Claves asimétricas en AWS KMS
Una clave KMS asimétrica representa un par de claves privadas y públicas relacionadas matemáticamente. Puede entregar la clave pública a cualquiera, aunque no sea de confianza, pero la clave privada debe ser secreta.
En una clave KMS asimétrica, la clave privada se crea en AWS KMS y nunca deja AWS KMS sin cifrar. Para utilizar la clave privada, tiene que llamar a AWS KMS. Puede utilizar la clave pública en AWS KMS llamando a las operaciones de la API de AWS KMS. También puede descargar la clave pública y utilizarla fuera de AWS KMS.
Si su caso de uso requiere que los usuarios que no pueden llamar a AWS KMS realicen el cifrado fuera de AWS, las claves KMS asimétricas son una buena opción. Sin embargo, si crea una clave KMS para cifrar los datos que almacena o administra en un servicio de AWS, utilice una clave KMS de cifrado simétrica. Los servicios de AWS que se están integrados con AWS KMS
AWS KMS es compatible con tres tipos de claves KMS asimétricas.
- Claves KMS de RSA
-
Una clave KMS con un par de claves RSA para cifrar y descifrar o para firmar y verificar (pero no para ambas opciones). AWS KMS admite diversas longitudes de claves para diferentes requisitos de seguridad.
Para obtener detalles técnicos acerca de los algoritmos de cifrado y firma que admite AWS KMS para las claves KMS de RSA, consulte Especificaciones de clave de RSA.
- Claves KMS de curva elíptica (ECC)
-
Una clave KMS con un par de claves de curva elíptica para firmar y verificar o para obtener secretos compartidos (pero no para ambas opciones). AWS KMS admite diversas curvas de uso común.
Para obtener detalles técnicos acerca de los algoritmos de firma que admite AWS KMS para las claves KMS de ECC, consulte Especificaciones de clave de curva elíptica.
- Claves de KMS de ML-DSA
-
Una clave de KMS con un par de claves de ML-DSA para firma y verificación. El ML-DSA es un estándar de criptografía poscuántica desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. para proteger contra las amenazas a la seguridad que plantea la computación cuántica. El ML-DSA es el algoritmo de firma digital recomendado para las organizaciones que están realizando el cambio de los algoritmos de firma digital RSA o de curva elíptica a la criptografía segura poscuántica.
AWS KMS admite varias longitudes de claves para diferentes requisitos de seguridad. Para obtener detalles técnicos acerca de los algoritmos de firma que AWS KMS admite para las claves de KMS de ML-DSA, consulte Especificaciones de clave de ML-DSA.
- Claves KMS de SM2 (solo en las regiones de China)
-
Una clave de KMS con un par de claves de SM2 para el cifrado y descifrado, la firma y la verificación o la obtención de secretos compartidos (debe seleccionar un tipo de Key usage).
Para obtener detalles técnicos acerca de los algoritmos de cifrado y firma que admite AWS KMS para las claves KMS de SM2 (solo en las regiones de China), consulte las Especificaciones de clave SM2.
Para obtener ayuda para elegir la configuración de clave asimétrica, consulte Elección del tipo de clave KMS que se va a crear.
Regiones
Las claves KMS asimétricas y los pares de claves de datos asimétricas se admiten en todas las Regiones de AWS que admite AWS KMS.
Más información
-
Para crear claves KMS asimétricas, consulte Creación de una clave de KMS asimétrica.
-
Para crear claves KMS asimétricas de varias regiones, consulte Creación de claves primarias de varias regiones.
-
Para aprender a firmar mensajes y verificar firmas con las claves KMS asimétricas, consulte Firma digital con la nueva función de claves asimétricas de AWS KMS
en el Blog de seguridad de AWS. -
Para obtener más información sobre las consideraciones especiales a la hora de eliminar claves KMS asimétricas, consulte Deleting asymmetric KMS keys.
-
Para identificar y ver las claves KMS asimétricas, consulte Identificación de claves KMS asimétricas.
