Puede crear las claves KMS asimétricas para el cifrado y el descifrado o para la firma y la verificación, pero no para ambas acciones.

Puede crear y administrar las claves KMS asimétricas de su Cuenta de AWS, incluida la configuración de políticas de claves, políticas de IAM y concesiones que controlan el acceso a las claves, habilitando y deshabilitando las claves KMS, creando etiquetas y alias, y eliminando las claves KMS. Además, puede auditar todas las operaciones que utilizan o administran sus claves KMS asimétricas dentro de AWS en los registros de AWS CloudTrail.

AWS KMS también ofrece pares de claves de datos asimétricas diseñados para su uso en una criptografía del lado del cliente fuera de AWS KMS. La clave privada de una clave de datos asimétrica se encuentra protegida por una clave de KMS de cifrado simétrica en AWS KMS.

En este tema se explica cómo funcionan las claves de KMS asimétricas, en qué difieren de otras claves de KMS y cómo decidir qué tipo de clave de KMS necesita para proteger sus datos. También se explica cómo funcionan los pares de claves de datos asimétricos y cómo se pueden utilizar fuera de AWS KMS.

Regiones

Las claves KMS asimétricas y los pares de claves de datos asimétricas se admiten en todas las Regiones de AWS que admite AWS KMS.

Más información

• Para crear claves KMS asimétricas, consulte Creación de claves KMS asimétricas. Para crear claves KMS de cifrado simétricas, consulte Crear claves.

• Para crear claves KMS asimétricas de varias regiones, consulte Creación de claves de varias regiones.

• Para averiguar si una clave KMS es simétrica o asimétrica, consulte Identificación de claves KMS asimétricas.

• Para obtener una tabla que compara las operaciones de la API de AWS KMS que se aplican a cada tipo de KMS, consulte Referencia de tipos de claves.

• Para controlar el acceso a las especificaciones de clave, el uso de la clave, los algoritmos de cifrado y los algoritmos de firma que las entidades principales de la cuenta pueden utilizar en las claves KMS, consulte AWS KMS claves de condición.

• Para obtener información acerca de las cuotas que se aplican a los diferentes tipos de claves KMS, consulte Cuotas de solicitudes.

• Para aprender a firmar mensajes y verificar firmas con las claves KMS asimétricas, consulte Firma digital con la nueva función de claves asimétricas de AWS KMS en el Blog de seguridad de AWS.

Temas

• Claves de KMS asimétricas
• Creación de claves KMS asimétricas
• Descargar claves públicas
• Identificación de claves KMS asimétricas
• Especificaciones de claves asimétricas

Claves de KMS asimétricas

Puede crear una clave KMS asimétrica en AWS KMS. Una clave KMS asimétrica representa un par de claves privadas y públicas relacionadas matemáticamente. Puede entregar la clave pública a cualquiera, aunque no sea de confianza, pero la clave privada debe ser secreta.

En una clave KMS asimétrica, la clave privada se crea en AWS KMS y nunca deja AWS KMS sin cifrar. Para utilizar la clave privada, tiene que llamar a AWS KMS. Puede utilizar la clave pública en AWS KMS llamando a las operaciones de la API de AWS KMS. También puede descargar la clave pública y utilizarla fuera de AWS KMS.

Si su caso de uso requiere que los usuarios que no pueden llamar a AWS KMS realicen el cifrado fuera de AWS, las claves KMS asimétricas son una buena opción. Sin embargo, si crea una clave KMS para cifrar los datos que almacena o administra en un servicio de AWS, utilice una clave KMS de cifrado simétrica. Los servicios de AWS que se están integrados con AWS KMS utilizan solo claves KMS de cifrado simétricas para cifrar sus datos. Estos servicios no admiten cifrado con claves de KMS asimétricas.

AWS KMS es compatible con tres tipos de claves KMS asimétricas.

• Claves de KMS RSA: una clave KMS con un par de claves RSA para cifrar y descifrar o para firmar y verificar (pero no para ambas opciones). AWS KMS admite diferentes longitudes de claves para diferentes requisitos de seguridad.

• Claves KMS de curva elíptica (ECC): una clave KMS con un par de claves de curva elíptica para firmar y verificar. AWS KMS admite diferentes curvas utilizadas habitualmente.

• Claves SM2 KMS (solo en las regiones de China): una clave KMS con un par de claves SM2 para cifrar y descifrar o para firmar y verificar (pero no para ambas acciones).

Para obtener ayuda para elegir la configuración de clave asimétrica, consulte Elección de un tipo de clave KMS. Para obtener detalles técnicos acerca de los algoritmos de cifrado y firma que admite AWS KMS para las claves KMS de RSA, consulte Especificaciones de clave de RSA. Para obtener detalles técnicos acerca de los algoritmos de firma que admite AWS KMS para las claves KMS de ECC, consulte Especificaciones de clave de curva elíptica. Para obtener detalles técnicos acerca de los algoritmos de cifrado y firma que admite AWS KMS para las claves KMS de SM2 (solo en las regiones de China), consulte las Especificaciones de clave SM2.

Para obtener una tabla en la que se comparan las operaciones que puede realizar en las claves KMS simétricas y asimétricas, consulte Comparación de claves KMS simétricas y asimétricas. Para obtener ayuda para determinar si una clave KMS es simétrica o asimétrica, consulte Identificación de claves KMS asimétricas.

Regiones

Las claves de KMS asimétricas y los pares de claves de datos asimétricas se admiten en todas las Regiones de AWS que admite AWS KMS.